यह लंबे समय से चली आ रही मान्यता है कि विकास जीवनचक्र में सुरक्षा को अधिक महत्व देने की आवश्यकता है। डेवलपर समुदाय में इस विश्वास को स्थापित करें, लेकिन काफी चुनौतीपूर्ण साबित हुआ है। सुरक्षित विकास के लक्ष्य को प्राप्त करने के लिए कई मोर्चों पर काम जारी है, लेकिन ऐसा लगता है कि अभी भी एक रास्ता है (हालांकि कई संगठनों ने अब तक काफी प्रगति की है और हमारे शोध से पता चलता है कि सबक सीखा जा सकता है)।
प्राप्त करने के लिए दृष्टिकोणों के संयोजन की आवश्यकता है सुरक्षित अनुप्रयोग विकाससंगत एप्लिकेशन कोड का मूल्यांकन करना, उपयोग किए गए पुस्तकालयों की समीक्षा करना, और नियमित भेद्यता स्कैन करने में मदद करने के लिए सुरक्षा उपकरणों को लागू करना संगठनों के लिए उपलब्ध विकल्पों में से हैं। सही प्रक्रियाओं और सही लोगों को जोड़कर, संगठनों को एक ऐसी संस्कृति में प्रशिक्षित और संचालित किया जाना चाहिए जो “डिज़ाइन द्वारा सुरक्षित और विकसित” मानसिकता को बनाए रखता है, ताकि सुरक्षित अनुप्रयोग विकास आप इसके द्वारा लाए जाने वाले लाभों को समझना शुरू कर सकें। काम।
इसकी अवधारणा बाईं ओर शिफ्ट करें इस महत्वाकांक्षा को पूरा करने में यह काफी कारगर साबित हुआ है। यदि आप अनुप्रयोग विकास को एक समयरेखा मानते हैं, तो इसका अर्थ है कि सुरक्षा संबंधी विचारों को समय-सीमा की शुरुआत में स्थानांतरित करके उन्हें यथाशीघ्र शामिल करना। इसका समर्थन किया जा सकता है, उदाहरण के लिए, एप्लिकेशन की गैर-कार्यात्मक आवश्यकताओं में शामिल सुरक्षा तत्वों को पुनः प्राप्त करके।
बाईं ओर स्थानांतरित करना उपयोगी है और अनुप्रयोग विकास में सुरक्षा में सुधार कर सकता है, लेकिन संपूर्ण अनुप्रयोग जीवनचक्र पर विचार करते समय यह पर्याप्त नहीं है। यह वह जगह है जहां दो अन्य कारक काम में आते हैं, और वे पूरक हैं।वे हैं दाईं ओर शिफ्ट करें और DevOps, या इससे भी महत्वपूर्ण बात देवसेकऑप्सप्रकाश का स्थानांतरण अनुप्रयोग विकास समयरेखा के दाईं ओर सुरक्षा को स्थानांतरित करने के बारे में है, और इसी तरह DevSecOps विकास प्रक्रिया के प्रत्येक तत्व में सुरक्षा सुनिश्चित करने के बारे में है।
“एक बार जब आप बाएं-दाएं शिफ्ट में महारत हासिल कर लेते हैं, तो अगला तार्किक कदम विकास और समर्थन तत्वों को स्वचालित करना है। यह सुनिश्चित करना है कि वे होते हैं और सुसंगत हैं।”
पॉल हॉलैंड, सूचना सुरक्षा फोरम
डेवलपर्स को विकास के बाद अपने अनुप्रयोगों की सफलता में उनकी भूमिका के महत्व के बारे में पता होना चाहिए। इसमें उपभोक्ताओं के लिए एक सुरक्षित वातावरण बनाए रखने का महत्व शामिल है। डेवलपर्स द्वारा बनाए गए सहायक अनुप्रयोगों में शामिल होने से हमें कोडिंग गुणवत्ता और प्रभावी दोष प्रबंधन की आवश्यकता को समझने में मदद मिलती है।
अपने अनुप्रयोग विकास को और सुरक्षित करने की चाहत रखने वाले संगठनों के पास “हर जगह बदलाव” है। बाएं और दाएं शिफ्ट में महारत हासिल करने के बाद, अगला तार्किक कदम विकास और समर्थन के तत्वों को स्वचालित करना है। यह सुनिश्चित करने के लिए है कि वे घटित हों और निरंतरता सुनिश्चित करें।
विकास गतिविधि परिपक्व होने के बाद ही यह हर जगह घूम सकता है। सबसे अधिक परिपक्व प्रक्रियाओं के स्वचालन के लिए पहले उम्मीदवार होने की संभावना है। स्थापित प्रक्रियाओं और उपकरणों को स्वचालित करना बदलाव का तर्क लेता है और इसे हर चीज में शामिल करता है, इसलिए शब्द हर जगह शिफ्ट होता है।
हर जगह शिफ्ट करने से कई फायदे होते हैं। मुख्य लाभ एक बेहतर विकसित अनुप्रयोग है जिसे विशेषज्ञों की एक टीम द्वारा समर्थित और अद्यतन किया जा सकता है। इसका उत्पाद मालिकों को यह विश्वास दिलाने का भी लाभ है कि उनके अनुप्रयोगों को उच्च स्तर की गुणवत्ता और सुरक्षा के साथ कोडित किया गया है, और यदि कोई समस्या है, तो इसमें शामिल टीमें उन्हें जल्दी से ठीक कर सकती हैं। उपभोक्ताओं को भी लाभ होगा, क्योंकि उनके पास उच्च गुणवत्ता वाले अनुप्रयोगों के साथ बेहतर अनुभव होगा और असुरक्षित अनुप्रयोगों के अपने डेटा को उजागर करने का कम जोखिम होगा।
DevSecOps का विचार विकास, सुरक्षा और संचालन के तीन मुख्य तत्वों को एक टीम और एक समग्र एकजुट प्रक्रिया में जोड़ना है, जिसमें सभी टीमें विकास पर काम कर रही हैं, एक सुरक्षा तत्व जोड़ रही हैं, और फिर जारी रख रही हैं। उस एप्लिकेशन का संचालन। जो संगठन DevSecOps का भी उपयोग करते हैं, वे भी इस बदलाव से बहुत लाभान्वित हो सकते हैं, क्योंकि यह संयुक्त दृष्टिकोण बाएं या दाएं किसी भी बदलाव के लिए खुद को अच्छी तरह से उधार देता है।
