Tasarım gereği güvenli yazılım geliştirmenin temel ilkelerinden biri, kuruluşların güvenlik kaygılarını daha ilk andan itibaren hesaba katma zorunluluğudur Ancak bunlar genellikle kurumsal odaklı ve uyumluluk odaklıdır Price şöyle açıklıyor: “Yani bu kesirli modele gerçekten güzel bir tamamlayıcı
Price’ın yeni danışmanlık şirketi Zatik ile hafifletmeyi umduğu temel sorun da bu ”
siber-1
Bu asırlık bir sorundur ve küçük işletme sahiplerine veya küçük geliştirme ekiplerine vaaz vermek kesinlikle pratik değildir Elbette şube korumamız var, tabii ki bunları yapıyoruz çünkü ilk günden beri oradaydılar, oysa güvenlik ekibi daha sonra gelip onlardan bazı şeyleri değiştirmelerini talep ediyordu Ayrıca daha çok tasarım, DevOps hattı, CI/CD, güvenlik kontrolleri ve benzeri şeylerle ürününüzü nasıl güvenli bir şekilde oluşturabileceğinize bakıyoruz
Sadece sınıfının en iyisi ürün güvenliği uzmanları ve güvenlik bilincine sahip geliştiricilerin hâlâ yazılım mühendisliği pazarının “tek boynuzlu atları” olduğunu değil, aynı zamanda çoğu küçük işletmenin bunu yapabilecek kadar büyük olmadığını da anlayacak kadar etrafta dolaştı
“Konuştuğumuz küçük şirketlerin sevdiğim yönlerinden biri de onların olgunluk döngüsüne erken girmemizdir” diyor Bu yüzden diğer alanlara burnumuzu sokmayız
Price, “Bizim en önemli noktamız gerçekten geliştirici deneyimini güvence altına almak, ancak onların teknoloji yığınlarına bakmalarına, bazı önerilerde bulunmalarına ve diğer ortaklara bazı tanıtımlar yapmalarına yardımcı olabiliriz” diyor Kendisi ve Callas’ın şu anda şirketi kendilerinin yönettiğini ancak Zatik’in ölçeklenmesiyle daha fazla personel getirmeyi planladıklarını ve aynı zamanda müşterileri için gerekli alanlarda ek uzmanlık sağlamak üzere bir ortaklar ağından faydalanmayı planladıklarını söylüyor birini çok uzun süre meşgul etmeye yetecek kadar iş Price, PGP ve Silent Circle’ı kurmasıyla tanınan bir başka güvenlik yıldızı olan kurucu ortağı Jon Callas ile birlikte, yeni kurulan şirketler ve küçük işletmeler için yazılım güvenliği oyun alanını eşitlemeyi umuyor Uygulamaların tasarlandığı, tasarlandığı ve kodlandığı şekilde yerleşiktir Zatik, şirketlerin bir güvenlik programını çalışır duruma getirmek için ihtiyaç duydukları tek boynuzlu at düzeyindeki AppSec uzmanlığının küçük bir yüzdesinden yararlanmasına yardımcı olan kısmi bir güvenlik danışmanlık firmasıdır
“Deneyimli uygulama güvenliği personeli yetersiz ve büyük şirketler, dünyanın Microsoft’ları, Amazon’ları, Apple’ları ve Google’ları tarafından eziliyorlar ve eğer daha küçük bir şirketseniz, rekabet etmiyorsunuz demektir Ürün güvenliği ve AppSec ekiplerine liderlik eden Kymberlee Price, güvenlik araştırmacısı olarak çalıştığını ve Microsoft, Amazon ve Bugcrowd gibi şirketler için kırmızı ekip ve olay müdahale operasyonlarını yürüttüğünü açıkladı Yazılım geliştiren küçük şirketlerin sorunu, bu tür bir sorumluluğu mühendislik veya DevOps sürecine dahil etmek için gerekli olan uygulama güvenliği uzmanlığına erişmenin ve bunun için ödeme yapmanın gerçekten zor olabilmesidir
“Sanal CISO’ları seviyoruz Bunu yalnızca harika bir iş fırsatı olarak değil, aynı zamanda teknoloji dünyasında güvenlik konusunda ilerleme kaydetmenin bir yolu olarak görüyor Pahalı bir yeniden düzenlemeye gerek kalmadan, çoğu zaman yapabilecekleri tek şey, güvenlik kontrollerini devreye sokmak veya çok derinlere gidebilecek güvenlik sorunlarına yara bandı uygulamaktır
“Tam zamanlı bir tek boynuzlu ata ihtiyaçları yok ”
Sonuçta amaç, küçük şirketlerin tasarım gereği güvenlik anlayışını en başından itibaren geliştirmelerine yardımcı olmaktır Ve böylece, küçük şirketler, güvenliği pek fazla düşünmeden, çoğu zaman tüm iş modellerinin dayandığı yenilikçi uygulamalar olan yazılımı oluşturur ve gönderir Strateji belirlemek için belki çeyreklik bir tek boynuzlu ata ihtiyaçları var ve ardından yılın geri kalanında bir tek boynuzlu atın %10’una ihtiyaçları var” diyor ”
Bazı şirketler, eğer yeterince erken davranırlarsa, eksiksiz bir siber güvenlik programı oluşturma paketine ihtiyaç duyabilirler; kendisi ve Callas’ın bu konuda onlara yardımcı olacak donanıma sahip olduğu bir şey Yazılım yığınında halihazırda bir ton güvenlik teknik borcu birikmiş durumda
Bir startup “büyüdüğünde” ve işini bazı uygulama güvenliği profesyonellerini uygun şekilde işe alabilecek kadar büyüttüğünde, tasarım gereği güvenlik çoktan pencereden uçup gitmişti “Demek istediğim, çalışanların erişim kontrolü yoksa ürününüzün güvenliğini sağlamanıza yardımcı olamam Bu yeni AppSec ekibi, daha başlamadan sekiz topun arkasında “Büyüdükçe, işe aldıkları ve yönettikleri mühendislerin bunun ‘biz bunu böyle yapıyoruz’ olduğunu anladığı, tasarımı itibarıyla güvenli bir platformla büyüyorlar Biraz farklı bir odağa sahip, sanal bir CISO ile aynı kalıpta oluşturulmuştur