ڈی او اوپس کمیونٹیز میں معیاری طریقوں کی کمی کی وجہ سے سیکیورٹی کی ٹیمیں ڈویلپرز کے خلاف صف آرا ہونے کی وجہ سے بڑھتی ہوئی رگڑ کا باعث بن رہی ہیں۔ یہ اندرونی رگڑ ان کے تیار کردہ سافٹ ویئر اور تنظیموں کو چھوڑ دیتا ہے جو ایپس کو حملوں اور خلاف ورزیوں کا خطرہ بناتے ہیں۔
اوپن سورس سیکیورٹی اور لائسنس مینجمنٹ کمپنی وائٹ سورس کی 30 ستمبر کو جاری کردہ ایک رپورٹ میں سیلف سافٹ ویئر ڈویلپمنٹ کلچر میں اہم کردار ادا کرنے والے مختلف عوامل کی کھوج کی گئی ہے اور فرتیلی ، پختہ ، ڈیوس ای اوپس طریقوں کو حاصل کرنے کے ل what کیا اقدامات کی ضرورت ہے۔ جس میں آئی ٹی سیکیورٹی کو مشترکہ تقریب کے طور پر شامل کرنا شامل ہے۔ تمام ڈی اوپس ٹیمیں۔
رپورٹ میں سافٹ ویئر ڈویلپمنٹ ٹیموں کے مابین بڑھتے ہوئے دباؤ کے جذبات کو دکھایا گیا ہے تاکہ مختصر ترقیاتی زندگی کو پورا کرنے کے لئے حفاظتی خصوصیات کو نظر انداز کریں۔
یہ انکشافات انکشافات کی روشنی میں خاصا اہم ہیں کہ رپورٹ میں لکھے گئے تمام ڈویلپرز میں سے نصف سے زیادہ نے کہا ہے کہ ان کی یا تو کوڈنگ کی کوئی محفوظ تربیت نہیں ہے یا صرف ایک سالانہ واقعہ ہے۔ سافٹ ویر کوڈرز کے مابین سیکیورٹی کی تربیت کی کمی کو یہ پتہ لگانے سے یہ معلوم ہوتا ہے کہ ایک تہائی سے بھی کم تنظیموں کے پاس خطرہ ، ترجیحی عمل پر متفقہ ، متفقہ اتفاق رائے ہے۔
دیویسیکس شوڈ ڈاؤن
شاید اس سے بھی زیادہ پریشان کن مخمصہ یہ ہے کہ اوسطا just صرف نصف تنظیموں کی ٹیموں میں ایک اپسیک چیمپیئن موجود ہے۔ ٹیموں کے مابین سیکیورٹی تقسیم کا زیادہ ثبوت یہ ہے کہ یہاں تک کہ جب سلامتی کے پیشہ ور افراد کہتے ہیں کہ ایک موجود ہے تو ، ڈویلپرز ہمیشہ اس پر اتفاق نہیں کرتے ، "وائٹ سورس ڈی سی اوپس بصیرت ، سیکیورٹی بمقابلہ ڈویلپرز: دی ڈیوسیکس شوڈاؤنڈ" کے عنوان سے رپورٹ کے مطابق۔
"اگر ڈویلپرز محسوس کرتے ہیں کہ وہ نظام الاوقات پر رہنے کے لئے سیکیورٹی کو نظرانداز کررہے ہیں تو ، ڈی سیس اپس عمل میں کچھ ٹوٹ گیا ہے ،" رپورٹ مصنفین کو متنبہ کریں۔
وائٹ سورس نے 560 سے زیادہ اطلاق کے حفاظتی پیشہ ور افراد اور سافٹ ویئر ڈویلپرز کا سروے کیا۔ ان نتائج سے ظاہر ہوتا ہے کہ اگرچہ بیشتر سکیورٹی پیشہ ور افراد اور ڈویلپرز کو یقین ہے کہ ان کی تنظیمیں ڈیوسیک اوپس کو اپنانے کے عمل میں ہیں ، زیادہ تر تنظیموں کے پاس ابھی بھی راستہ باقی ہے ، بقول وائٹ سورس کے سی ای او اور شریک بانی۔ انہوں نے بتایا کہ ابھی تک جو فاصلہ طے کیا گیا ہے وہ خاصی اہمیت کا حامل ہے جب سیکیورٹی ٹیموں میں ترقی کو الگ کرنے والے سائلو کو توڑنے کی بات کی جاتی ہے۔
