Checkmarx prevzema podjetja Custodela in načrtuje storitve avtomatizacije uvajanja softverske varnosti v DevSecOps
Checkmarx jesredi novembra 2018 sporočil, da je prevzel Kanadsko podjetje Custodela, ki jemed drugim znani ponudnik uvajanja varnosti v softverske projekte tersvetovanja s področja aplikacij in varnega razvoja. Tematika, na kateri sestoritvene dejavnosti Custodela najbolj osredotočajo, je DevSecOps.
DevOps vs. DevSecOps
DevOps je pristop k agilnemu, hitremu inučinkovitemu razvoju novih poslovnih programskih storitev s poudarkom nakulturi in odnosih, torej predvsem na komunikaciji in sodelovanju med inženirji- razvijalci programske opreme in preostankom IT ekipe, kakor tudi naspoštovanju in večjem upoštevanju odziva poslovnih uporabnikov. Cilj DevOps jebolj tekoče, hitrejše in predvsem potrebam primerno uvajanje novih različicposlovnih aplikacij, infrastrukturnihsprememb ter poslovnih storitev, za katere so odgovorni notranji razvijalci vsodelovanju z IT ekipo. Hitro, redno in zanesljivo razvijanje, testiranje in uvajanjeprogramske opreme v delovno okolje nam omogoča hitrejše doseganje poslovnihciljev in s tem tudi večjo splošno produktivnost.
Amit Ashbelni osamljen v tem mnenju. Na http://www.devopsdigest.com lahko vidimo mnenja mnogih strokovnjakov s tega področja in veliko od njih dajevečji pomen na varnostnih testiranjih v DevOps. Doslej je bila varnost nekolikobolj samostojna, izločena iz DevOps kulture. Uveljavljala se je predvsem kotimplementacija boljše avtentikacije, šifriranja in kvalitetnih revizijskihsledi, a ugotavljamo, da to ni dovolj. Doslej so breme ali krivdo varnostnihnapadov preko poslovnih aplikacij nosili predvsem za varnost odgovorni delisame operativne ekipe, developerji so bili čaščeni kot nezmotljivi, vsaj doklerje poslovna aplikacija delala tisto, kar mora. To pa ni v redu, ugotavljamo daje sedaj bistveno predvsem varnostno preverjanje aplikacij zgodaj znotrajrazvojnega cikla. Zato se sedaj pogosto omenja metamorfoza DevOps v DevSecOps –DEVelopment-and-SECurity-OPerationS. Checkmarx pokriva vse aktualnetežnje promotorjev DevOps filozofije – preoblikovanje kulture, vključevanjevarnosti, pomik varnostnih testiranj čim bolj na začetek razvojnega cikla,vgradnjo varnosti kot osnovno lastnost poslovnih rešitev, interaktivnovarnostno testiranje aplikacij ter pravilno zoperstavljanje varnostnimtveganjem v zunanjih programskih knjižnicah API.
Po Gartnerju se aplikacijski razvoj korenitospreminja. Do konca leta 2019 bo moralo več kot 50% DevOps ekip implementiratiin deloma avtomatizirati varnostno testiranje v svojih razvojnih okoljih; to jevelika rast od trenutnih 10% razvojnih ekip, ki so že tako daleč. Ker je enoteorija, implementirati jo v praksi pa je nekaj drugega, bodo pri tem lahkoprofesionalne storitve in svetovanje bistveni.
Izjave
Emmanuel Benzaquen, CEO,Checkmarx:
“While enabling organizationsto develop software with more efficiency and speed, the DevOps process alsodramatically expands risk through software exposure. Custodela’s expertise insoftware security architecture and software development extends Checkmarx’sreach deeper into the DevSecOps program development and services space. Theteam’s methodologies will support and contribute towards Checkmarx’s mission totransform software security to help businesses fight software exposure anddeliver secure software faster.”
Ken McDonald, CTO in soustanovitelj,Custodela:
“Implementing automation intoDevSecOps processes is a critical challenge for most organizations. We are excitedto join Checkmarx to help advance the automation capabilities in the SoftwareExposure Platform and deliver premium service offerings to help customersmature their software security programs.
Avtor / prevod: Robert Lubej
Povezavado izvorne novice: https://www.checkmarx.com/press-releases/Checkmarx-Custodela-Automation-DevSecOps/
O podjetju Checkmarx
Checkmarx je uveljavljeni ponudnik orodij za aplikacijske razvojne ekipe, s pomočjo katerih lahko pravočasno izdelajo aplikacije, brez da bi zaradi tesnih rokov žrtvovali pomembne varnostne zahteve. Podjetje je bilo ustanovljeno leta 2006 z vizijo zagotavljanja celovite rešitve za avtomatizirano pregledovanje programske kode s poudarkom na varnostni odpornosti končnega produkta. Checkmarx razume izvorno kodo v 18 različnih programskih jezikih, predvsem pa zna odkrivati varnostne pomanjkljivosti v vseh teh dialektih.
SAST orodja zavarnostno analizo programske kode so učinkovita predvsem zato, ker jeodkrivanje in odpravljanje varnostnih pomanjkljivosti precej enostavnejšepredvsem pa cenejše v razvojnem delu življenjskega cikla aplikacije, kot pa vtestnem obdobju ali celo, kar je najhujše, šele ko je aplikacija že v rabi.Checkmarx nam poleg same varnostne luknje, ki se običajno vleče skozi daljšidel kode, običajno pokaže tudi točno mesto, kjer jo je najenostavneje odpravititako, da bo popravek imel vpliv na celotno verigo.
Več o podjetju najdete na spletnih straneh: https://www.checkmarx.com/