Catégories
Start-up et applications

Les développeurs jouent un rôle plus important dans la sécurité

À mesure que les entreprises modifient leurs activités pour interagir avec les clients en ligne, les développeurs deviennent un centre d'innovation. Ainsi, au fur et à mesure que ces entreprises développent des pratiques DevOps et DevSecOps, elles rassemblent des équipes autour du développeur pour s'assurer que, alors qu'elles créent de nouvelles fonctionnalités à un rythme rapide, les composants de sécurité et d'exploitation évoluent avec cela.

Pourtant, le développement et la sécurité ont toujours été en désaccord. Le développement consiste à agir rapidement pour innover, tandis que la sécurité concerne la gestion des risques dans l'organisation, et cela prend du temps. Alors que les équipes de développement ont gagné en influence au sein de l'entreprise, les responsables de la sécurité ont dû changer leur état d'esprit et trouver de nouvelles façons de parler aux développeurs.

Eric Swenson, vice-président du marketing produit pour le fournisseur de solutions de sécurité Checkmarx, a déclaré que la sécurité doit travailler pour permettre un développement sécurisé et aller au-delà d'un «département sans stigmatisation» pour aider à réduire les risques par rapport à ce qu'elle fait, car elle va potentiellement introduire des risques.

Il y a quelques années, Swenson a déclaré: «J'ai eu une conversation avec un de mes amis, qui était un architecte de sécurité pour une société de streaming en ligne. J'ai contesté sa mentalité autour de la sécurité en tant que porte ou bloqueur possible. Il m'a dit à un moment donné qu'il préférait fermer un site Web pour éviter toute sorte de violation de données ou de perturbation des opérations commerciales. Et j’ai dit: «Eh bien, vous savez, c’est intéressant, mais essayez de contacter votre PDG pour lui dire que vous allez fermer le site Web parce que vous êtes préoccupé par un risque de sécurité. Vous êtes peut-être en train de changer votre carrière. »

DevOps – et DevSecOps – nécessitent de déplacer la planification et les tests de sécurité vers le développement logiciel. Les applications sont construites en petits morceaux, passant par des pipelines CI / CD et déployées dans des conteneurs. Certaines équipes travaillent uniquement sur le front-end de l'application. D'autres ne travaillent que sur le back-end, et d'autres encore travaillent sur les intégrations. Pour cette raison, la sécurité doit être prise en compte tout au long du cycle de vie du développement, par rapport à l'attente jusqu'à ce que l'application s'exécute en production, ce qui entraîne des coûts plus élevés de correction des vulnérabilités et ralentit l'innovation.

«Les développeurs archivent et retirent des éléments de l'application dont ils sont responsables, ajoutent des fonctionnalités et des capacités supplémentaires, puis les réintègrent dans le référentiel central au fur et à mesure du processus de développement; l'analyse des vulnérabilités critiques le plus tôt possible dans ce processus par le développeur présente une opportunité pour l'actionnariat en sécurisant l'application », a expliqué Swenson.

Et comme les applications sont construites à partir de petits services et composants, il est logique que les développeurs qui créent ces éléments possèdent tout, y compris les tests de sécurité.

«Pour les organisations adoptant une philosophie DevOps pour le développement d'applications, une partie de cette philosophie consiste à permettre aux développeurs d'utiliser les outils et les technologies nécessaires pour agir rapidement et innover; les équipes de sécurité doivent changer leur approche vers un rôle plus consultatif auprès des développeurs », a-t-il déclaré. «Et donc vraiment, si vous pensez à l’ensemble du cycle de vie du développement logiciel, c’est certainement un processus en évolution. Traditionnellement, le rôle lourd de la sécurité doit évoluer pour éduquer et orienter le développement vers les meilleures pratiques pour un développement sécurisé. »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *