Secure Code Warrior (SCW) додала агента довіри (Trust Agent) до свого портфоліо безпеки застосунків, який оцінює компетенцію безпеки розробників, коли вони надсилають код до репозиторію. Про це повідомляє DevOps.com.
SCW Trust Agent базується на здатності оцінювати досвід розробників у сфері безпеки, який SCW запровадив на початку цього року.
Агент SCW можна розгорнути в будь-якому сховищі коду на основі Git, включаючи Github, Gitlab та Atlassian Bitbucket, щоб гарантувати, що тільки розробники, які досягли певного рейтингу безпеки, можуть робити коміти. Ці рейтинги базуються на більш ніж 20 мільйонах даних, зібраних від 250 тисяч розробників у всьому світі.
Залежно від критичності проєкту команди DevSecOps можуть налаштувати конфігурацію політики на основі рівня ризику, який представляє кожен проєкт програми.
Технічний директор SCW Матіас Маду сказав, що загальна мета полягає не тільки в тому, щоб зробити бази коду більш безпечними, але й спростити для організацій визначення, які розробники застосунків потребують додаткового навчання безпеки.
Обмеження того, яким членам групи розробників дозволено здійснювати фіксацію, також допомагає оптимізувати будь-який аудит, який може бути проведений пізніше.
Забезпечення безпеки ланцюгів постачання програмного забезпечення вимагає не лише надання розробникам найкращих інструментів, але й блокування процесів.
У гонитві за швидшим створенням програм багато організацій не вважають за необхідне переконатися, що коміти до репозиторіїв спочатку перевіряються досвідченими розробниками. Можливо, це не завадить кожній помилці потрапити у сховище, але повинно принаймні зменшити частоту помилок.
Однією з найбільш неприємних проблем, з якими стикаються команди DevSecOps, є те, що розробники постійно роблять одну й ту саму базову помилку безпеки кілька разів. Найпоширеніші вразливості, виявлені в коді, майже однакові за останнє десятиліття.
Європейський Союз рухається вперед із Законом про захист від кібернетичного впливу, який вимагає від організацій створювати більш безпечне програмне забезпечення.
Суди, ймовірно, притягнуть до більшої відповідальності організації за розгортання програмного забезпечення, яке має відомі вразливості. Організації зацікавлені в тому, щоб якомога більше відомих вразливостей не потрапляло у виробниче середовище.
Читайте також на ProIT: Вразливість zero-day Windows MSHTML більше року використовується для атак.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