ساس نے کہا ، "مکمل ڈی سی اوپس کی پختگی کے لئے تنظیموں کو بورڈ میں ڈی سیس اوپس کو نافذ کرنے کی ضرورت ہے۔ روایتی سائلوس کو توڑنے کے لئے عمل ، اوزار اور ثقافت کو تیار کرنے کی ضرورت ہے اور اس بات کو یقینی بنائے کہ تمام ٹیمیں سلامتی اور چستی دونوں کی ملکیت میں شریک ہوں۔"
دیگر اہم نتائج
وہائٹ سورس کی رپورٹ کا مقصد تنظیموں کے اندر دیوسیک اپس کی پختگی کی سطح کے بارے میں بہتر تفہیم حاصل کرنا ہے۔ بیشتر نتائج سے یہ ظاہر ہوتا ہے کہ ڈیوسیک اوپس عمل غیر عیب اور عدم تحفظ تک ہے۔
رپورٹ میں بتایا گیا ہے کہ مختصر تعیناتی سائیکل کو پورا کرنے کے لئے ، 73 فیصد سکیورٹی پیشہ ور اور ڈویلپر سیکیورٹی پر سمجھوتہ کرنے پر مجبور محسوس کرتے ہیں۔ اس کے علاوہ ، کمپنیوں نے ڈویلپرز کی ضروریات اور عمل کو نظرانداز کرتے ہوئے 'باکس کو چیک' کرنے کے ل App ایپ سیک ٹولز خریدے۔ اس مشق کے نتیجے میں اوزار خریدے جاتے ہیں لیکن استعمال نہیں کیے جاتے ہیں۔
وائٹ سورس DevSecOpsreport نتائج
ڈیوسیک اوپس تنظیموں کے بز ورڈ سے تھوڑا زیادہ ہوسکتا ہے۔
بہت سی تنظیموں کی ٹیموں میں ایک اہم "ایپسیک علم اور مہارت کے فرق" چیلنج موجود ہے۔ رپورٹ میں پتہ چلا ہے کہ تنظیمیں اس علمی خلا کو بڑے پیمانے پر نظرانداز کرتی ہیں۔
سیکیورٹی پیشہ ور افراد کا اولین چیلنج ترجیح ہے ، کم از کم نظریہ میں۔ رپورٹ کے مطابق ، لیکن عملی طور پر ، تنظیموں کے پاس خطرے کو ترجیح دینے کے لئے معیاری عملوں کی کمی ہے۔
ڈی اوپس کلچر میں گہری ڈوبکی
ٹیک نیوز ورلڈ نے اس رپورٹ کی روشنی میں وائٹ سورس ، ڈیوسیک اوپس کی ریاست ، نائب صدر ڈیوڈ ہبوشہ کے ساتھ تبادلہ خیال کیا۔
ٹیک نیوز نیوز ورلڈ: سیل سافٹ ویئر کی دیگر ثقافتوں سے کس طرح مختلف ہے؟
ڈیوڈ ہبوشا: چائلڈ نقطہ نظر آبشار کے طریقہ کار سے چھوڑا ہوا میراث ہے۔ سافٹ ویئر ڈویلپمنٹ لائف سائیکل میں سلائڈ کلچر میں اہم عناصر ، جیسے سیکیورٹی کو ، ایک مخصوص فیلڈ کے طور پر سمجھا جاتا ہے ، جسے ایک سرشار ٹیم کی ذمہ داری میں رکھا جاتا ہے اور ترقی کے ایک خاص مرحلے میں اس کا حل لیا جاتا ہے۔ جب یہ سیکیورٹی کی بات کی گئی تو ، اس سے سافٹ ویئر ڈویلپمنٹ لائف سائیکل کے خاتمے کی طرف نمٹا گیا۔
