Зменшення кількості помилок, пов'язаних з безпекою, на 1000 рядків коду

Ви колись намагались зменшити кількість помилок на 1000 рядків коду? Це важке завдання, і його складність росте пропорційно до кількості кодерів в команді розробників. Просте копіювання і вставка з Medium чи OWASP не працює. Тут ви зможете знайти поради по досягненню цієї амбітної цілі.

Спочатку приводьте в порядок IT, потім безпеку

В будь-якому випадку, якщо команда не виконує сувору дисципліну кодування і не приймає внутрішніх заходів щодо забезпечення якості, то в проекті не знайдеться місця і на безпеку. Тож, спробуйте попрацювати з менеджерами проектів, керівниками команд, архітекторами, щоб розробити рекомендації щодо написання коду і правил забезпечення якості. Це підвищить якість продукту, і розробники звикнуть до політики та стандартів. Тоді ви легенько зможете ввести основні моменти безпеки в ці внутрішні правила.

Фокусуйтесь на найкритичніших помилках

У нас є багато каталогів помилок: OWASP TOP-10, SANS 25, Application Security Verification Standard (ASVS) з близько 100 вразливостями і звичайно CWE з сотнями помилок. Ніхто не може боротися зі всіма цими проблемами безпеки одночасно. Управління полягає в оцінці і ставленні правильних пріоритетів. Тож, знаходьте корінь помилок за допомогою тестування на проникнення, перевірки безпеки коду і експертних знань. Працюйте над його усуненням. Покращуйте стан і вже потім збільшуйте набір вразливостей, які вже не повинні з'являтися у ваших системах.

Полегшуйте роботу розробників

Політика безпеки у великих масштабах завжди повинна підтримуватись технологіями. Забезпечуйте дотримання правил написання коду потужними інструментами статичного і динамічного аналізу:

• аналізатором коду
• технікою fuzzing з тестування додатку
• пристроєм відстеження залежностей
• програмним засобом Chaos Monkeys.

Інтегруйте інструменти в IDE, фіксуйте пастки та конвеєри CI/CD. Але будьте обережні, щоб не завалити розробників тоннами помилкових спрацьовувань. В іншому випадку це спрацює вам не на користь. Ми напишемо окрему статтю в блозі про те, як вашим розробникам надавати належний статичний аналіз і інструменти.

Зв’яжіться з нашою професійною командою, щоб розпочати безпечний життєвий цикл у вашій організації. І ви побачите, як кількість помилок буде дуже швидко зменшуватись!