Los mejores productos de seguridad centrados en el desarrollador – TechRepublic


Comentario: Para las organizaciones que luchan por proteger su TI, están llegando al mercado una serie de nuevos productos centrados en los desarrolladores. Consulte esta guía de los mejores productos de seguridad centrados en el desarrollador.

securityistock-1065755652bluebay2014.jpg

Imagen: Getty Photographs / iStockphoto

No es que a los desarrolladores no les importe la seguridad, es que la seguridad, históricamente, no se ha preocupado por los desarrolladores. O, más bien, que las tecnologías de seguridad como LDAP, JWT, OAuth, and so on. no se crearon pensando en los desarrolladores y hacen que sea más difícil, en lugar de más fácil, que los desarrolladores implementen una seguridad sólida en las aplicaciones que crean. Como analista Stephen O&#39Grady ha escrito, la implementación de la seguridad a menudo se ve como «un trabajo poco atractivo en el mejor de los casos y es más probable que sea tedioso y depressing».

Para agravar este hecho, no es como si los desarrolladores no estuvieran ocupados con otras demandas de su tiempo, desde manejar solicitudes de funciones de último momento (además de la miríada de funciones planificadas), dedicar tiempo a la corrección de errores críticos, ajustar el rendimiento, etcetera. .

Y, sin embargo, el futuro de la seguridad impulsada por los desarrolladores finalmente parece brillante, ya que los proveedores de software package ofrecen cada vez más herramientas que se adaptan a los desarrolladores. Desde HashiCorp hasta Snyk y oso, finalmente vemos que la seguridad abarca la clase de desarrollador, y no podría haber llegado en un momento más oportuno.

Una fórmula ganadora para la seguridad

La seguridad ya period difícil y la pandemia de coronavirus lo ha hecho más difícil. La defensa perimetral que la TI se ha aplicado tradicionalmente para mantener seguros los datos empresariales ya se estaba rompiendo, pero se volvió porosa sin posibilidad de reparación una vez que los empleados pasaron a trabajar desde casa en masa. Desde el acceso inseguro a la crimson a través de computadoras portátiles personales hasta un aumento significativo en los intentos de phishing, «WFH» se ha convertido en un eufemismo para «bienvenida a los piratas informáticos».

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Mix esto con un mundo que tradicionalmente ha tratado la seguridad como una ocurrencia tardía o como «algo que preocupa a mi equipo de seguridad de la información», y no es difícil adivinar por qué la seguridad empresarial sigue siendo un desastre. Si a esto le sumamos la mayor expectativa de que los desarrolladores asumirán una mayor responsabilidad por la seguridad (jugando con la configuración de VPC y jugando con grupos de seguridad en su infraestructura en la nube, por ejemplo), el desorden tiene el potencial de volverse mucho más complicado.

Por esta razón, los comentarios de O&#39Grady, escritos con lenguajes de programación en mente, ayudan a enmarcar lo que debe suceder, y cada vez más es sucediendo – en productos de seguridad:

La (s) eguridad generalmente se considera … un trabajo poco atractivo en el mejor de los casos y es más possible que sea tedioso y miserable. Sin embargo, a medida que las empresas han cambiado más y más su negocio a modelos basados ​​en digital, la importancia de la seguridad desde la perspectiva del desarrollo de aplicaciones se dispara.

A pesar de su importancia, la seguridad nunca será algo en lo que la mayoría de los desarrolladores se emocionen y quieran dedicar ciclos. Sin embargo, si un lenguaje es capaz de incorporar algo de seguridad, aunque solo sea para proteger a los desarrolladores de algún subconjunto particular de vulnerabilidades, esa es una característica cada vez más atractiva, particularmente si no requiere demasiados compromisos.

Seguridad incorporada con pocos compromisos … que suena como una fórmula ganadora.

Los mejores productos de seguridad centrados en el desarrollador

Lo es, y ese movimiento está creciendo. El cofundador de Honeycomb y CTO Charity Majors lo expresó de esta manera: «Hay una ola pequeña pero resistente de nuevas empresas que aplican el sentido del producto y el diseño a terribles problemas de backend. Construyendo productos para ingenieros … como si fueran humanos». Estas «herramientas de desarrollo de calidad para el consumidor», añadió, reconocen tanto la gravedad del problema y la humanidad (y el tiempo) de las personas que implementan el software:

Amo a vim. Todos amamos nuestras herramientas eléctricas. Pero hay curvas de aprendizaje empinadas y límites cognitivos, y cuando intentas trabajar, lo último que necesitas es buscar banderas y opciones de sintaxis y magia. La próxima ola de herramientas para desarrolladores serán herramientas que se apartarán de su camino y lo ayudarán a resolver problemas comerciales con todo su cerebro, sin tener que dedicar su vida a aprenderlo primero.

El mundo poco atractivo de las herramientas de seguridad se ha vuelto captivating, en otras palabras. O puede hacerlo correctamente.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Entonces, ¿quién está haciendo esto bien? Si bien no es una lista completa, algunas de las mejores empresas que hacen que sea relativamente sencillo para los desarrolladores implementar una seguridad sólida incluyen:

  • oso: Oso, un motor de políticas de código abierto para la autorización, representa la seguridad como código para que los desarrolladores puedan expresar la seguridad como una extensión normal de sus aplicaciones

  • Bóveda de HashiCorp facilita proteger, almacenar y controlar el acceso a tokens, contraseñas, certificados y claves de cifrado para proteger secretos y otros datos confidenciales mediante una interfaz de usuario, una CLI o una API HTTP

  • Snyk permite a los desarrolladores incorporar fácilmente la seguridad en su proceso de desarrollo continuo, ofreciendo análisis de vulnerabilidades para proyectos y contenedores de código abierto

  • Sqreen: Seguridad de aplicaciones con automatización (Sqreen se trata en este artículo de TechRepublic)

  • Pequeño paso: Flujo de trabajo de un extremo a otro para SSH de inicio de sesión único y

  • Semmle (adquirido por GitHub): plataforma de análisis de código para ayudar a los equipos a encontrar días cero y automatizar el análisis de variantes.

Para que estos y otros productos de seguridad orientados al desarrollador funcionen, deben encajar en el flujo de trabajo organic del desarrollador (es decir, su cadena de herramientas preferida, entre otras cosas). Necesitan una gran documentación, una experiencia de nivel de consumidor (siguiendo los consejos de Majors), código abierto (no siempre, pero los desarrolladores continúan amando el código abierto incluso en nuestra era de la nube), API sólidas y más. Si esto parece demasiado, no lo es. Simplemente requiere que se considere la seguridad como parte del proceso de desarrollo de la aplicación, es decir, como parte del trabajo del desarrollador, y no como una ocurrencia tardía que «alguien más» se encargará.

También significa que vender tales productos implica, bueno, menos ventas. No vende seguridad para desarrolladores en el campo de golf. Lo «vende» en los documentos y en las demostraciones (sin PowerPoint). En otras palabras, se vende simplemente haciendo de la seguridad una parte natural e incorporada del proceso de desarrollo algo que los desarrolladores amor para incluir. De cara al futuro, así es como se ven las buenas prácticas de seguridad.

Divulgación: trabajo para AWS, pero estas opiniones son mías y es posible que no reflejen las de mi empleador.

Ver también





Enlace a la noticia unique