Chanzo: www.hackerone.com – Mwandishi: Alex Rice. Lengo la kuhama kushoto – kupata udhaifu mapema katika Lifecycle ya Maendeleo ya Programu (SDLC) – ni nzuri na muhimu sana. Lakini, inapofikia matokeo, idadi kubwa ya viongozi wa usalama wanasema kwamba, licha ya uwekezaji katika zana na michakato mingi, mashirika yao mengi bado hupata idadi kubwa ya udhaifu katika uzalishaji. Kwa kweli, katika miaka mitano iliyopita, jamii ya Hackerone imegundua udhaifu zaidi ya 70,000 katika mifumo ya uzalishaji kwa kampuni za huduma za kifedha pekee. Kwa sababu kila chapisho la blogi mnamo 2024 linahitaji kujumuisha AI, niliuliza inisaidie kukumbuka kupitisha kwa mabadiliko ya kushoto na picha. Nadhani iligonga. Kwa hivyo, tulienda wapi? Baada ya kuchimba katika swali hili, timu yangu na mimi tumegundua maswala kadhaa muhimu: Usumbufu wa kazi: Vyombo vya kushoto vya kuhama mara nyingi hushindwa kuungana bila mshono na utengenezaji wa kazi wa watengenezaji, zinazohitaji kubadili muktadha ambao unajumuisha zana nyingi. Vifunguo vya uwongo: Kila chombo huanzisha ladha yake mwenyewe ya chanya za uwongo, na kuunda kelele na kufuta uaminifu wa msanidi programu na ushiriki. Ukosefu wa vitendo: Muktadha ni mfalme. Watengenezaji wanaona arifu nyingi kama ambazo haziwezi kuhusika, ama kwa sababu ya ukosefu wa uwazi au kwa sababu kuzishughulikia kunahitaji juhudi kubwa nje ya mtiririko wao wa sasa. Kuweka kipaumbele usalama juu ya tija: Zana nyingi za zana hizi zinaweka wazi wasiwasi wa usalama juu ya tija ya msanidi programu, na kusababisha kufadhaika na kufadhaika. Kuhamia kwa usalama wa wasanidi programu wa kwanza, maswala haya yanatokana na kutofaulu kuweka kipaumbele na kubuni kwa uzoefu wa msanidi programu. Walakini, habari njema ni kwamba mitazamo ya msanidi programu kuelekea usalama inabadilika haraka. Uchunguzi wa hivi karibuni wa Gitlab uligundua kuwa 97% ya watengenezaji sasa wanahisi kuwajibika kwa usalama wa maombi, kutoka 50% tu mnamo 2019. Bado wanafikiria watengenezaji hawajali usalama? Fikiria tena. Ikiwa utajikuta unarudia zabibu hii ya zamani, ni wakati wa kuruhusu zamani kufa. Ili kufanikiwa, tunahitaji kukumbatia mabadiliko haya na kuelekeza tena njia yetu: Toa kipaumbele uzoefu wa msanidi programu na kuridhika kama KPI ya msingi ya mipango na zana za kushoto. Pima kila wakati, hata ikiwa ni rahisi kama “thumbs up/thumbs chini” rating. Vyombo vya kubuni na michakato ya kuunganisha bila mshono na utaftaji wa kazi na kupunguza usumbufu. Jitahidi kutoa mwongozo wazi, unaoweza kutekelezwa na kila tahadhari, kupunguza kelele na usumbufu wa thamani ya chini. Gundua udhaifu mapema na ukaguzi wa usalama wa kanuni huko Hackerone, tumekumbatia mawazo haya na ukaguzi wetu wa nambari kama toleo la huduma. Kwa kuzingatia bila kujali uzoefu wa msanidi programu, tumepata kiwango cha kuridhika cha msanidi programu 96 – karibu bila habari ya zana ya usalama. Njia ya mbele ni wazi: Kwa kujenga kizazi kipya cha zana za usalama iliyoundwa na watengenezaji katika kituo hicho, mwishowe tunaweza kugundua ahadi ya kupata udhaifu mapema na mara nyingi. Matokeo ya usalama yatafuata asili kutoka kwa timu inayohusika, yenye nguvu ya maendeleo ambayo inakumbatia usalama kama sehemu ya misheni yake, na timu ya usalama kama mshirika anayeaminika. Mabadiliko ya kushoto hayajakufa, lakini inahitaji kuanza tena ngumu. Kwa kujifunza kutoka kwa kushindwa kwa kizazi cha kwanza na kujitolea kwa mawazo ya msanidi programu wa kwanza katika kizazi cha pili, bado tunaweza kufanikisha mkao wa usalama, wa usalama ambao sisi sote tunajitahidi. Ili kupata maelezo zaidi juu ya jinsi Hackerone inaweza kukusaidia, panga wakati wa kuzungumza au kujifunza zaidi juu ya ukaguzi wetu wa usalama wa kanuni.
Leave a Reply