Vývojáři softwaru se dnes nejen musejí přizpůsobovat novým postupům a metodám, jako jsou agile, DevOps nebo CI/CD, ale také čelí enormním nárokům na rychlost dodávání výsledků. Řada známých internetových platforem údajně vydává aktualizace každých několik hodin, nikoli dnů či týdnů. Co uděláte, když vám váš nepočetný AppSec tým řekne, že potřebuje dva nebo tři dny na řádné posouzení nového vydání (nepočítaje čas na nápravu zjištěných problémů), jestliže se snažíte zachovat vysoké tempo ne u jedné, ale třeba u desítky aplikací?
Navzdory upřímné snaze zachovat se správně si možná někteří po vzoru tří moudrých opic zakryjí oči, uši a ústa, přičemž pomyslné zlo zde představují zranitelnosti ve vyvíjeném softwaru.
Není tajemstvím, že řada firem má tak nedostatečný přehled o bezpečnosti svých aplikací. Mnohé považují disciplínu AppSec za významnou brzdu procesu vývoje, takže mají tendenci tření omezit nebo odstranit – nebo alespoň kompenzovat nedostatek času a prostředků pomocí techniky. Ta skutečně může výrazně pomoci a v některých ohledech je nezbytná, ale není samospasitelná.
Automatizace je nástroj, nikoli řešení
Na trhu existuje více než desítka uznávaných softwarových nástrojů určených k automatizaci testování aplikací, ale žádný z nich nedokáže posoudit zranitelnosti v kontextu konkrétního oboru nebo způsobu podnikání. Neumějí stanovit priority nejzávažnějších problémů specifických pro daný podnik a jeho zákazníky a mnohdy vyprodukují téměř nekonečný seznam nedostatků. Nevidí podnik jako celek a nevědí, jestli má vybudovanou kulturu informační bezpečnosti, zda má optimalizované procesy pro efektivní zajištění bezpečnosti aplikací nebo zdali je bezpečnostní politika a praxe sladěná s obecnými obchodními cíli.
Stejně jako u jiných nástrojů odráží výsledek schopnosti toho, kdo je ovládá. Mnoho podniků má potíže sehnat schopné a zkušené AppSec datové analytiky, kteří dokážou interpretovat výstupy a fundovaně doporučit řešení s ohledem na rizika, která ze zjištění pro podnik vyplývají.
U velkých firem není neobvyklé, že AppSec nástroje užívají různé týmy, nebo jsou vývojové projekty outsourcované různým dodavatelům, kteří mají vlastní nástroje. I to komplikuje získání jednotného, uceleného přehledu o bezpečnosti aplikací – a potenciálních závažných rizicích, jež mohou podniku hrozit.
Bez takového celkového přehledu je téměř nemožné určit, kam nejlépe nasměrovat zdroje a jak efektivně řídit rizika. Je to podobné jako řídit auto s částečným zakrytým výhledem z čelního okna a bez tachometru. A jak se říká, dobré brzdy nejsou od toho, aby auto zpomalily, ale aby umožnily jet rychleji. Totéž platí o AppSec. Při správném pojetí může být nedílnou součástí vývojového procesu, která nejen že nebude brzdit, ale naopak jej pomůže urychlit.
AppSec řešení příští generace
V posledních letech vznikla nová generace AppSec řešení na vyžádání, tedy externích služeb, které přesně tento problém řeší. Dokážou vyhovět potřebám podniků s rozsáhlým portfoliem aplikací, vícero vývojových týmů a ambiciózním harmonogramem vývoje. Odstraňují také slepá místa tím, že agregují data z různých nástrojů a týmů bez nutnosti nejprve data normalizovat.
Lepší přehled také zvyšuje efektivitu a nabízí úspory nákladů. Pokud například odhalí, že se problém SQL injection objevuje v různých vývojových projektech, nemusí se podnik opakovaně zabývat každým výskytem zvlášť, ale namísto toho může investovat do školení programátorů nebo vytvoření centrální knihovny kódu, kde bude tento problém vyřešen.
Taková služba může poskytnout i přehled o tom, co se děje vně podniku. Může pomoci porovnat dosahované výsledky se situací v celém odvětví a ukázat, kde si organizace vede dobře a na co by se měla více zaměřit.
Dalším klíčovým aspektem AppSec na vyžádání je posuzování celého procesu, nikoli izolovaných aplikací. Optimalizace podniku za účelem dosažení vyšší efektivity a rychlosti vývoje může zahrnovat disciplíny jako řízení rizik, digitální transformace, řízení změn, zajištění compliance a další – tedy otázek, které žádný čistě softwarový nástroj nevyřeší.
Autor je ředitelem poradenské agentury.
Zajímají vás informační technologie a chcete získat nadhled?
Odebírejte náš Newsletter, který posíláme zpravidla dvakrát do měsíce a který obsahuje výběr unikátních článků nejen našich autorů, ale také ze sítě mezinárodního vydavatelství IDG.
» Přihlaste se zdarma! [Odběr můžete kdykoli zrušit]