“Konuştuğumuz küçük şirketlerin sevdiğim yönlerinden biri de onların olgunluk döngüsüne erken girmemizdir” diyor ”
siber-1
Sadece sınıfının en iyisi ürün güvenliği uzmanları ve güvenlik bilincine sahip geliştiricilerin hâlâ yazılım mühendisliği pazarının “tek boynuzlu atları” olduğunu değil, aynı zamanda çoğu küçük işletmenin bunu yapabilecek kadar büyük olmadığını da anlayacak kadar etrafta dolaştı Uygulamaların tasarlandığı, tasarlandığı ve kodlandığı şekilde yerleşiktir Ve böylece, küçük şirketler, güvenliği pek fazla düşünmeden, çoğu zaman tüm iş modellerinin dayandığı yenilikçi uygulamalar olan yazılımı oluşturur ve gönderir
Bir startup “büyüdüğünde” ve işini bazı uygulama güvenliği profesyonellerini uygun şekilde işe alabilecek kadar büyüttüğünde, tasarım gereği güvenlik çoktan pencereden uçup gitmişti
Bu asırlık bir sorundur ve küçük işletme sahiplerine veya küçük geliştirme ekiplerine vaaz vermek kesinlikle pratik değildir Price şöyle açıklıyor: “Yani bu kesirli modele gerçekten güzel bir tamamlayıcı
“Deneyimli uygulama güvenliği personeli yetersiz ve büyük şirketler, dünyanın Microsoft’ları, Amazon’ları, Apple’ları ve Google’ları tarafından eziliyorlar ve eğer daha küçük bir şirketseniz, rekabet etmiyorsunuz demektir Ürün güvenliği ve AppSec ekiplerine liderlik eden Kymberlee Price, güvenlik araştırmacısı olarak çalıştığını ve Microsoft, Amazon ve Bugcrowd gibi şirketler için kırmızı ekip ve olay müdahale operasyonlarını yürüttüğünü açıkladı Elbette şube korumamız var, tabii ki bunları yapıyoruz çünkü ilk günden beri oradaydılar, oysa güvenlik ekibi daha sonra gelip onlardan bazı şeyleri değiştirmelerini talep ediyordu
“Tam zamanlı bir tek boynuzlu ata ihtiyaçları yok ”
Sonuçta amaç, küçük şirketlerin tasarım gereği güvenlik anlayışını en başından itibaren geliştirmelerine yardımcı olmaktır Ayrıca daha çok tasarım, DevOps hattı, CI/CD, güvenlik kontrolleri ve benzeri şeylerle ürününüzü nasıl güvenli bir şekilde oluşturabileceğinize bakıyoruz
Tasarım gereği güvenli yazılım geliştirmenin temel ilkelerinden biri, kuruluşların güvenlik kaygılarını daha ilk andan itibaren hesaba katma zorunluluğudur Bunu yalnızca harika bir iş fırsatı olarak değil, aynı zamanda teknoloji dünyasında güvenlik konusunda ilerleme kaydetmenin bir yolu olarak görüyor Ancak bunlar genellikle kurumsal odaklı ve uyumluluk odaklıdır
Price, “Bizim en önemli noktamız gerçekten geliştirici deneyimini güvence altına almak, ancak onların teknoloji yığınlarına bakmalarına, bazı önerilerde bulunmalarına ve diğer ortaklara bazı tanıtımlar yapmalarına yardımcı olabiliriz” diyor Bu yeni AppSec ekibi, daha başlamadan sekiz topun arkasında ”
Bazı şirketler, eğer yeterince erken davranırlarsa, eksiksiz bir siber güvenlik programı oluşturma paketine ihtiyaç duyabilirler; kendisi ve Callas’ın bu konuda onlara yardımcı olacak donanıma sahip olduğu bir şey
“Sanal CISO’ları seviyoruz Zatik, şirketlerin bir güvenlik programını çalışır duruma getirmek için ihtiyaç duydukları tek boynuzlu at düzeyindeki AppSec uzmanlığının küçük bir yüzdesinden yararlanmasına yardımcı olan kısmi bir güvenlik danışmanlık firmasıdır
Price’ın yeni danışmanlık şirketi Zatik ile hafifletmeyi umduğu temel sorun da bu Yazılım geliştiren küçük şirketlerin sorunu, bu tür bir sorumluluğu mühendislik veya DevOps sürecine dahil etmek için gerekli olan uygulama güvenliği uzmanlığına erişmenin ve bunun için ödeme yapmanın gerçekten zor olabilmesidir birini çok uzun süre meşgul etmeye yetecek kadar iş “Demek istediğim, çalışanların erişim kontrolü yoksa ürününüzün güvenliğini sağlamanıza yardımcı olamam Price, PGP ve Silent Circle’ı kurmasıyla tanınan bir başka güvenlik yıldızı olan kurucu ortağı Jon Callas ile birlikte, yeni kurulan şirketler ve küçük işletmeler için yazılım güvenliği oyun alanını eşitlemeyi umuyor