Tim pengembangan perangkat lunak menghadapi tekanan yang semakin besar untuk mempersingkat siklus pengembangan mereka dan mendorong produk dan pembaruan lebih cepat dari sebelumnya. Semakin cepat aplikasi yang selesai diluncurkan, semakin besar kemungkinan memuaskan permintaan pelanggan dan mencuri pawai dalam kompetisi untuk mengklaim pangsa pasar. Demikian pula, mendapatkan solusi langsung dan fungsi baru dengan cepat memfasilitasi membuat pelanggan senang.
Tetapi sementara waktu adalah uang, lebih banyak kecepatan juga dapat dengan cepat memperkenalkan lebih banyak kerentanan dalam aplikasi. Sementara tingkat risiko tertentu dapat diterima, tidak ada pengembang yang mampu memiliki pelanggaran keamanan besar yang membatalkan semua kerja kerasnya.
Untuk memperburuk keadaan, kelompok penjahat dunia maya menjadi semakin dalam kebutuhan akan kecepatan ini, mengeksploitasi kritikus open source Sumber daya untuk menyusup ke rantai pasokan perangkat lunak.
Pengembang membutuhkan pengetahuan, sumber daya, dan dukungan untuk mempertahankan kode aman mereka, dengan dampak yang lebih kecil pada kemungkinan jadwal pengembangan.
Pelatihan khusus, saat penutupan kolaborasi Dengan aplikasinya, keamanan keamanan adalah salah satu cara utama melatih pengembang untuk mencapai keseimbangan ini.
Manajer Pemasaran Produk Senior di CheckMarx.
Risiko yang tumbuh dalam pengembangan sumber terbuka
Salah satu alasan untuk fokus yang lebih besar pada keterampilan APPSEC adalah kekhawatiran yang berkembang tentang kode pihak ketiga yang tidak biasa.
Kode sumber terbuka telah menjadi sumber penting bagi tim pengembangan yang bekerja hingga tenggat waktu yang ketat. Mengakses blok konstruksi yang disiapkan untuk karakteristik aplikasi umum menghemat banyak waktu dan sumber daya, mencegah peralatan untuk menciptakan kembali roda untuk setiap proyek baru dan secara drastis mengurangi SDLC.
Laporan Octower Github terbaru mengungkapkan bahwa ada lebih dari satu miliar kontribusi untuk proyek open source hanya pada tahun 2024, dan sebelumnya memperkirakan bahwa sekitar 97% dari semua aplikasi memasukkan setidaknya beberapa kode sumber terbuka.
Namun, aset open source juga dapat memperkenalkan risiko yang tidak perlu untuk a aplikasi. Selalu ada kemungkinan bahwa setiap kode pihak ketiga dapat memiliki kerentanan yang hilang oleh penciptanya, dan para aktor ancaman semakin meningkatkan risiko menyuntikkan kode berbahaya dengan sengaja ke lingkungan sumber terbuka.
Pada bulan Oktober, para peneliti kami menemukan bahwa penjahat cyber menunjuk Piton Pengembang di industri blockchain yang membawa alat yang tampaknya berguna untuk tugas -tugas seperti manajemen dan pemulihan dompet kriptografi. Namun, paket yang disembunyikan dengan baik malware dikaburkan dalam kode.
Insiden ini hanyalah salah satu dari semakin banyak kasus di mana penjahat dunia maya telah mengeksploitasi kepercayaan yang melekat dan pengembang tepercaya di repositori kode sumber terbuka. Meskipun sebagian besar platform reputasi yang baik berupaya mengevaluasi keamanan aset yang dimuat, volume kontribusi yang besar dan potensi kode yang ditawarkan berarti bahwa risiko tidak akan pernah dapat dikesampingkan.
Memberdayakan pengembang dengan pelatihan yang dipersonalisasi
Karena sumber dayanya yang paling berharga dieksploitasi oleh penjahat cyber, lebih penting dari sebelumnya bahwa pengembang adalah ahli keamanan. Namun, ini telah lama menjadi tantangan. Salah satu hambatan terbesar adalah bahwa pengembang adalah pencipta dan encoder di tempat pertama dan banyak pengembang tidak akan memiliki kesempatan untuk mendapatkan pengalaman nyata di APSEC.
Oleh karena itu, langkah pertama adalah melatih tim pengembangan dengan pelatihan terstruktur dan sumber daya yang tepat jika APSEC akan diasumsikan secara efektif.
