Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Как директора по информационной безопасности могут перейти от безопасности приложений к безопасности продуктов
Команды по обеспечению безопасности продуктов становятся все более популярными благодаря более глубокому подходу к обеспечению безопасности, который они применяют по сравнению с командами по обеспечению безопасности приложений. Но это еще не все, включая создание культуры, ориентированной на безопасность.
Независимо от того, называете ли вы это безопасностью со сдвигом влево, встроенной безопасностью или безопасностью по замыслу, сегодня дальновидные предприятия понимают, что им необходимо уделять внимание безопасности на протяжении всего жизненного цикла не только отдельных приложений, но и бизнес-продукта, который они используют. поддерживать. Для этого все большее число предприятий используют команды по безопасности продуктов и сотрудников по безопасности продуктов, чтобы осуществить это изменение.
Безопасность продуктов расширяет сферу традиционной безопасности приложений далеко за пределы тестирования и в области пропаганды, сотрудничества между бизнес-группами, дизайн-мышления, моделирования угроз, архитектурного планирования и настоящего управления рисками. «Активно участвуя на каждом этапе процесса разработки, команда безопасности продукта помогает учитывать вопросы безопасности при проектировании, архитектуре, кодировании, тестировании и выпуске программного обеспечения в производство», — говорит Крис Рокл, директор по продуктам Appdome. «Такой проактивный подход представляет собой эффективный цикл, который сводит к минимуму риск уязвимостей и гарантирует, что безопасность является неотъемлемым аспектом конечного продукта».
Если все сделано правильно, безопасность продукта становится важным рычагом для выполнения обещаний, данных защитниками DevSecOps уже много лет.
Хотя безопасность приложений и безопасность продуктов имеют единую цель — помочь организации выпускать и поддерживать безопасное программное обеспечение, — роль, которую каждая функция играет в достижении этой цели, различна. «Appsec действительно фокусируется на тестировании, проверке и наборе инструментов, в то время как безопасность продукта охватывает бизнес-правила всего SDLC, включая те сложные человеческие части разработки программного обеспечения», — объясняет Мишель Чубирка, специалист по облачной безопасности Google.
Кроме того, в то время как группа безопасности приложений глубоко погружается в каждое отдельное приложение, усиление защиты которого им поручено, безопасность продукта представляет собой общую картину, комплексный анализ безопасности всего стека, который помогает обслуживать данный продукт. «Безопасность продукта — это расширение безопасности приложений. Безопасность приложений концентрируется на защите кода и функциональности одного программного приложения», — говорит Дэвид Линднер, директор по информационной безопасности компании Contrast Security. «Безопасность продукта предполагает целостный взгляд на весь технологический продукт, учитывая более широкую среду и потенциальные векторы атак, которые могут возникнуть в результате взаимодействия между различными компонентами».
Эта более широкая среда может включать в себя одновременно множество приложений, аппаратных компонентов и связанных сервисов. Учетные записи безопасности продуктов для их состояния безопасности при их совместном развертывании.
В некоторых компаниях безопасность продуктов может быть сосредоточена исключительно на внешних клиентах, но другие считают, что даже внутренние проекты, такие как критически важные внутренние финансовые или кадровые системы, входят в сферу безопасности продукта. В любом случае, перспективы безопасности продуктов более всеобъемлющие, объясняет Сэм Рехман, директор по информационной безопасности EPAM Systems, глобальной компании по разработке программного обеспечения. «Это предполагает более широкий охват, охватывающий операционный и технический контроль, общую среду, идентификацию клиентов, а также механизмы обнаружения и реагирования на потенциальные проблемы в сервисе», — говорит он.
«Один из способов понять разницу — представить приложения как пирожные», — говорит Кристин Гадсби, вице-президент по безопасности продуктов BlackBerry. Безопасность приложения подобна проверке отдельного торта, чтобы убедиться, что он выглядит безопасным и не содержит загрязнений, прежде чем подавать его кому-либо. Между тем, безопасность продукции — это процесс совершенствования способа изготовления тортов в пекарне и инструментов, которые они используют, чтобы гарантировать безопасность и приятный вкус каждого торта. «Безопасность продукта — это скорее подход «общей картины»: весь процесс выпечки от начала до конца, а также обеспечение правильных действий и процессов на каждом этапе, чтобы гарантировать, что торт имеет точно правильный состав, отвечает деликатным и деликатным требованиям ваших клиентов. возможно, чувствительный поддон и остается «свежим» на протяжении всего срока службы», — говорит она. «Как организация, команда по безопасности продуктов должна учитывать безопасность всего списка продуктов или систем и того, какие клиенты их используют, что может включать в себя несколько «ингредиентов» или несколько тортов».