روابط سريعة
يشير مصطلح “التحول إلى الأمان من اليسار” إلى نموذج تطوير برمجيات يأخذ في الاعتبار الأمان بشكل كامل منذ البداية. وحتى وقت قريب، كان الأمان يأتي في نهاية العملية في هيئة تدقيق بدء التشغيل. وهذا يعيق الرؤية فيما يتعلق بموقفك الأمني العام، مما يسمح للتهديدات بالتسلل دون أن يلاحظها أحد.
إن مفهوم التحول إلى اليسار يشكل جزءًا حيويًا من DevSecOps، وهو توسع DevOps الذي ينظر إلى الأمان باعتباره مكونًا من الدرجة الأولى. ويحاول معالجة الفجوة بين المطورين وفرق العمليات وخبراء الأمان، وتشجيع جميع أصحاب المصلحة على التفكير يوميًا في الصورة الأمنية الأكبر.
التصميم من أجل الأمن
إن مراعاة الأمان في البداية يزيد من احتمالية حصولك على نظام محكم الإغلاق. أما ترك الأمر لفريق متخصص في النهاية فيزيد من احتمالية تجاهلك للمشكلات المدفونة عميقًا داخل مسارات التعليمات البرمجية.
إن تحويل الأمان إلى اليسار بشكل صحيح يدرك أهميته ويجعل المزيد من الأفراد مسؤولين عن تنفيذه. يجب أن يكون المطورون على دراية بالتداعيات الأمنية الشاملة لشفراتهم، دون الاعتماد على عمليات تدقيق فريق مخصص. هذا لا يعني أن الفريق المنفصل غير ضروري تمامًا: لا تزال المراجعة قبل الإطلاق فكرة جيدة ولكنها يجب أن تكون أقل استهلاكًا للوقت إذا كان الأمان مدمجًا بالفعل منذ البداية.
يساعد النهج المتغير في تعزيز ثقافة DevOps الإنتاجية. يتم تعزيز التعاون بين الفرق من خلال مناقشة التطوير والأمان بالتوازي، بدلاً من التحرك عبر تدفق خطي صارم.
يتعين على المطورين أن يكونوا على دراية بسياق الأمان على مستوى التطبيق والمؤسسة الذي سيعمل الكود الخاص بهم ضمنه. بعض تدابير الأمان، مثل تشفير كلمة المرور القوي والتحقق من المفاتيح، هي بالفعل إجراءات افتراضية بحكم الأمر الواقع؛ وتختلف تدابير أخرى مثل المسح النشط للثغرات الأمنية والتدقيق الشامل للأحداث بشكل كبير بين المؤسسات. وقد يغفل عنها المطورون الجدد غير الملمين بمعايير أمان المشروع.
يحتاج العاملون في مجال الأمن إلى فهم وجهة نظر فريق التطوير أيضًا. إن تنفيذ تدابير الأمن الأكثر صرامة يمكن أن يزيد من تعقيد التعليمات البرمجية، مما يزيد من الجدول الزمني للمشروع. وهذا يؤثر على فرق إدارة المشروع وأصحاب المصلحة في الأعمال، وكلاهما يستفيد أيضًا من رؤية أفضل لموقف أمان التطبيق.
بالإضافة إلى مكونات البرامج، يجب عليك أيضًا إلقاء نظرة على مجموعة الشبكات وأي أجهزة مادية في البنية الأساسية لديك. يمكن لمنتجات إنترنت الأشياء على وجه الخصوص أن تقدم نقاط ضعف فريدة تمنح المهاجمين موطئ قدم في نظامك. يجب أن يكون الأشخاص الذين يشرفون على هذه الأنظمة على دراية بأساسيات الأمان لديك أيضًا.
كيفية التحول إلى اليسار؟
إن التحول إلى اليسار ليس بالأمر الذي يحدث بين عشية وضحاها. فالتحول الفعّال يعتمد على تغيير في طريقة التفكير في مختلف أنحاء المؤسسة. قد تقضي فترة ما بعد الظهر في مناقشة الأمن في اجتماع يضم جميع الموظفين، ولكن ما لم يتم سن التغييرات واختبارها وتكرارها، فلن تكون في وضع أفضل مما كنت عليه في الصباح.
أولاً وقبل كل شيء، من المهم تحديد متطلبات الأمان الأساسية لنظامك. إن مجموعة موثقة بوضوح من الأسس الفنية، والروتينات الإجرائية، وخطوط الأساس للامتثال تجعل الجميع على نفس الصفحة، سواء كانوا قادمين من “التطوير” أو “الأمن” أو “العمليات”. يمكنك استخدام معايير المجتمع الشائعة مثل إرشادات OWASP كنقطة بداية.
بعد ذلك، ألق نظرة على عمليتك الحالية. أين يقع الأمان؟ إذا كانت هذه هي محاولتك الأولى لتغيير الأمان إلى اليسار، فقد تجد أن الأمان يقع على مسافة بعيدة إلى اليمين. قم بتحليل عمليتك لتحديد المكان الذي يمكن أن يكون فيه الأمان. في أي المناقشات يجب أن يظهر الأمان؟
تريد أن يتم ذلك في أقرب وقت ممكن، ولكن الموقف الدقيق يختلف باختلاف المؤسسة. في عالم مثالي، سيتم النظر في الأمان بمجرد تحديد نطاق وظائف المشروع بالكامل ولكن قبل اختيار بنية تقنية ثابتة. يمنحك هذا المرونة اللازمة لاتخاذ خيارات واعية بالأمان دون القلق من أنك ستحتاج إلى البدء من جديد عند تحديد المواصفات.
