Küçük Şirketlerin vCISO'lara Benzer Kesirli AppSec Ekiplerine İhtiyacı Var mı? - Dünyadan Güncel Teknoloji Haberleri

Küçük Şirketlerin vCISO'lara Benzer Kesirli AppSec Ekiplerine İhtiyacı Var mı? - Dünyadan Güncel Teknoloji Haberleri

Price’ın yeni danışmanlık şirketi Zatik ile hafifletmeyi umduğu temel sorun da bu Yazılım geliştiren küçük şirketlerin sorunu, bu tür bir sorumluluğu mühendislik veya DevOps sürecine dahil etmek için gerekli olan uygulama güvenliği uzmanlığına erişmenin ve bunun için ödeme yapmanın gerçekten zor olabilmesidir ”

Bazı şirketler, eğer yeterince erken davranırlarsa, eksiksiz bir siber güvenlik programı oluşturma paketine ihtiyaç duyabilirler; kendisi ve Callas’ın bu konuda onlara yardımcı olacak donanıma sahip olduğu bir şey Bunu yalnızca harika bir iş fırsatı olarak değil, aynı zamanda teknoloji dünyasında güvenlik konusunda ilerleme kaydetmenin bir yolu olarak görüyor ”



siber-1

Strateji belirlemek için belki çeyreklik bir tek boynuzlu ata ihtiyaçları var ve ardından yılın geri kalanında bir tek boynuzlu atın %10’una ihtiyaçları var” diyor “Demek istediğim, çalışanların erişim kontrolü yoksa ürününüzün güvenliğini sağlamanıza yardımcı olamam Uygulamaların tasarlandığı, tasarlandığı ve kodlandığı şekilde yerleşiktir Price şöyle açıklıyor: “Yani bu kesirli modele gerçekten güzel bir tamamlayıcı

“Deneyimli uygulama güvenliği personeli yetersiz ve büyük şirketler, dünyanın Microsoft’ları, Amazon’ları, Apple’ları ve Google’ları tarafından eziliyorlar ve eğer daha küçük bir şirketseniz, rekabet etmiyorsunuz demektir Ürün güvenliği ve AppSec ekiplerine liderlik eden Kymberlee Price, güvenlik araştırmacısı olarak çalıştığını ve Microsoft, Amazon ve Bugcrowd gibi şirketler için kırmızı ekip ve olay müdahale operasyonlarını yürüttüğünü açıkladı



Tasarım gereği güvenli yazılım geliştirmenin temel ilkelerinden biri, kuruluşların güvenlik kaygılarını daha ilk andan itibaren hesaba katma zorunluluğudur Kendisi ve Callas’ın şu anda şirketi kendilerinin yönettiğini ancak Zatik’in ölçeklenmesiyle daha fazla personel getirmeyi planladıklarını ve aynı zamanda müşterileri için gerekli alanlarda ek uzmanlık sağlamak üzere bir ortaklar ağından faydalanmayı planladıklarını söylüyor

Bu asırlık bir sorundur ve küçük işletme sahiplerine veya küçük geliştirme ekiplerine vaaz vermek kesinlikle pratik değildir birini çok uzun süre meşgul etmeye yetecek kadar iş Price, PGP ve Silent Circle’ı kurmasıyla tanınan bir başka güvenlik yıldızı olan kurucu ortağı Jon Callas ile birlikte, yeni kurulan şirketler ve küçük işletmeler için yazılım güvenliği oyun alanını eşitlemeyi umuyor “Büyüdükçe, işe aldıkları ve yönettikleri mühendislerin bunun ‘biz bunu böyle yapıyoruz’ olduğunu anladığı, tasarımı itibarıyla güvenli bir platformla büyüyorlar Ve böylece, küçük şirketler, güvenliği pek fazla düşünmeden, çoğu zaman tüm iş modellerinin dayandığı yenilikçi uygulamalar olan yazılımı oluşturur ve gönderir Elbette şube korumamız var, tabii ki bunları yapıyoruz çünkü ilk günden beri oradaydılar, oysa güvenlik ekibi daha sonra gelip onlardan bazı şeyleri değiştirmelerini talep ediyordu Ayrıca daha çok tasarım, DevOps hattı, CI/CD, güvenlik kontrolleri ve benzeri şeylerle ürününüzü nasıl güvenli bir şekilde oluşturabileceğinize bakıyoruz Ancak bunlar genellikle kurumsal odaklı ve uyumluluk odaklıdır Bu yüzden diğer alanlara burnumuzu sokmayız Yazılım yığınında halihazırda bir ton güvenlik teknik borcu birikmiş durumda

“Konuştuğumuz küçük şirketlerin sevdiğim yönlerinden biri de onların olgunluk döngüsüne erken girmemizdir” diyor Bu yeni AppSec ekibi, daha başlamadan sekiz topun arkasında

Bir startup “büyüdüğünde” ve işini bazı uygulama güvenliği profesyonellerini uygun şekilde işe alabilecek kadar büyüttüğünde, tasarım gereği güvenlik çoktan pencereden uçup gitmişti

“Tam zamanlı bir tek boynuzlu ata ihtiyaçları yok Pahalı bir yeniden düzenlemeye gerek kalmadan, çoğu zaman yapabilecekleri tek şey, güvenlik kontrollerini devreye sokmak veya çok derinlere gidebilecek güvenlik sorunlarına yara bandı uygulamaktır

Price, “Bizim en önemli noktamız gerçekten geliştirici deneyimini güvence altına almak, ancak onların teknoloji yığınlarına bakmalarına, bazı önerilerde bulunmalarına ve diğer ortaklara bazı tanıtımlar yapmalarına yardımcı olabiliriz” diyor Biraz farklı bir odağa sahip, sanal bir CISO ile aynı kalıpta oluşturulmuştur ”

Sonuçta amaç, küçük şirketlerin tasarım gereği güvenlik anlayışını en başından itibaren geliştirmelerine yardımcı olmaktır

Sadece sınıfının en iyisi ürün güvenliği uzmanları ve güvenlik bilincine sahip geliştiricilerin hâlâ yazılım mühendisliği pazarının “tek boynuzlu atları” olduğunu değil, aynı zamanda çoğu küçük işletmenin bunu yapabilecek kadar büyük olmadığını da anlayacak kadar etrafta dolaştı

“Sanal CISO’ları seviyoruz Zatik, şirketlerin bir güvenlik programını çalışır duruma getirmek için ihtiyaç duydukları tek boynuzlu at düzeyindeki AppSec uzmanlığının küçük bir yüzdesinden yararlanmasına yardımcı olan kısmi bir güvenlik danışmanlık firmasıdır