AppSec और DevSecOps में विश्वास जोड़ना
ऐप स्टोर यानी मैंने नियम और शर्तों का विवरण शायद ही कभी पढ़ा हो। एक प्रसिद्ध ब्रांड द्वारा होस्ट किया गया, यह मान लेना आसान है कि ऐप सुरक्षित, मजबूत और प्रतिष्ठित होना चाहिए।
हालांकि यह अक्सर सच होता है, कुछ ऐप्स जानबूझकर या अनजाने में दुर्भावनापूर्ण होते हैं। ऐप्स उपयोगकर्ता जानकारी एकत्र कर सकते हैं, उसे एकत्रित कर सकते हैं और अन्य ऐप्स और प्रदाताओं के साथ डेटा साझा कर सकते हैं। उनमें कमजोरियां भी हो सकती हैं जिनका सीधे शोषण किया जा सकता है।
प्रौद्योगिकी और साइबर जटिल हैं, इसलिए यह अपेक्षा करना अवास्तविक है कि अधिकांश लोगों को नवीनतम सुविधाओं, प्रक्रियाओं और सुरक्षा चिंताओं के साथ अद्यतित रखा जाएगा। जब उनका बच्चा पूछता है, “क्या मैं इस ऐप को अपने फोन पर डाउनलोड कर सकता हूं?” आज सभी के पास यह जानकारी है कि ऐप कैसा दिखता है, ऐप का नाम और समीक्षाएं। यह पर्याप्त नहीं है।
नवाचार और सुरक्षा
सुरक्षा सर्वोच्च प्राथमिकता है, लेकिन यह महत्वपूर्ण है कि नवाचार के रास्ते में न आएं। यह बहुत अच्छा है कि कोई भी एप्लिकेशन बनाने के लिए मूल कोडिंग पैकेज तक पहुंच सकता है। लेकिन, हमें अधिक विश्वास और आश्वासन बनाने का एक तरीका चाहिएयह सुनिश्चित करने के लिए कि कोई ऐप उद्देश्य के लिए उपयुक्त है और साइबर सुरक्षा के लिए मानकों और आवश्यकताओं का एक न्यूनतम सेट आवश्यक है। यह जिम्मेदारी ऐप डेवलपर के पास है, लेकिन यह सुनिश्चित करने के लिए अन्य पक्षों द्वारा मूल्यांकन, समर्थन और निर्देशित किया जाना चाहिए कि यह ऐप उपभोक्ता के लिए सार्थक है।
साइबर सुरक्षा उद्योग ने लंबे समय से प्रवेश परीक्षण और कोड समीक्षाओं के रूप में साइबर सुरक्षा परीक्षण और आश्वासन का अभ्यास किया है। अधिकांश जाने-माने ऐप्स ने कार्यक्षमता और साइबर सुरक्षा दोनों की जांच के लिए कई मूल्यांकन पास किए हैं। हालाँकि, इन अनुप्रयोगों का अक्सर मूल्यांकन किया जाता है, लेकिन असंगत रूप से। कुछ उपकरण पर भरोसा करते हैं, कुछ के पास कार्यप्रणाली होती है, कुछ के पास उच्च-स्तरीय आकलन होते हैं, और कुछ के पास संपूर्ण जड़ और शाखा जांच होती है।
सुरक्षा समीक्षा, आवेदन समीक्षा, प्रवेश परीक्षण और तकनीकी आश्वासन गतिविधियों जैसे वाक्यांश इधर-उधर फेंके जाते हैं, लेकिन उनका कोई सुसंगत अर्थ नहीं है। नतीजतन, सुरक्षा आकलन अत्यधिक असंगत हैं और मूल्यांकनकर्ताओं, उपकरणों, कार्यप्रणाली, लागू समय और यहां तक कि आयोजित वर्ष जैसे कारकों पर निर्भर हैं।
स्पष्ट रूप से, मूल्यांकन बिना मूल्यांकन के बेहतर है, लेकिन उद्योग को कुछ ऐसा बनाने के लिए मिलकर काम करने की आवश्यकता है जो सुसंगत, दोहराने योग्य, जोखिम-आधारित और मापनीय हो। सुरक्षा कंपनी ए के विक्रेता या उपकरण कंपनी बी के समान परीक्षण कर सकते हैं और एक ही निष्कर्ष पर लगातार तरीके से पहुंच सकते हैं। और न केवल परिणाम सुसंगत होने चाहिए, बल्कि उन्हें एक सुसंगत और मापनीय तरीके से प्रस्तुत किया जाना चाहिए।
