Hlavní navigace

Spolehlivý software by měl být i bezpečný

11. 11. 2021
Doba čtení: 2 minuty

Sdílet

 Autor: Depositphotos
Přijetí jak devsecops, tak konceptů inženýrství spolehlivosti webu zvyšuje dostupnost a zabezpečení softwaru zlepšením stability a zkrácením doby implementace oprav.
Chris Hughes 11. 11. 2021
Doba čtení: 2 minuty

Softwarová bezpečnost a spolehlivost byly vzájemně srovnávány již před lety, přičemž hlavním cílem obou je ochrana zákazníků a spotřebitelů. S pokračujícím přijímáním a dozráváním hnutí devsecops a spolehlivosti webu (SRE) se však tyto dva pojmy stále více překrývají. Při správné realizaci to maximalizuje hodnotu pro zainteresované strany.

Každý, kdo nějakou dobu pracoval v oblasti kybernetické bezpečnosti, zná triádu CIA, která se skládá z následujících prvků: důvěrnost, integritu a dostupnost. Metriky související s dostupností jsou kritickou součástí hnutí devops (a následně devsecops). 

Ty přicházejí ve formě Devops Research and Assessments (DORA). Tyto metriky zahrnují mezičas k obnovení (MTTR) a míru selhání změn (CFR). Pokud navrhované změny selžou a brání dostupnosti a obnovení trvá nepřijatelně dlouho, ohrozili jste bezpečnost i spolehlivost.

Jsme svědky tlaku na organizace, aby přijaly bezpečné postupy devops, přičemž studie, jako je State of devops Report, ukazují, že vysoce výkonné podniky neobětují rychlost kvůli stabilitě (dostupnosti). Rostoucí počet organizací přejímá principy SRE s cílem poučit se z výpadků a přeměnit křehké systémy na systémy nekřehké a spolehlivé.

Krátká doba realizace změn zvyšuje bezpečnost

Navzdory zřejmému vztahu mezi MTTR a CFR má silný potenciální dopad z hlediska bezpečnosti také další metrika DORA. Jedná se o metriku času na provedení změn. Tato metrika je často spojena s dobou, kterou trvá přechod od kódu odevzdaného ke kódu úspěšně spuštěnému v produkci. Obecně se o ní hovoří v souvislosti s rychlou schopností poskytovat hodnotu zákazníkům nebo koncovým uživatelům.

Schopnost rychle nasadit aktualizace relevantní pro zabezpečení do vašich systémů je také příkladem poskytování hodnoty. Pokud dokážete identifikovat nezabezpečené komponenty nebo zranitelnosti ve vašich produkčních systémech, jak rychle můžete tyto nedostatky vyřešit, aniž byste ohrozili dostupnost vašeho systému? 

Pokud potřebujete ohrozit dostupnost systému za účelem poskytování aktualizací relevantních pro zabezpečení, narušili jste stabilitu i zabezpečení tím, že jste přerušili dostupnost a rozšířili jste okno, ve kterém existuje zranitelnost, kterou může zneužít škodlivý činitel.

 

CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.