Kontrola a ověření základů kódu pro dodržování předpisů
Zabezpečení pro aplikace je důležité. Každý den se zdá, že informační služby po celém světě nesou příběhy o některých firemních systémech, které porušily. Ještě důležitější je, že byla zpřístupněna soukromá společnost a zákaznická data.
Už dlouho se to děje. V mnoha případech nebylo viditelné veřejnosti. Soukromé informace byly často zpřístupněny, ale lidé, kterých se to týká, nebyli ani upozorněni.
Vlády po celém světě často přijaly právní předpisy, které vyžadují, aby se informace o porušeních předpisů staly veřejnými a oznámeními ovlivněným.
Jaké jsou tedy problémy?
Potřebujeme chránit informace před zveřejněním lidem, kteří by neměli mít přístup. Ale co je důležitější, musíme zajistit, aby data nebyla změněna nebo zničena, když by neměla být, a musíme se ujistit, že jsou zničená, když by měla být.
Musíme zajistit správné ověřování uživatelů, kteří mají přístup k datům, a jejich oprávnění k přístupu. Potřebujeme najít důkaz, když se něco nepovedlo prostřednictvím historických nebo archivních dat nebo protokolů.
K vytváření a nasazování zabezpečených aplikací se váže mnoho aspektů.
- Nejprve je tu obecný problém se znalostmi. Mnoho vývojářů a dalších zaměstnanců předpokládá, že rozumí zabezpečení, ale ne. Kybernetická bezpečnost je obor, který se neustále vyvíjí. Je zásadně důležité mít program průběžného vzdělávání a školení.
- Zadruhé musíme zajistit, aby se kód správně vytvořil a bezpečně implementoval požadované funkce, a musíme se ujistit, že tyto funkce byly navrženy s ohledem na zabezpečení na prvním místě.
- Za třetí musíme zajistit, aby aplikace splňovala pravidla a předpisy potřebné ke splnění. Musíme ho otestovat při sestavování kódu a pravidelně ho testovat, a to i po nasazení.
Běžně se uznává, že zabezpečení není něco, co můžete přidat do aplikace nebo systému později.
Zabezpečený vývoj musí být součástí životního cyklu vývoje. Je ještě důležitější pro důležité aplikace a ty, kteří zpracovávají citlivé nebo vysoce důvěrné informace.
V minulosti se vývojáři na koncepty zabezpečení aplikací moc nezaměřovali. Kromě problémů se vzděláváním a školením zdůraznily jejich organizace rychlý vývoj funkcí.
S zavedením postupů DevOps je ale mnohem jednodušší integrovat testování zabezpečení. Místo toho, aby odborníci na zabezpečení prováděli úlohu, by testování zabezpečení mělo být součástí každodenních procesů doručování.
Celkově platí, že když se bere v úvahu čas pro přepracování, může přidání zabezpečení do postupů DevOps zkrátit celkovou dobu vývoje kvalitního softwaru.