"آبشار کے طریقہ کار" کی اصطلاح اکثر سافٹ ویئر ڈویلپمنٹ کے عمل میں لاگو ہوتی ہے۔ اس منصوبے کے انتظام کے ایک متناسب نقطہ نظر کی پیروی کرتا ہے جس میں منصوبے کے آغاز میں اسٹیک ہولڈر اور صارفین کی ضروریات کو جمع کیا جاتا ہے۔ تب ترقیاتی ٹیم ان ضروریات کو ایڈجسٹ کرنے کے لئے ایک پروجیکٹ منصوبہ ترتیب دیتا ہے۔
بیشتر تنظیمیں آج یہ سمجھتی ہیں کہ ترقی کے ابتدائی مراحل سے شروع کرتے ہوئے ، ڈی اوپس پائپ لائن میں سکیورٹی سے نمٹنے کی ضرورت ہے۔ ایسا کرنے کے ل the ، سیلوں کو توڑنے کی ضرورت ہے اور درخواستوں کی حفاظت کی ذمہ داری پوری ٹیموں میں بانٹنا ہوگی۔ اس طرح ، سیکیورٹی کے معاملات صرف ترقی کے آخری مرحلے میں ہی حل نہیں کیے جاتے ہیں ، جب ان کو درست کرنا زیادہ مہنگا پڑتا ہے اور اکثر رہائی میں تاخیر کرتے ہیں۔
ٹی این ڈبلیو: نقائص کی ثقافت میں کیا عوامل شراکت کرتے ہیں؟
ہبوشہ: سیلڈ کلچر مسلسل وراثت میں ملنے والی میراثی نقطہ نظر ہے۔ اگرچہ زیادہ تر تنظیمیں سمجھتی ہیں کہ ترقی اور حفاظت کے مابین دیواریں توڑنے کی ضرورت ہے ، لیکن بہت ساری اس تفہیم کو عملی جامہ پہنانے کے لئے جدوجہد کر رہی ہیں۔
تنظیموں کی نقائص کی ثقافت کو مکمل طور پر ترک کرنے میں دشواری میں بہت سے عوامل کارفرما ہیں۔ تنظیموں کو سلامتی کو بائیں طرف منتقل کرنے اور ترقیاتی ٹیموں کو سیکیورٹی پر ملکیت بانٹنے میں مدد فراہم کرنے کے ل they ، ان کو تنظیمی کلچر سے نمٹنے ، اپنے عمل کو اپ ڈیٹ کرنے اور خودکار ٹولز کو نافذ کرنے کی ضرورت ہے۔
فی الحال ، ڈویلپرز کے پاس ابھی بھی AppSec علم اور صلاحیتوں کا فقدان ہے جس کی انہیں سلامتی سے نمٹنے کے لئے ضرورت ہے۔ انہیں حفاظتی ٹولز کی بھی ضرورت ہے جو اپنے ترقیاتی عمل اور ماحول میں ضم ہوجاتے ہیں ، تاکہ وہ ترقی کو سست کیے بغیر آسانی سے سکیورٹی کے امور کا پتہ لگانے ، ترجیح دینے اور حل کرنے میں کامیاب ہوجائیں۔
ٹیموں کے مابین مواصلات کا فقدان سیکیورٹی اور ترقیاتی ٹیموں کے ساتھ مل کر کام کرنے ، ڈی او اوپس پائپ لائن میں درخواست کی حفاظت پر ذمہ داری اور ملکیت بانٹنے میں بھی ایک بہت بڑی رکاوٹ ہے۔
ٹی این ڈبلیو: فرتیلی ، پختہ ڈیوسیک اوپس کے طریق کار کو حاصل کرنے کے ل What کیا اقدامات کی ضرورت ہے؟
ہبوشا: دیوسیک اوپس پختگی کے حصول کیلئے جادوئی سوئچ نہیں ہے۔ اس میں سافٹ ویئر ڈویلپمنٹ لائف سائیکل کے روایتی انداز میں بہت سی تبدیلیاں اور ایڈجسٹمنٹ کی ضرورت ہے۔ اس میں اپنے رویوں ، مہارت کے سیٹ ، عمل ، ان ٹولز کو ہم استعمال کرتے ہیں ، بات چیت کرنے کا طریقہ ، اپنی ٹیموں کا ڈھانچہ ، اور بہت کچھ شامل ہے۔ DevSecOps پختگی ایک میراتھن ہے ، ریس نہیں۔
