När utvecklingen inom kodning går allt snabbare tenderar it-säkerheten att vara det första som företagen tummar på.
En ny undersökning visar exempelvis att så många som sju av tio webbapplikationer har säkerhetsbrister samtidigt som sex av tio företag har utsatts för virusattacker de senaste tolv månaderna.
För att täppa till säkerhetsluckorna och samtidigt behålla konkurrenskraften måste företagen inse vikten av att förena drift och utveckling med säkerhet och göra det tidigt i utvecklingsprocessen – utan att tappa farten.
De senaste tio åren har tidspressen på utvecklarna ökat och många av processerna har automatiserats med användning av ny teknik och nya verktyg som open source (öppen källkod). Allt för att företag ska kunna förnya sig snabbare och hålla en högre takt än konkurrenterna.
Hastighet och smidighet är visserligen kärnan i digital omvandling och DevOps-kulturen har snabbt blivit ett affärsmässigt krav för organisationer och företag. Men för dem som vill förbli konkurrenskraftiga kan hastigheten inte premieras på bekostnad av säkerheten.
Tyvärr är det många företag som tummar på just säkerheten. Den nya it-säkerhetsrapporten State of Software Security: Open Source Edition visar exempelvis att sju av tio (70 %) applikationer innehåller säkerhetsbrister som återfinns i den öppna källkoden. Undersökningen visar också att nästan hälften av dem (47%) uppkommer indirekt genom andra programmerare som använder samma öppna källkod.
Att utveckla moderna webbapplikationer utan hjälp av öppen källkod i någon form, är nästan en omöjlighet idag. Öppen källkod förenklar processen och sparar tid men precis som undersökningen visar innebär det också stora risker. Det är alltså ett nödvändigt ont som alla utvecklare måste förhålla sig till. Men att hålla en hög takt utan att tumma på säkerheten är lättare sagt än gjort. För även om du har en doktorsexamen i datavetenskap är det inte säkert att du lärt dig allt du behöver veta för att utveckla säker kod. Därför är det viktigt att se till att utvecklare har de färdigheter som krävs eller att företaget får hjälp med detta, så att utvecklarna kan koncentrera sig på annat.
Glädjande nog har allt fler företag börjat omfamna DevSecOps (development security operations) där säkerhetsarbetet integrerats i utvecklingsprocessen. Men för att göra DevSecOps på ett framgångsrikt sätt måste företagen lyckas överbrygga klyftan mellan utvecklings- och säkerhetsteamen. Det görs enklast genom att använda automatiserade testverktyg. Annars är det lätt att tappa farten. Nyckeln till framgången är att ha tillgång till verktyg som kan användas i en integrerad utvecklingsmiljö (IDE). Verktygen gör det möjligt för utvecklare att integrera säkerhet i arbetsflödet utan att tvingas starta en ny miljö när de behöver säkerhetstesta kod. Därigenom kan säkerhetsbrister hittas tidigt under kodningsprocessen, vilket gör dem lättare att åtgärda samtidigt som företagen sparar tid och pengar på kuppen.
Av:
Julian Totzek-Hallhuber, Principal Solutions på Veracode.