הקונפליקט בין אבטחת מידע לפיתוח

שרון אקשטיין. צילום: מטריקס

תחום ה-DevOps מתאפיין בפיתוח אג'ילי (Agile) על מנת לייצר זמן הגעה מהיר לשוק (Time to Market). מצד אחד צוותי ה-Devops רצים קדימה ומצד שני צוותי אבטחת המידע אשר אמונים על טיפול בפרצות בדרך, החל משלב הפיתוח דרך הבדיקות ובסוף בסביבת הייצור, מנסים לוודא כי כל התהליך מתבצע בצורה מאובטחת ככל האפשר. הדבר עלול לעכב את רצון אנשי הפיתוח לזמן הגעה מהיר לשוק וזאת על מנת לעמוד בדרישות הגורמים העסקיים לקידום הפעילות העסקית.

צוותי אבטחת מידע וגם המפתחים משרתים בסופו של דבר את אותה מטרה - קידום הפעילות העסקית ויצירת ערך תחרותי. צוותי ה-Devops ערים לחשיבות של אבטחת המידע, כאשר במקביל אנשי אבטחת מידע ממלאים את תפקידם נאמנה על מנת לאפשר למפתחים חופש פעולה ועצמאות. בשל כך, שני תחומים אלו יצרו יחד את מה שמכונה DevSecOps, במסגרתו מתבצעים תהליכים לאימוץ שיטות פיתוח ותפעול חדשניות מבלי להתפשר על אבטחה, תוך פעולות אבטוח מבלי להתפשר על אג'יליות וכלי פיתוח מודרניים. אלו הם בין הנושאים המטרידים ביותר כיום עבור כל ארגון שעובד בסביבות הענן ומשתמש בתהליכי אוטומציה ליצירת יתרון תחרותי.

בפעילות הקוד הפתוח של חטיבת מצרי התוכנה במטריקס, Matrix Open Source, זיהו צורך ממשי שעלה בקרב הלקוחות לבסס מדיניות אבטחת מידע לעולמות החדשים של ה-DevOps. לכן נוצר חיבור בין חברת הטכנולוגיה מטריקס לחברת Sonatype, העוסקת בניהול אבטחה בקוד פתוח ובניהול תאימות (Compliance) של רישיונות. 

לדברי שרון אקשטיין, מנהלת תחום DevOps Accelerators ב-Matrix Open Source: "חברת Sonatype הבינה שחייבים לפתור את הדילמה של ביטחון מול מהירות, על מנת לאפשר לארגונים להכנס בבטחה לפיתוח מבוסס Micro Services. כיום שימוש בספריות קוד פתוח בשלב הפיתוח מהווה חלק אינהרנטי מחיי היום יום של צוותי ה-DevOps. יחד עם זאת, מחקרים מראים שכ-10% בממוצע מהקוד הפתוח שנמצא בשימוש על ידי ארגונים מכיל פגיעות, שבסופו של דבר עלולה לעכב את תהליך הפיתוח בשלבי ה-CI ואת ה-Delivery. החלפת ספריית קוד פתוח שנמצאה בה פגיעות תעכב עוד יותר את הפיתוח, כך שהקונפליקט בין אבטחת מידע לפיתוח הוא יותר שיתוף פעולה בין שני גופים החותרים לאותה מטרה".

אולי יעניין אותך גם