DevSecOps پختگی کو حاصل کرنے میں مدد دینے والے ایک اہم اقدام میں ڈویلپرز کو مسلسل کوڈپیکنگ بشمول محفوظ کوڈنگ فراہم کرکے ایپلیکیشن سیکیورٹی کے علمی خلا کو ختم کرنا ہے۔ ڈویلپرز کو تعلیم دے کر شروع سے ہی AppSec کو حل کرنے کا یہ ایک بہت اچھا طریقہ ہے ، کوڈنگ کے ابتدائی مراحل سے درخواست کی حفاظت کے مسائل سے کیسے بچنا ہے۔
سیکیورٹی اور ترقیاتی ٹیموں کے مابین فاصلے کو دور کرنے کے لئے ایپ سیک چیمپین کو ترقیاتی ٹیموں میں رکھنا ایک اور سمارٹ اور موثر حکمت عملی ہے۔ اس سے ڈویلپرز کے AppSec علم اور صلاحیتوں کو فروغ ملتا ہے اور ٹیموں کے مابین مواصلات کی راہیں کھل جاتی ہیں۔
ایک تیسرا اہم اقدام ایپ اسپیک سیکیورٹی ٹولز کو ڈی او اوپس پائپ لائن میں مربوط کرنا ہے۔ ان ٹولز کا انتخاب کرتے وقت ، فیصلہ کن سازوں نے ٹولز کی خریداری کرنا انتہائی ضروری ہے جو ڈویلپرز کے ماحول میں بغیر کسی رکاوٹ کے مل جاتے ہیں اور ڈویلپرز کے لئے اس کو اپنانا آسان ہوجائے گا۔
ٹی این ڈبلیو: ٹیموں کے مابین مسابقتی عوامل کے مابین مشترکہ ملکیت کا احساس کیسے پیدا ہوتا ہے؟
ہبوشہ: سیکیورٹی پر مشترکہ ملکیت کی ثقافت کو فروغ دینے کے ل organizations ، تنظیموں کے لئے یہ ضروری ہے کہ وہ تمام ٹیموں کے مابین ایک جامع ایپلیکیشن سیکیورٹی پالیسی بنائے۔ اس سے تمام ٹیموں کو درخواست کی حفاظت کے لئے ذمہ داری کا احساس بانٹنے میں مدد ملتی ہے۔
ٹی این ڈبلیو: ڈیوپس ترقی پر اس کا کیا اثر پڑ رہا ہے؟
ہبوشہ: جب تنظیمیں ڈی سیس اوپس پختگی کی طرف قدم اٹھانے میں سرمایہ لگاتی ہیں تو ، ترقی کے ابتدائی مراحل سے ہی سیکیورٹی کو ڈی اوپس پائپ لائن میں ضم کردیا جاتا ہے۔ اس کا مطلب یہ ہے کہ سیکیورٹی اور ترقیاتی ٹیمیں شروع سے ہی سلامتی کے امور کو دور کرنے کے لئے مل کر کام کریں گی۔
ڈی او اوپس ڈویلپمنٹ میں سیکیورٹی کو ضم کرنے کا مطلب ڈویلپرز کو وہ سبھی سپورٹ فراہم کرنا ہے جس کی انہیں ترقی کو سست کیے بغیر ایپلیکیشن سیکیورٹی کے کاموں کو حل کرنے کی ضرورت ہے۔ اس میں خودکار حفاظتی ٹولز شامل ہیں جو ڈویلپرز کو ترقی کے دوران سکیورٹی سے نمٹنے میں مدد کرتے ہیں ، ٹیموں میں مشترکہ ایپلیکیشن سیکیورٹی پالیسی رکھتے ہیں اور سیکیورٹی اور ترقیاتی ٹیموں کے مابین کھلی رابطے کو قابل بناتے ہیں اور ان کی حوصلہ افزائی کرتے ہیں۔
