Выбор инструментов для безопасной разработки: важность контекста и интеграции
Когда разработчик попадает в большой корпоративный конвейер, в котором на каждом этапе разработки развернут security-гейт, то от обилия всевозможных утилит и проверок у него может закружиться голова.
SCA, SAST, DAST, IAST, MAST, WAF - эти аббревиатуры уже стали привычными. CSPM, KSPM, ASOC, ASPM, ASPE, CNAPP, DSPM, CWP, RASP, SSPM, CVM, ASM, AST - вот тут уже может поплыть даже начинающий инженер ИБ.
Понимание актуальных инструментов и продуктов пригодится не только для обеспечения безопасности процесса разработки, но и для того чтобы регулярно сверяться с картой и отвечать на вопрос: нужны ли нам новые решения или старые инструменты еще справляются? Каждый отвечает на этот вопрос сам, а я помогаю выделить основные тренды в безопасной разработке:
1. Контекст важнее всего.
Security-инструменты отличаются своим “шумом”: они создают слишком много предупреждений и инсайдов. Новые продукты делают упор на контекст, в котором обнаружилась проблема. При ограниченном ресурсе, это помогает выставить приоритет.
2. ASPM и ИИ - два ключевых “агента изменений” в разработке.
Application Security Posture Management (ASPM) - продукт, который помогает управлять безопасностью приложений на всех этапах разработки, и который пока еще не стал стандартом в SDL. Про потенциал ИИ уже рассказывал.
3. Курс на консолидацию.
Зрелая команда разработки использует примерно 15 инструментов безопасности. Каждый инструмент решает свою задачу и возможно, делает ее хорошо. Но эффективно управлять этим оркестром можно только, если есть “панель управления для дирижера”.
Вернемся к вопросу: нужны ли нам новые решения или старые инструменты еще справляются?