מאמר זה יעסוק בשירותים נוספים שמספקת MADSEC SECURITY, והם:
- Security code review
- הדרכת מפתחים לכתיבת קוד באופן מאובטח
חשיבות הפיתוח המאובטח
אותנו זה תמיד מפתיע לשמוע ממהנדסי תוכנה על כך שכלל לא למדו על פיתוח מאובטח במהלך לימודיהם. לפיכך, לא פלא שהקוד שנכתב על ידם מוכוון ליעילות מקסימלית ולא מתייחס לסוגיות של אבטחת מידע. זה מזכיר במקצת את האופן שבו התייחסו בעבר ל- QA, שבוצע רק בסוף התהליך, מה שגרר עיכובים רבים. כיום, ברור לכולם ש- QA מעורב בכל שלבי הפיתוח ולא רק לאחר שהתהליך הושלם.
המצב הנוכחי בבדיקות חוסן
בעולם בדיקות החוסן, לקוחות עדיין פונים אלינו בדקה ה- 90 בבקשה לבצע בדיקת PT מהירה רק בשל דרישת לקוח מהותי. לעיתים הפתרונות הנדרשים לשם תיקון הממצאים כרוכים בשינויים מהותיים בקוד ולעיכובים. אם תוסיפו לכך שמקובל לשלב ספריות קוד פתוח, תבינו לבד מדוע התחום הזה קצת מופקר.
הסיכונים בפיתוח ללא אבטחה מתאימה
שילוב לא מספק של QA בתהליך הפיתוח עלול לגרום לקריסת המערכת או לפגיעה בפעילות התוכנה. קוד לא מוקשח עלול להוביל לפגיעה בחיסיון המידע, שמהווה היום גם סוגיה משפטית.
הפתרון של MADSEC SECURITY
כדי לתת מענה מלא לסוגיות אלו, אנו מציעים שני שירותים שכל מרכז פיתוח זקוק להם: Security code review והדרכות לפיתוח באופן מאובטח.
Security code review (White Box)
בדיקות מסוג Grey/Black Box מבוצעות בשקיפות חלקית כאשר צד השרת (Server-Side) סמוי ואינו חשוף בפני הצוות. בדיקות מסוג White Box מבוצעות בשקיפות מלאה וכוללות ניתוח וסקירה מלאה של המערכת. בעוד שב- Grey Box הבודק מסיק על המערכת בהתאם לתגובות שהוא מקבל, הרי שב- White box הבודק נחשף לכלל הזרימה של התהליכים ומבין את התמונה כולה. בבדיקות אלו ניתן לזהות חולשות פוטנציאליות כבר בשלב מוקדם של הפיתוח.
הדרכות לפיתוח קוד מאובטח
על מנת לגשר על הפער בידע של המתכנתים, מומלץ לבצע הדרכות מעשיות בהן המתכנתים לומדים את עקרונות הפיתוח המאובטח ואף מתרגלים זאת. מומלץ לבצע הדרכות אלו עם בודק בעל רקע בתכנות כמובן.
רגולציה ושירותי ייעוץ
הרגולציה מנחה אותנו שהשילוב הנכון הוא ביצוע הדרכות פיתוח באופן מאובטח למפתחים, ביצוע Security code review לכיסוי הצד של Backend וביצוע PT למתן מענה לצד של Frontend. לכך ניתן להוסיף סקר אפליקטיבי לבחינת כלל המערכות שמשולבות במערכת או במוצר. במסגרת זו בודקים גם שהלקוח אכן מתחזק SBOM שכולל את רשימת ספריות הקוד הפתוח בהן הוא משתמש.
אתגרי הפיתוח המודרני
כיום לפיתוח תוכנה יש היבטים רבים כמו ממשקי API, שימוש ב-AI, ספריות קוד פתוח, מערכות PaaS ב-Cloud ועמידה ברגולציות שונות, כגון CMMC (NIST 800-171), דרישות מערך הסייבר, GDPR, חוק הגנת הפרטיות, HIPAA ועוד. על מנת להיערך באופן מיטבי, מומלץ להיעזר בשירותי חברת ייעוץ אובייקטיבית ומקצועית שתיתן מענה כולל לסוגיות הללו.