ٹی این ڈبلیو: تازہ ترین وائٹ سورس ڈیوس ای اوپس بصیرت کی رپورٹ سے اہم ترین ٹیک اپ کیا ہے؟
ہبوشہ: ہماری DevSecOps بصیرت کی رپورٹ کا سب سے اہم حص takeہ یہ ہے کہ جب کہ زیادہ تر تنظیموں کو لگتا ہے کہ وہ DevSecOps پختگی حاصل کرنے کے عمل میں ہیں ، ان کے پاس ابھی بھی راستہ باقی ہے۔ اس حقیقت سے عیاں ہے کہ بیشتر سیکیورٹی پیشہ ور افراد اور ڈویلپرز - 560 پلس اپسیک پروفیشنلز اور ڈویلپرز میں سے 73 فیصد جن کا ہم نے سروے کیا ہے ، وہ سیکیورٹی پر سمجھوتہ کرنے پر مجبور محسوس کرتے ہیں۔ جب ہم رپورٹ کے اعداد و شمار پر نگاہ ڈالتے ہیں تو ، DevSecOps اپنانے میں رکاوٹوں کو دیکھنا آسان ہے۔
ٹی این ڈبلیو: بہتر سیکیورٹی میں عمارت سازی سے متعلق ٹیموں کے رگڑ پر قابو پانے میں سیکیورٹی کے خصوصی ٹولز کیا کردار ادا کرسکتے ہیں؟
ہبوشہ: ہم نے پایا ہے کہ حفاظتی پیشہ ور ایپ اسپیک ٹولز کا انتخاب کرتے وقت مشکل سے ڈویلپر اپنانے پر غور کرتے ہیں۔ اس حقیقت کے بارے میں ایک اور وضاحت کرتا ہے جسے ہم نے دریافت کیا: بہت سارے AppSec ٹولز ڈویلپرز استعمال نہیں کرتے ہیں۔ جب ڈیوسیک اوپس ٹولز کو ڈویلپر کو اپنانے کی ترغیب دینے کے بجائے محض "باکس کو چیک کریں" کے لئے خریدا جاتا ہے تو ، سیکیورٹی کامیابی کے ساتھ پوری ترقی میں مربوط نہیں ہوسکتی ہے۔
ٹی این ڈبلیو: کیا قابل اعتماد سافٹ ویئر سیکیورٹی پر زیادہ توجہ کے ساتھ ڈی اوپس خودکار اوزار ایک ساتھ رہ سکتے ہیں؟
ہبوشہ: بہترین خود کار ڈیوپس آٹومیٹڈ ٹولز سیکیورٹی حل پیش کرتے ہیں تاکہ ٹیمیں ڈی او اوپس پائپ لائن کے ابتدائی مراحل سے ہی ترقی میں آسانی سے سیکیورٹی بنا سکیں۔ یہ DevSecOps ٹولز کی نئی نسل ہیں۔
ڈی سیس اوپس ٹولز کو بغیر کسی رکاوٹ کے ڈویلپر ماحول میں ضم کیا جاسکتا ہے تاکہ وہ ترقی کے دوران ، سلامتی کو آسانی سے حل کرسکیں۔ آج کے DevSecOps ٹولز خطرات کا پتہ لگانے سے کہیں زیادہ آگے جا سکتے ہیں۔
سیکیورٹی اور ترقیاتی ٹیموں کو محض سیکیورٹی نقصانات کی ایک زبردست فہرست پیش کرنے کی بجائے جن کو ان کی ضرورت ہے ، ان کے بجائے اعلی درجے کی DevSecOps ٹولز ڈی او اوپس پائپ لائن میں ضم ہوجاتے ہیں اور ڈویلپرز اور سیکیورٹی کو ترجیحی ٹکنالوجی پیش کرتے ہیں۔
خودکار ترجیح ٹیموں کو رگڑ سے بچنے میں مدد دیتی ہے اور اس بات کو یقینی بناتی ہے کہ وہ سب سے پہلے انتہائی اہم معاملات کو حل کر رہے ہیں تاکہ وہ پہلے کیا طے کریں اس پر بحث کرنے میں قیمتی وقت ضائع نہ کریں ، یا ان امور کو حل کریں جو ان کے منصوبوں پر اثر انداز نہیں ہوں گے۔
