Alla förstår vikten av säker systemutveckling, men det är inte glasklart hur man ska lyckas. Säkerhetsfrågorna blir akuta för de som har devops som arbetssätt, men de är tydliga för alla som ägnar sig åt modern systemutveckling. Rotorsaken till problemen är kraven på att leverera mer mjukvara snabbare.

Det finns flera faktorer som tillsammans förvärrar situationen:

  • Den ökade takten för systemutveckling gör det svårare att genomföra säkerhetstester för applikationer som utvecklas.
  • Den ökande mängden problem i sig gör det ännu svårare att genomföra säkerhetstester tidigt i projekt.
  • Team som använder arbetssättet devops växer snabbare än team för säkerhet och testing, vilket förvärrar situationen än mer.
  • Den ökade mängden problem med säkerhetsarbetet i projekten är ett stort stressmoment för dem som bygger applikationerna: utvecklarna. Även det förhållandet förvärrar problemen.

Resultatet av allt detta är en mix av missade deadlines, dyrare utveckling, lägre kvalitet för applikationer och, inte minst, mer osäkra applikationer. Det här leder till minskad lönsamhet, både på grund av missade affärsmöjligheter och mer direkt på grund av konkreta säkerhetsproblem.

Utvecklare, testar och säkerhetsexperter lider

För att uttrycka det enkelt: lönsamheten blir lidande. Även utvecklare, testare och säkerhetsexperter lider på grund av det här. Den andra sidan av myntet är, förstås, att bättre och tidigare utförda säkerhetstester ger bättre lönsamhet.

Ni vet säkert allt det här, men ni vet kanske inte hur man löser problemen. Lösningen är att genomföra bättre säkerhetstester tidigare i projekten, utan att använda mer resurser och personal. Att göra saker tidigare i projekt brukar gå under benämningen “shift left”

Frans Buul Micro Focus
Frans van Buul är expert på applikationssäkerhet på Micro Focus.

Det enda sättet som har visat sig praktiskt för att lyckas är att använda verktyg och tjänster för automatiserade säkerhetstester. De här verktygen och tjänsterna måste vara lätta att förstå, och godkännas av och underlätta samarbete mellan alla intressenter i projekten, som utvecklare, testare och säkerhetsexperter. Även ledningen måste acceptera dem.

Verktygen och tjänsterna måste vidare erbjuda ett brett utbud av olika typer av tester. De måste kunna hantera många olika programmeringsspråk, utvecklingsverktyg, byggverktyg (så kallade build servers), arkitekturmodeller, plattformar, operativsystem, och så vidare.

Klarar statisk kodanalys och andra testmetoder

Fortify från Micro Focus är ett exempel på en familj av verktyg och tjänster för automatiserade säkerhetstester för systemutveckling. Frans van Buul på Micro Focus som är expert på applikationssäkerhet ger den här beskrivningen:

– Fortify klarar statisk kodanalys, men innefattar dessutom flera andra testmetoder, till exempel dynamiska tester. Det finns stöd för 27 programmeringsspråk som standard, liksom för populära byggverktyg och verktyg för ärendehantering, som Jira. Sett från utvecklarens synvinkel är verktygen i Fortify direkt integrerade med populära utvecklingsverktyg.

Vad gäller olika metoder täcker Fortify in i stort sett de flesta, så som AST, SAST, DAST, MAST, IAST och RASP.

LÄS MER: Security at the Speed of DevOps with Fortify 

Integrationen med utvecklingsverktyg (IDE), byggverktyg, ärendehanteringsverktyg (backlog management) och andra moderna verktyg och plattformar är nyckeln till automatiserade säkerhetstester. Utan den här integrationen och den automatisering som den möjliggör kommer högen med ej genomförda säkerhetstester att fortsätta att växa, troligtvis exponentiellt.

Det är vanligast att använda produkter som Fortify bland större utvecklingsavdelningar, typiskt sådana med fler än 50 utvecklare. Men det finns inget som hindrar mindre utvecklingsavdelningar från att använda Fortify.

– Vi erbjuder Fortify både som lokalt installerad mjukvara och som molntjänst, vilket ofta föredras av mindre kunder. Vi erbjuder också drifttjänster och säkerhetsexperter kring Fortify. Storleken på företagen spelar roll, men mindre företag som är beroende av systemutveckling och hög säkerhet behöver också verktyg som Fortify, säger Frans van Buul.

För smalt verktyg ger en falsk känsla av säkerhet

Den springande punkten i hela den här diskussionen är att nödvändiga säkerhetstester under systemutveckling helt enkelt inte blir gjorda utan moderna verktyg och tjänster. De traditionella verktygen och metoderna för tester har visat sig vara otillräckliga för moderna utvecklingsprojekt, speciellt för sådana som baseras på arbetssättet devops.

Frans van Buul lämnar oss med ett avslutande tips för dem som funderar på vilka verktyg de ska välja för automatiserade säkerhetstester:

– Det är mycket viktigt att välja verktyg med bred funktionalitet, som täcker in många testmetoder. Smalare verktyg ger en falsk känsla av säkerhet.

Läs mer om Fortify