قبل بدء التطوير، قدم للجميع نظرة عامة على نموذج أمان النظام. اجعل مسؤولية التطوير تتلخص في التأكد من تنفيذ المعايير الفنية بينما تضمن فرق التشغيل التزام بيئات الإنتاج بالخطوط الأساسية المتفق عليها.
أثناء التطوير وبعده، يجب تدقيق الكود وفحصه وفحصه للتأكد من أنه يعمل كما هو مقصود. أنت بحاجة إلى طريقة للتحقق من أن مكونات الكود والبنية الأساسية تمتلك الصفات التي حددتها.
لحسن الحظ، كانت أدوات الأمن تتحرك بنفس وتيرة منهجيات العمل التي تساعد في تيسيرها. يتيح فحص الثغرات الأمنية التلقائي للمطورين التحقق من أمان التعليمات البرمجية دون زيادة الوقت الذي يقضونه في كتابتها. وعلى نحو مماثل، يساعد فحص التبعيات الخارجية المستخدمة في المشاريع في الدفاع ضد المد المتصاعد لهجمات سلسلة التوريد.
يمكنك استخدام السلالة الجديدة من أدوات اختبار API fuzz لإجراء عمليات فحص أمنية لنقاط النهاية الحية الخاصة بك. يمكن أن يساعد ذلك في الكشف عن المشكلات التي تظهر فقط في سيناريوهات محددة، مما يحسن تغطية اختبار الأمان لديك.
هناك جانب آخر من الأدوات يتعلق بتجربة المطور اليومية. حيث يوفر استخدام أدوات التحرير والمكونات الإضافية داخل المحرر ملاحظات فورية لكل سطر على حدة، مع الإشارة إلى المشكلات في اللحظة التي يتم فيها إدخال الكود. وتضمن استراتيجية المراجعة والدمج الفعّالة وجود أعين متعددة على كل تغيير.
قم بأتمتة أكبر عدد ممكن من عناصر التحكم لديك. وهذا من شأنه أن يخفف من هدر الوقت ويساعد في إبقاء أعضاء الفريق على تواصل. وقد يؤدي إضافة التعقيد إلى العملية إلى الإحباط، مما يدفع المطورين في النهاية إلى البحث عن طرق لتجنب عمليات التحقق من الأمان.
فوائد التحول إلى اليسار
تستفيد المنظمات التي تنجح في التحول إلى اليسار من وضع أمني محسّن يمكن صيانته بشكل أفضل بمرور الوقت. ويؤدي ذلك إلى ثقافة واعية بالأمن حيث يفهم الجميع عناصر التحكم في النظام وسبب وجودها.
إن تحويل الأمان إلى اليسار يمكن أن يحسن أيضًا من جودة الكود ويؤدي إلى تصميمات معمارية أكثر تقدمًا. إن إدخال الأمان منذ البداية يمكن أن يكشف عن استراتيجيات بديلة تحل مشاكل أوسع نطاقًا من الأمان وحده. كما أنه يعزز ممارسات التطوير الحديثة من خلال تشجيع استخدام الأدوات الآلية.
يمكن أن يخفف هذا النموذج من الضغوط التي تنشأ في يوم الإصدار أيضًا. فلا توجد حاجة إلى تدقيق الحلول قبل طرحها للبيع، حيث سيتم تقييمها باستمرار طوال عملية التطوير. ويؤدي اكتشاف المشكلات في وقت مبكر إلى تسهيل إصلاحها وتقليل تكلفتها. وإذا تم العثور على مشكلة أمنية في مرحلة التطوير، فيمكن حلها بأمان دون أي تأثير على بيانات العملاء.
ملخص
يشير مصطلح “التحول إلى اليسار” إلى رفع مكانة الأمان في دورة حياة تطوير البرمجيات إلى مرتبة الأولوية والمرجعية المستمرة. وهو يتحدى التصور القائل بأن الأمان غالبًا ما يكون مجرد فكرة لاحقة، يتم تقييمها على عجل قبل إطلاق نظام جديد.
إن معالجة مشكلة الأمان منذ اليوم الأول تمنحك راحة بال أكبر، وتعاونًا أكبر بين أعضاء الفريق، واكتشافًا مبكرًا للمشكلات. ولن تضطر إلى ملاحقة مشكلات الأمان في وقت متأخر من اليوم، حيث ستظهر أثناء التخطيط أو التطوير أو مراجعة التعليمات البرمجية. وهذا يساعد في تدفق الإصدارات بسلاسة وأمان.
يتناسب نقل الأمان إلى اليسار بشكل جيد مع المفاهيم الحديثة الأخرى مثل منهجيات السحابة الأصلية وإجراءات DevOps. تساعدك جميعها على إنشاء برامج أكثر مرونة في إطار زمني أقصر دون المساس بتجربة المطور. مع تزايد الهجمات الإلكترونية، فإن تخصيص الوقت لدمج الأمان بشكل أفضل في عملية التطوير الخاصة بك سيساعدك على الدفاع عن بياناتك وعملائك ضد التهديدات الناشئة.