آخرین تغییرات در الگوی امنیت فناوری

در گذشته، امنیت فناوری اطلاعات اغلب در فرآیند ساخت برنامه‌ها به عنوان یک نقشه دوم و درست بعد از ساخت برنامه کاربردی و کد مورد توجه قرار می‌گرفت.با این حال بر اساس مطالعه اخیر DevSecOps در مورد اقدامات امنیتی سازمانی و اطلاعات منتشر شده توسط Sonatype، از سال 2014، این الگوی مکرر تغییر یافته است.

گروه فناوری _ در گذشته، امنیت فناوری اطلاعات اغلب در فرآیند ساخت برنامه‌ها به عنوان یک نقشه دوم و درست بعد از ساخت برنامه کاربردی و کد مورد توجه قرار می‌گرفت.با این حال بر اساس مطالعه اخیر DevSecOps در مورد اقدامات امنیتی سازمانی و اطلاعات منتشر شده توسط Sonatype، از سال 2014، این الگوی مکرر تغییر یافته است، زیرا به نظر می‌رسد تاکید بیشتر بر امنیت، به ایجاد و توسعه نرم افزار منجر شده است.

به گزارش بولتن نیوز ، نظرسنجی جامع DevSecOps 2017، نشان داد که در سال 2014 تنها 5 درصد از پاسخ دهندگان گفتند که تجزیه و تحلیل امنیتی نرم افزار در مرحله اولیه طرح / معماری پروژه انجام شده است، درحالیکه این آمار در سال 2017 به 13 درصد رسیده است. در مرحله توسعه، این رقم در سال 2014 به 20 درصد و در سال 2017 به 34 درصد افزایش یافته است، در حالی که در مرحله آزمایش Q / A این رقم در سال 2014 به 21 درصد و در سال 2017 به 49 درصد افزایش یافت. قبل از مرحله پیش تولید، تجزیه و تحلیل امنیت نرم افزار 24 درصد از زمان در سال 2014 و 45 درصد از زمان در سال 2017 انجام شد، در حالی که در تولید آن 29 درصد از زمان در سال 2014 و 42 درصد از زمان در سال 2017 انجام شد. آمار نشان می‌دهد که در سال 2014، 15 درصد و در سال 2017، 27درصد دیگر این تجزیه و تحلیل در طول فرایند انجام شده است. این آمارها در هر دسته برای شرکت‌هایی که از سال های 2017 از فناوری DevOps تکامل یافته استفاده می‌کنند، بیشتر است.

درک ویکس، معاون رئیس و وکیل DevOps در Sonatype به ITPro گفت: "بزرگترین چیزی که مطالعه به ما نشان داد این است که امنیت به عنوان یک عملکرد، بیشتر در حال تکامل است. امنیت جدا از هرچیزی در گذشته، به طور سنتی بیشتر در مرکز اصلی خود بوده است. اما طی چند سال گذشته، سازمان‌ها در زمینه نرم‌افزارهای خود، امنیت بیشتری را در نظر گرفتند، به این ترتیب همانطور که سعی بر گنجاندن امنیت در برنامه های کاربردی دارند زمانی که وارد مرحله تولید می‌شوند امن‌تر هستند. "

ویکس گفت: شماره های نظرسنجی سال 2017 که براساس پاسخ‌های آنلاینی از 2,229 متخصص فناوری اطلاعات در سراسر جهان گرفتند (از جمله 1,759 نفر که به طور کامل به این نظرسنجی پاسخ دادند)، دریافتند که اجرای شیوه‌های امنیتی خودکار برای سازمان‌های فناوری اطلاعات رشد یافته، همگام با توسعه دو تا سه سال طول می‌کشد. این مطالعه شامل 37 سوال درباره امنیت و توسعه بود و بین 1 فوریه تا 28 فوریه 2017 انجام شد. این چهارمین نظرسنجی است که از سال 2011 با تمرکز بر برنامه‌های کاربردی و اقدامات امنیتی، توسط Sonatype انجام شده است و همچنین به عنوان DevSecOps نیز شناخته می‌شود.

ویکس گفت: "شیوه‌های اتوماتیک نه تنها بیشتر وارد این مراحل شده‌اند، بلکه سریع و همه جا در سراسر چرخه توسعه قرار دارند. سازمان‌های DevOps می‌گویند اگر واقعا می‌خواهند در زمینه امنیت، عالی باشند باید زود و همگام با توسعه تلاش کنند."

او اضافه کرد که روش‌های قدیمی که شامل ساخت برنامه‌ها و سپس ارسال آن‌ها به تیم امنیتی در آخرین لحظه است، تنها باعث از دست دادن فرصت است. او گفت که مشکل این رویکرد این بود که توسعه‌دهندگان در حال کار بر روی پروژه‌های بعدی خود بودند و نگرانی های امنیتی را به حال خود رها می‌کردند تا به یک نقص تبدیل شوند.

آخرین تغییرات در الگوی امنیت فناوری

ویکس گفت: "تیم‌های توسعه‌ای متوجه شده‌اند که میتوانند درحالیکه برنامه‌های کاربردی می‌سازند در مورد شیوه‌های برنامه نویسی امن نیز صحبت کنند...شخصی می‌تواند بگوید که چارچوب ورود به سیستم آسیب پذیر است و آن را پیش از اینکه جلوتر برود حل کند. اگر توسعه دهندگان را با این اطلاعات در اوایل چرخه حیات توسعه نرم افزار توانمند کنند، آن‌ها می‌توانند بلافاصله مشکل را حل کنند."

شرکت های بیشتری متوجه شده‌اند که این روش بسیار بهتر از این است که یک ماه بعد بشنوند برنامه دارای مشکل است و باید درست شود. ویکس گفت: "حالا ما شواهد تجربی داریم که نشان می‌دهد این اتفاق می‌افتد."

نظرسنجی Sonatype 2017 همچنین گزارش داد که 50 درصد توسعه دهندگان پاسخ دادند که آن‌ها می‌دانند امنیت مهم است اما اغلب به دلیل برنامه کاری شلوغشان زمان کافی برای صرف آن کردن، ندارند.

در مقایسه با 14 درصد در سال 2014، بیست درصد از پاسخ دهندگان سال 2017 اعلام کرده‌اند که در سال گذشته برای باز کردن منابع دچار نقص امنیتی یا مشکوک به آن بوده‌اند.

تقریبا 67 درصد از پاسخ دهندگان سال 2017 کسب و کار IT DevOps خود را بسیار کامل و یا درحال بهبود اعلام کرده‌اند. حدود 47 درصد از تیم‌های عملیاتی و توسعه سنتی، تیم‌های امنیتی DevOps و سیاست‌های آن‌ها را باعث کند شدن خود می‌دانند، در حالی که تنها 28 درصد از تیم‌های رشد یافته DevOps معتقدند که درخواست‌های امنیتی باعث کند شدنشان می‌شود.