چه کسی مسئول بهبود امنیت در محیط توسعه نرم افزار است؟

چه کسی مسئول بهبود امنیت در محیط توسعه نرم افزار است؟

ونافی یافته‌های یک نظرسنجی جهانی که تأثیر حملات زنجیره تامین نرم افزار مانند  SolarWinds ‎/ SUNBURST، CodeCov و Kaseya ‎/ REvil را بر چگونگی تغییر رویکرد سازمان‌های توسعه یافته برای ایجاد امنیت در ساخت و تحویل نرم‌افزار را نشان می دهد، ارزیابی کرد.

این نظرسنجی نظرات بیش از ۱۰۰۰ متخصص امنیت اطلاعات، توسعه دهندگان و مدیران اجرایی در IT و صنایع توسعه نرم افزار را ارزیابی کرده است.

سوتفاهم بین تیم‌های امنیتی و توسعه

طبق این نظرسنجی، پاسخ دهندگان تقریباً به اتفاق آرا (۹۷٪) موافق هستند که روش‌های مورد استفاده برای حمله به محیط توسعه نرم افزار SolarWinds در حملات جدید امسال مجدداً مورد استفاده قرار می‌گیرند.

علی‌رغم این اطمینان، هیچ همخوانی بین تیم‌های امنیتی و توسعه وجود ندارد که در آن تیم باید مسئول بهبود امنیت در محیط ساخت و توزیع نرم افزار باشد. به عنوان مثال، در پاسخ به این سوال که چه کسی مسئولیت اصلی بهبود امنیت محیط توسعه نرم افزار سازمان آنها را بر عهده دارد، ۴۸ درصد از پاسخ دهندگان می‌گویند تیم‌های امنیتی آنها مسئول هستند و ۴۸ درصد می‌گویند تیم های توسعه آنها مسئول هستند.

کوین بوسک، معاون استراتژی امنیتی و اطلاعات در Venafi، گفت: “در حالی که حمله SUNBURST به SolarWinds اولین حمله در نوع خود نبود، اما مطمئناً یکی از جدی‌ترین حمله‌ها بود. “

SUNBURST  کاملاً واضح گفت که هر سازمانی باید اقدامات اساسی و فوری انجام دهد تا نحوه ایمن سازی خط لوله برای ساخت نرم افزار تغییر کند. تنها راه برای کاهش این خطرات بهبود چشمگیر امنیت خط لوله توسعه و نرم افزاری است که ارائه می‌دهد. با این حال، اگر ما حتی نتوانیم توافق کنیم که چه کسی مسئول انجام این اقدامات است، کاملاً واضح است که ما حتی نزدیک به ایجاد تغییرات معنی دار نیستیم. هرکسی که امیدوار است این مشکل برطرف شود، خودش را مسخره می‌کند.

اطمینان و مسئولیت در محیط توسعه نرم افزار

•    ۸۰  درصد از پاسخ دهندگان اظهار داشتند که کاملاً به توانایی سازمان خود در دفاع در برابر حملات با هدف قرار دادن محیط‌های ساخت نرم افزار اطمینان ندارند.
•    ۶۹ درصد پاسخ دهندگان توسعه دهنده معتقدند توسعه دهندگان مسئول امنیت روند ساخت نرم افزار سازمان خود هستند. با این حال، ۶۷ درصد پاسخ دهندگان امنیتی معتقدند که این مسئولیت تیم امنیتی است.
•    وقتی از آنها سوال شد که چه کسی باید مسئول امنیت فرآیند ساخت نرم افزار سازمان خود باشد، ۵۸ درصد از پاسخ دهندگان امنیتی می‌گویند که این مسئولیت به عهده خود آنها است و ۵۳ درصد از پاسخ دهندگان توسعه دهنده می‌گویند که این امر باید به عهده خود آنها باشد. فقط ۸٪ از کل پاسخ دهندگان اظهار داشتند که مسئولیت باید تقسیم شود.

” همانطور که نتایج این نظرسنجی به وضوح نشان می‌دهد، اکثر سازمان‌ها روشن نکرده‌اند که کدام تیم انگیزه یا دستورالعمل‌های لازم برای ایجاد تغییرات لازم را دارد. تنها راه برای به حداقل رساندن خطر حملات در آینده این است که توسعه دهندگان قادر به حرکت سریع، از ایده به تولید، بدون به خطر انداختن امنیت باشند. “

سرعت نوآوری و امنیت در توسعه نرم افزار جدایی ناپذیر هستند. به همان روشی که مهندس فرمول ۱ برای عملکرد و ایمنی همزمان ایجاد می‌کند، توسعه دهندگان نرم افزار نیز باید پاسخگوی هر دو باشند. برای تحقق این امر، توسعه دهندگان به وضوح به کمک و پشتیبانی تیم‌های امنیتی نیاز دارند. هیئت مدیره و مدیر عامل باید برای اطمینان از وجود خطوط مشخص مالکیت نسبت به ایجاد تغییرات اقدام کنند و آنها می‌توانند تیم‌ها را مسئول بدانند.
 

  • برچسب ها :

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.

RSS انتخابات استان ها

  • سفر استانی رئیس جمهوری یک ضرورت برای لمس مشکلات مردم است مهر ۲۵, ۱۴۰۰
    رشت ایرنا - نماینده مردم انزلی در مجلس شورای اسلامی اشتغال جوانان ، تولید ، کشاورزی و صنعت را عمده مشکلات استان گیلان عنوان کرد و گفت: سفر رئیس جمهوری گامی مثبت برای لمس این مشکلات از نزدیک است و برای گیلان یک ضرورت محسوب می شود.

RSS آخرین انتخابات مجلس یازدهم

RSS فناوری اطلاعات و ارتباطات