Aracılığıyla paylaş


Geliştirme güvenlik stratejisi

Geliştirme güvenliği, birden çok farklı öğeye sahip geniş bir teknik alandır. En iyi yöntemler bu gerçeği yansıtır.

Geliştirme güvenliği, uygulamanın veya kodun kendisini ve temel alınan altyapıyı, platformu veya cihazı korumayı gerektirir.

Diyagram, BT altyapısı saldırıları dahil olmak üzere saldırgan fırsatlarını gösterir.

Tümleşik güvenlik uygulamaları

Kodun güvenliğini sağlamak için geliştirme sürecinde tümleşik güvenlik uygulamaları gerekir. Bu yaklaşım, geliştirilmekte olan kodun hem tasarımında hem de uygulanmasında güvenlik risklerini azaltır.

Geliştirme, aşağıdakiler de dahil olmak üzere birçok biçim alabilir:

  • Bir sunucuda uygulama veya API olarak çalıştırılacak uygulama kodu.
  • API yayımlama.
  • Komut dosyası.
  • Otomasyon, örneğin şu örnekler:
    • Altyapı dağıtımı, örneğin terraform dağıtımlarını otomatikleştirme.
    • Azure Ağ Güvenlik Grubu dağıtmak ve güvenlik grubu kuralları oluşturmak için Azure Resource Manager şablonu veya Bicep kullanma gibi altyapı yapılandırması.
    • Önceden tanımlanmış zamanlanmış aralıklarda kod çalıştırarak zamanlanmış görevleri çalıştırmak için Azure İşlevleri kullanma gibi işlemsel görevler.
  • Üretici yazılımına dağıtılacak kod.
  • Sistem olarak dağıtılan platform hizmetleriyle uygulama düzeyinde kod toplaması olan mobil uygulamalar.
  • Altyapı bileşenleri, işletim sistemleri, hizmet olarak platform (PaaS) çözümleri ve kod olarak altyapı (IaC) kullanarak dağıtabileceğiniz tam sistemler.

Geliştirme olarak değerlendirilebileceklerin genişliğine ek olarak, süreçler ve teknolojilerdeki ilerlemeler, daha hızlı Sürekli Tümleştirme/Sürekli Geliştirme (CI/CD) işlem hatları, DevOps ve DevSecOps dahil olmak üzere üretime yönelik süreyi hızlandırdı.

Bu ilerlemeler, kuruluşların geri adım atıp değerlendirmesini gerektirir. İş taleplerini güvenli ve uyumlu bir şekilde karşılamak için geliştirme çevikliğini ve hızını sağlayan süreçleri ve teknolojileri belirlemeleri gerekir.

Başlangıçtan itibaren, iyi bir geliştirme stratejisinin iş ve güvenlik gereksinimlerinizi ve kuruluşunuzun geliştirici ekosistemini hesaba katmanız gerekir. Amaç, geliştirme süreçlerinde güvenliğin yerleşik olmasını sağlamaktır. Güvenlik ekibi, üretime ulaşmak için engelleyici veya engelleyiciden daha fazla etkinleştirici olmalıdır.

Başarılı bir geliştirme güvenlik stratejisinin bir diğer parçası da geliştiricileri bulundukları yerde karşılamak ve işlerinde mümkün olduğunca küçük ve sorunsuz değişiklikler yapmaya çalışmaktır. Küçük adımlar ve otomasyon en iyisidir. Geliştirme personeline, güvenliğin geliştirme süreçlerine dahil olmasının çabalarındaki sürtüşmeyi nasıl hızlandırabileceğini ve kaldırabileceğini gösterin.

Sonraki adım