افزایش امنیت در توسعه برنامه‌های کاربردی با Devops

0
308
Devops

امروزه Devops، باعث ایجاد تحول در روند توسعه برنامه‌های کاربردی شده است؛ استفاده از اصول یکسان در ایجاد برنامه‌های کاربردی در زمینه‌های خودکارسازی (Automation)، یکپارچه‌سازی (Integration) و نحوه همکاری (Collaboration)، می‌تواند امنیت محصولات تولید شده را به میزان زیادی بهبود بخشد.

کارشناسان امنیت سازمان‌ها، اغلب به عنوان افرادی در نظر گرفته می‌شوند که مهارتی در مورد چگونگی پیاده‌سازی امنیت در سازمان‌ها نداشته و تنها به کاهش ریسک می‌اندیشند و بیشتر به عنوان عواملی تلقی می‌شوند که به انجام کامل وظایف و دسترسی به داده‌های مورد نیاز در سازمان کمک می‌نمایند.

تیم‌های امنیتی برای انجام تغییرات مورد نظر باید سریع‌تر و کاراتر عمل نموده و سازگاری بیشتری با تغییرات داشته باشند. این موضوع شباهت زیادی به Devops دارد.

Haiyan Song، معاون بخش امنیت در Splunk اظهار داشت: Devops می‌تواند به عنوان مبنایی برای امنیت باشد. Devops موجب تشویق به سمت فرآیند‌های خودکارسازی و همچنین یکپارچه‌سازی بهتر در میان ابزارهایی می‌گردد، که کارشناسان امنیتی بیش از پیش در حال کشف و شناسایی این دو فرآیند به منظور شفاف‌سازی امنیت در سراسر سازمان می‌باشند.

وی افزود: امنیت باید به عنوان بخشی از ساختار در نظر گرفته شود، که در این صورت کاربران نیازی به توجه به موضوع امنیت نخواهند داشت.

سازمان‌هایی که از اصول Devops، برای کمک به تیم‌های توسعه و عملیات جهت همکاری با یگدیگر به منظور بهبود توسعه و نگهداری نرم‌افزارها استفاده می‌نمایند، در حال افزایش می‌باشند؛ این سازمان‌ها به دنبال وارد نمودن امنیت در تمامی فرآیندهای خود می‌باشند. فرآیند آزمایش خودکار و مستمر موجب بهبود امنیت در برنامه‌های کاربردی و افزایش قابلیت دید (Visibility) در عملیات‌ها نیز موجب بهبود امنیت شبکه می‌گردد.

Song در ادامه صحبت‌های خود بیان نمود: عملکرد سریع‌تر به معنای توجه بیشتر به آسیب‌پذیری‌های امنیتی می‌باشد. در ضمن، این فرآیند صرفا در مورد توجه به Bugها در طول فرآیند توسعه نبوده و قابلیت پاسخگویی به مشکلات و رفع آن در صورت رخداد را نیز دربر دارد.

در صورت خودکارسازیِ فرآیند جمع‌آوری و آنالیز داده‌ها، Developerها، تیم‌های امنیتی و عملیاتی قادر به همکاری با یکدیگر خواهند بود. لازم به ذکر است که مزایای آن نیز فراتر از ایجاد امنیت در برنامه‌های کاربردی خواهد بود. Song به ارائه‌ی نمونه‌ای از یک سازمان پرداخت که پس از ارائه به‌روزرسانی، برای برخی قسمت‌های برنامه‌کاربردی تجارت الکترونیک خود، با افت شدیدی در فروش مواجه گردید. حال این سوال مطرح می‌شود که آیا مشکل در رابطه با به‌روزرسانی انجام شده بوده و یا خود برنامه نقایصی داشته است؟ در نتیجه بررسی‌ها مشخص شد که گواهی SSL منقضی شده است.

لازم به ذکر است که با جمع‌آوری تمامی عوامل در یک جا، شناسایی و حل مشکل نیز ساده‌تر می‌شود. به گفته وی، این راهکار ترکیبی از تیم‌ها و عملیات‌های مختلف است که در حال همکاری با یکدیگر می‌باشند.

Devops، شناسایی رخداد، دلیل آن و اتفاقی که پس از آن رخ خواهد داد را برای همه ساده‌تر می‌نماید. این قابلیت دید (Visibility) برای تیم‌های امنیتی اهمیت فراوانی دارد، زیرا این افراد مسئول کنترل عملیات‌های شبکه و یا سیستم‌های مختلف نمی‌باشند. با خودکار شدن فرآیند جمع‌آوری و آنالیز داده‌ها در تمامی دامنه‌ها، ویژگی “Situationally Aware” برای تمامی فرآیندها ایجاد می‌شود. با قرار دادن تیم‌های امنیتی در کنار مدیران شبکه و پایگاه‌داده، ذی‌نفعان کسب‌و‌کار، عملیات‌ها و Developerها، همه آنها می‌توانند در کنار یکدیگر کار کنند.

وی در پایان صحبت‌های خود افزود: امنیت در یک Silo ایجاد نمی‌شود. برداشتن موانع موجود بین تیم‌ها، اطلاعات عملیات‌های امنیتی را در مورد اتفاقاتی که سریع‌تر رخ داده است، ارائه می‌نماید. اعلام هشدار سریع‌تر به معنای آن است که عملیات‌های امنیتی زودتر متوجه مشکل شده و به ارائه اطلاعات بهتری می‌پردازند که در فرآیند کشف یک راهکار مناسب به تیم‌های امنیتی کمک خواهد نمود.

بدون دیدگاه

دیدگاهتان را بنویسید

*