जब सॉफ्टवेयर विकास और उत्पादन जीवन चक्र में गति पर ध्यान केंद्रित किया जाता है तो साइबर सुरक्षा को संबोधित करना एक चुनौती हो सकती है।
नया करने और बनाने के लिए धक्का अक्सर सॉफ्टवेयर डेवलपर्स को नए ऐप, अपडेट और बग फिक्स देने के लिए ब्रेकनेक गति से आगे बढ़ने के लिए प्रेरित कर सकता है – एक उन्मत्त गति जिससे सुरक्षा निरीक्षण हो सकता है।
DevSecOps – डेवलपर्स, साइबर सुरक्षा और संचालन के लिए एक पोर्टफोलियो – एक सहयोगी तरीका है जो सॉफ़्टवेयर विकास और संचालन में अनुप्रयोग सुरक्षा के सिद्धांतों को कम घर्षण और यथासंभव चपलता के साथ लाता है। लक्ष्य? एप्लिकेशन सुरक्षा से समझौता किए बिना उत्पादों को गति से रोल आउट किया जा सकता है।
सॉफ़्टवेयर जीवनचक्र में सुरक्षा जोड़ना
सॉफ्टवेयर इंटेलिजेंस फर्म डायनाट्रेस के अनुसार, DevSecOps सॉफ्टवेयर विकास और वितरण प्रक्रिया के हर चरण में उत्पाद में सुरक्षा बनाता है, जिसने इस मामले पर एक श्वेत पत्र जारी किया।
“DevSecOps कोड भेद्यता में दृश्यता प्रदान करता है; यह एक गहरी समझ भी प्रदान करता है कि लक्ष्य वास्तविक हमले को कैसे सहन करता है, और हमलावर कितनी दूर तक जा सकता है,” डायनाट्रेस ने कहा।
TABCyber के सीईओ एडवर्ड अमोरोसो ने कहा कि संचालन में सुरक्षा इस बात से संचालित होती है कि कितनी जल्दी बदलाव करने की जरूरत है।
“क्या परिस्थितियाँ घंटे दर घंटे, मिनट दर मिनट या महीने दर महीने बदल रही हैं? अगर यह एक पेसमेकर है, तो सॉफ्टवेयर अपडेट नहीं हो रहा है, अगर यह सोशल मीडिया है, तो यह है,” एमोरोसो ने कहा। “क्या मुझे वास्तव में ऐसे उपकरण के लिए DevOps सुरक्षा टेलीमेट्री को स्वचालित करने की आवश्यकता है जो सॉफ़्टवेयर अपग्रेड प्राप्त नहीं करेगा?”
देखना: जब सुरक्षा समाधानों की बात आती है तो अधिक जरूरी क्यों नहीं है।
DevSecOps के प्रमुख तत्व
बाएं शिफ्टिंग
उद्योग में कुछ के अनुसार, “बाईं ओर शिफ्टिंग” का अर्थ है उत्पादन के बजाय विकास के दौरान कोड भेद्यता की पहचान करना – एक कदम जो महत्वपूर्ण है, क्योंकि उत्पादन में डेवलपर्स को अन्य परियोजनाओं में स्थानांतरित करने के बाद उपचारात्मक में संलग्न करना असीम रूप से अधिक कठिन हो जाता है (छवि ए).
छवि ए
सेल्सफोर्स देवसेकऑप्स के प्लेटफॉर्म ऑटोरैबिट के सीईओ मेरेडिथ बेल ने कहा, ”’लेफ्ट शिफ्टिंग’ देवसेकऑप्स का मुख्य सिद्धांत है, लेकिन हम वास्तव में इसे एक और कदम आगे ले जा सकते हैं।”
बेल ने कहा, “हम संचार की एक धारा बनाने के अभ्यास को संदर्भित करने के लिए ‘शिफ्ट इन’ का भी उपयोग करते हैं, जहां प्रत्येक हितधारक के बीच फीडबैक लगातार प्रवाहित होता है।”
बेल ने कहा कि इस अभ्यास को लागू करने से, परियोजना में शामिल सभी लोग सभी आकस्मिकताओं से अवगत रहते हैं, इसलिए कोई भ्रम नहीं है। “अभिनय, मापन, समायोजन और सुधार का एक निरंतर चक्र बनाया जाता है। ये फीडबैक लूप एक दूसरे को स्वच्छ, सुरक्षित कोड के लिए अधिक अनुकूल वातावरण बनाने के लिए कसते हैं और एक दूसरे को बढ़ाते हैं,” उन्होंने कहा।
स्वचालित प्रक्रियाएं
स्वचालन मानवीय गलतियों को सॉफ़्टवेयर जीवनचक्र के उत्पादन भाग से बाहर निकालने में मदद करता है।
सॉफ्टवेयर इंटेलिजेंस फर्म डायनाट्रेस के अनुसार, स्वचालन DevSecOps प्रक्रिया का एक महत्वपूर्ण हिस्सा है, यह हाल ही में एक श्वेतपत्र में बताया गया है।
कंपनी ने अपनी रिपोर्ट में लिखा है, “… टीमों को परीक्षण को स्वचालित करना चाहिए, लेकिन वर्कफ़्लोज़ भी, जैसे परीक्षण से सॉफ़्टवेयर को रिलीज़ करने या रिपॉजिटरी को कोड करने के लिए आगे बढ़ाना।”
अमरोसो ने कहा कि स्वचालित समाधान देने वाले कई विक्रेता हैं। “ज्यादातर लोग कहेंगे कि स्वचालित बेहतर नहीं है, निरंतर समय-समय पर बेहतर है और पूर्ण धब्बेदार कवरेज से बेहतर है। और कम से कम 30 ऐसी कंपनियां हैं जो ऐसा कर रही हैं जो व्यावसायिक रूप से व्यवहार्य हैं।”
सॉफ्टवेयर सुरक्षा को आसान बनाना
डेवलपर और सुरक्षा दोनों क्षेत्रों के विशेषज्ञ इस बात से सहमत हैं कि DevSecOps को सुरक्षा लक्ष्यों में डेवलपर्स को शामिल करना चाहिए। नायर ने कहा कि पारंपरिक परिचालन सुरक्षा अनुपालन अधिकारी का काम हुआ करती थी, जो एक स्कैन चलाएगा, एक समस्या का पता लगाएगा और इसे डेवलपर को रिपोर्ट करेगा।
“इसे बनाने के छह महीने बाद, वह सॉफ़्टवेयर किसी और का कोड भी हो सकता है। इन लेखापरीक्षा-केंद्रित दृष्टिकोणों से निपटना वह नवप्रवर्तन था, जिसे हम DevSec कहते हैं,” उन्होंने कहा।
नायर ने कहा कि डेवलपर्स शायद ही कभी अभ्यास के रूप में सुरक्षा का सामना करते हैं।
“कंप्यूटर विज्ञान स्कूल सुरक्षा नहीं पढ़ाते हैं,” उन्होंने कहा।
Synopsys के सीनियर सॉफ्टवेयर सॉल्यूशंस मैनेजर माइकल मैकगायर ने कहा कि वह सहमत हैं।
“मैंने एक डेवलपर के रूप में अपने दाँत काटे, और कॉलेज में सुरक्षित कोडिंग के बारे में एक भी चीज़ नहीं सीखी। मुझे लगता है कि यह एक विषय बनता जा रहा है, लेकिन आपको समझना होगा, जो डेवलपर्स इस कोड को बहुत अधिक लिख रहे हैं, वे शायद सुरक्षा की परवाह नहीं करते क्योंकि उन्हें यह सिखाया नहीं गया था। मुझे निश्चित रूप से परवाह नहीं थी। ऐसा इसलिए है क्योंकि एक डेवलपर अपने काम में कितना अच्छा है, यह इस बात से तय होता है कि वे कितनी जल्दी बग फिक्स करवा सकते हैं या टिकट पूरा कर सकते हैं और गुणवत्तापूर्ण तरीके से दरवाजे से बाहर निकल सकते हैं, ”मैकगायर ने कहा।
उन्होंने कहा कि क्योंकि डेवलपर्स को एप्लिकेशन सुरक्षा के बारे में अधिक देखभाल करने के लिए कहा जा रहा है, टूल को डेवलपर्स से मिलने की जरूरत है जहां वे हैं।
“हम वहाँ अपने रास्ते पर हैं, और वहाँ बहुत सारे विकल्प हैं,” मैकगायर ने कहा।