एप्लिकेशन सुरक्षा स्केलेबल होनी चाहिए। इसका अर्थ है पेशकश करने के लिए मानकों और आवश्यकताओं के न्यूनतम सेट की पहचान करना। हमें एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) और एक पूरक रिपोर्टिंग फ्रेमवर्क बनाने की भी आवश्यकता है जो सुपर एक्स्टेंसिबल और मशीन पठनीय हो। इसके लिए स्पष्ट रूप से यह पहचानने की आवश्यकता है कि क्या मूल्यांकन किया जा रहा है, क्या पहचाना जा रहा है और निष्कर्ष या परिणाम क्या है।
इन लक्ष्यों को प्राप्त करने के लिए अनुप्रयोग विकास और साइबर सुरक्षा उद्योगों के बीच सहयोग की आवश्यकता होती है। केवल मानकों पर ध्यान केंद्रित करके और एक सुसंगत रिपोर्टिंग ढांचे का लाभ उठाकर हम एक अधिक सुसंगत और व्यापक साइबर आश्वासन परिणाम का निर्माण कर सकते हैं।
लक्ष्य उन संगठनों के लिए पहचान या अतिरिक्त मूल्य खोना नहीं है जो अनुप्रयोग सुरक्षा प्रदान करते हैं। उदाहरण के लिए, आवेदन, दर्शकों और दायरे के आधार पर विभिन्न दृष्टिकोणों के साथ परिणाम प्रस्तुत करने की क्षमता होना अभी भी संभव है। हालांकि, सभी परीक्षण प्लेटफार्मों, प्रक्रियाओं और ढांचे में लगातार रिपोर्टिंग नियंत्रण और मानकों का एक न्यूनतम सेट आवश्यक है।
यह दृष्टिकोण अनुप्रयोगों में सुधार और स्थिरता दोनों को प्रोत्साहित करता है। हालांकि, बड़े डिजिटल मार्केटप्लेस को उपभोक्ताओं को यह बताने की जरूरत है कि उनके एप्लिकेशन सुरक्षित हैं। इसे हासिल करने के विभिन्न तरीके हैं। सबसे बुनियादी, अंगूठे ऊपर/अंगूठे नीचे मदद करता है। वैकल्पिक रूप से, बाज़ार एक अधिक विस्तृत रेटिंग प्रणाली विकसित कर सकता है।
उद्योग के लिए कार्य करने का समय अब है।
दुनिया भर की सरकारें और नियामक बेहतर और अधिक सुसंगत सुरक्षा प्रथाओं के निर्माण के तरीकों की पहचान करने के लिए डिजिटल मार्केटप्लेस की ओर रुख कर रहे हैं। विनियमन अभी तक नहीं आया है, लेकिन ड्राइविंग सुधार के उद्देश्य से डिजिटल बाजारों के लिए और अधिक मार्गदर्शन और सिफारिशें जारी किए जाने की संभावना है।
एक परस्पर वैश्विक आपूर्ति श्रृंखला में, सरकारें विभिन्न आवश्यकताओं को लागू कर सकती हैं। यह मानकीकरण के इच्छित लक्ष्य से विसंगतियों और विचलन को बढ़ा सकता है। इसलिए यह उद्योग की देन है कि वह स्वयं इस समस्या का समाधान निकाले। सहयोग, जुड़ाव और संवाद के माध्यम से, उद्योग सामूहिक रूप से मानकों का निर्माण कर सकता है, लगातार मूल्यांकन प्रदान कर सकता है, और उपभोक्ताओं को उनके आवेदन सुरक्षा मुद्रा की प्रभावशीलता के बारे में लगातार साइनपोस्ट प्रदान कर सकता है।
क्रेस्ट हाल ही में एक रिश्ता स्थापित किया वेब अनुप्रयोग सुरक्षा परियोजना खोलें (ओडब्ल्यूएएसपी) और इस यात्रा पर जाने वालों के लिए ओडब्ल्यूएएसपी सत्यापन मानक (ओवीएस) लॉन्च किया। जानकारी के लिए यहाँ क्लिक करें.
रोलैंड जॉनसन, जो पहले अंतरराष्ट्रीय विकास के संगठन के निदेशक के रूप में काम करते थे, 2021 में क्रेस्ट के अध्यक्ष बनेंगे। इससे पहले, वह प्रवेश परीक्षण, अनुपालन और जोखिम प्रबंधन सेवाओं के प्रदाता, नेटिट्यूड के संस्थापक और सीईओ थे।