خودکار ترجیح کے علاوہ ، جدید ڈیوسیک اپس ٹولز قابل عمل تندرستی بصیرت اور خودکار ورژن کی تازہ کاریوں کی پیش کش بھی کرسکتے ہیں ، اور تنظیموں کو مزید اس بات کا یقین کرنے میں مدد ملتی ہے کہ سیکیورٹی ترقی کو کم نہیں کرتی ہے۔
ٹی این ڈبلیو: ڈی او اوپس ٹیموں کو کن دیگر رکاوٹوں کو دور کرنا ہے؟
ہبوشہ: ایک اضافی رکاوٹ جو ہم نے ڈی ایسوسیپس کو پایا وہ یہ تھا کہ زیادہ تر ڈویلپرز اپنی ضرورت کے مطابق AppSec کی تربیت حاصل نہیں کررہے ہیں ، حالانکہ سیکیورٹی پیشہ ور افراد نے بتایا کہ ان میں سے ایک سب سے اعلی چیلنج جن میں وہ نمٹ رہے ہیں وہ ہے ہنر مند ایپسیک اہلکاروں کی کمی۔
ٹی این ڈبلیو: تنظیموں کے ل vulne یہ سمجھنا کیوں ضروری ہے کہ وہ ایک خطرے سے متعلق ترجیحی عمل کی وضاحت اور متفق ہو؟
ہبوشہ: حفاظتی پیشہ ور افراد کے لئے کمزوریوں کی ترجیح ایک اولین چیلنج ہے۔ زیادہ تر ترقیاتی اور سیکیورٹی ٹیموں کے پاس اب بھی ایک معیاری عمل کی کمی ہے۔ ٹیمیں اکثر ایڈہاک طریقوں یا علیحدہ ہدایات پر انحصار کرتی ہیں۔
کمزوریوں کو ترجیح دینے کے لئے متفقہ عمل کی کمی کی وجہ سے حفاظتی خطرات دور کرنے میں تاخیر ہوتی ہے۔ یہ سیکیورٹی اور ترقیاتی ٹیموں کے مابین مزید تنازعات کا سبب بھی بنتا ہے۔
ٹی این ڈبلیو: سافٹ ویئر سیکیورٹی کو اب بھی ترقی کی رفتار سے ثانوی کیوں سمجھا جاتا ہے؟
ہبوشہ: زیادہ تر تنظیمیں درخواست کی حفاظت میں سرمایہ کاری کرنے کی ضرورت کو سمجھتی ہیں۔ بدقسمتی سے ، بہت سے لوگوں کو اب بھی یقین ہے کہ ڈی او اوپس پائپ لائن میں سیکیورٹی کو ضم کرنے سے ترقی سست ہوجائے گی۔
ایسا ہونے کی ضرورت نہیں ہے۔ اس غلط فہمی کی ایک بنیادی وجہ آبشار کے طریقہ کار کے مطابق جس طرح سے حفاظتی خطرات کو دور کیا گیا ہے۔ اس کے بعد ، ترقی کے بعد ، سیکیورٹی ٹیم اس منصوبے کا تجزیہ اور جانچ کرے گی ، اور سیکیورٹی امور کی ایک لمبی فہرست کے ساتھ ترقی پر واپس آجائے گی جس کی مصنوعات کو جاری کرنے سے پہلے اس پر توجہ دینے کی ضرورت ہے۔
سافٹ ویئر ڈویلپمنٹ لائف سائیکل میں سیکیورٹی کے خطرے کا پتہ لگانے کا یہ عمل انتہائی مہنگا تھا اور اس نے ترقی کو کم کیا۔ ڈیویس اوپس کا نقطہ نظر تیز تر ، سستا ، زیادہ محفوظ اور ہر جگہ زیادہ سے زیادہ موثر طریقہ پیش کرتا ہے کہ ترقی کے دوران سکیورٹی سے نمٹنے کے لئے جبکہ تیزی سے کم رہائی کے چکروں پر قائم رہے۔