Sangat penting bahwa upaya pelatihan disesuaikan dengan pengalaman dan kebutuhan spesifik mereka. Program genik sering kali membanjiri pengembang dengan informasi yang tidak relevan, yang menghambat penerapan pelajaran dalam praktik. Pelatihan peran yang dipersonalisasi dan spesifik jauh lebih efektif, melatih pengembang untuk membangun kode yang aman tanpa mengganggu alur kerja mereka.
Salah satu cara paling efektif untuk menyampaikan ini adalah melalui pelatihan tepat waktu (JIT) yang memberikan orientasi yang dapat diproses tepat ketika pengembang menemukan kerentanan, menyederhanakan proses perbaikan. Pendekatan ini menyelaraskan keamanan dengan kecepatan pengembangan yang cepat, memastikan bahwa kerentanan didekati secara efisien. Organisasi harus fokus pada penyediaan cara untuk menjadi cepat dan efisien dalam pemindaian keselamatan bersama dengan semua kerangka kerja pengembangan dan metodologi mereka.
Platform yang gamified bisa sangat efektif di sini, mengubah pengkodean yang aman menjadi latihan keterampilan yang menarik. Alat -alat ini mendorong rasa properti, membantu pengembang untuk memecahkan kerentanan dan memahami dampaknya yang lebih luas.
Pelatihan dan pengembangan harus memberikan komentar nyata -waktu dengan dampak minimum pada alur kerja pengembangan.
Tingkatkan kolaborasi dengan bimbingan keamanan
Sementara alat dan pelatihan sangat penting, program les dapat melangkah lebih jauh di jembatan kesenjangan dalam pengetahuan dan eksekusi. Ini menyiratkan mengintegrasikan insinyur keamanan ke dalam tim pengembangan untuk membantu memberikan panduan dan pelatihan praktis. Pendekatan ini membantu mempromosikan kolaborasi, menetapkan tanggung jawab bersama untuk pengkodean yang aman yang mengatasi masalah secara proaktif dan efisien.
Tutorial tidak hanya menjamin bahwa keamanan menjadi bagian integral dari proses pengembangan, tetapi juga dapat menghilangkan struktur yang terisolasi dari “AS dan mereka” yang umum antara keselamatan dan pengembangan.
Program bimbingan yang mapan didasarkan pada proses berulang dan kode itu aman dalam peluncuran. Ini sangat berguna untuk organisasi yang lebih kecil dengan sumber daya yang lebih terbatas.
Dimulai dengan bimbingan keamanan
Untuk organisasi yang belum memiliki mentor keamanan untuk tim pengembangan mereka, pembentukan program bimbingan bimbingan bisa sangat sederhana. Langkah pertama adalah meminta sukarelawan yang ingin terlibat. Mentor harus memiliki minat yang tulus dalam membangun praktik pengkodean yang aman, alih -alih merasa bahwa mereka telah dipaksa untuk mengambil lebih banyak pekerjaan.
Relawan juga mendapat manfaat dari mendapatkan keterampilan baru dan mendiversifikasi peran mereka sebagai pengembangan. Sumber daya seperti CodeBashing dapat memberikan pendekatan terstruktur untuk pengembangan keterampilan APSEC, bersama dengan aset informatif lainnya seperti Seminar Web dan acara.
Makmur dalam lanskap yang penuh ancaman
Dengan peningkatan tekanan internal untuk siklus pengembangan yang lebih cepat dan lebih efisien, peralatan pengembangan seringkali dapat terasa terjebak di antara batuan dan tempat yang sulit.
Untuk memberdayakan mereka untuk makmur di lingkungan ritme cepat saat ini, organisasi harus mendukung pengembang untuk mengintegrasikan keamanan pada setiap tahap pengembangan. Pelatihan yang dipersonalisasi dan bimbingan belajar kolaboratif pengembang untuk mengatasi kerentanan secara efisien tanpa memperlambat inovasi.
Kami menyajikan daftar perangkat lunak pengembangan aplikasi seluler terbaik.
Artikel ini diproduksi sebagai bagian dari saluran ahli TechRadarPro Insights, di mana kami menyajikan pikiran terbaik dan paling cemerlang dalam industri teknologi saat ini. Pendapat yang diungkapkan di sini adalah pendapat penulis dan tidak harus dari TechRadarPro atau Future Plc. Jika Anda tertarik untuk berkontribusi, dapatkan informasi lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
