باگ بانتی چگونه متناسب با SDLC عمل می‌کند؟

باگ بانتی چگونه متناسب با SDLC عمل می‌کند؟

۱۰۸

قبلا در بلاگ‌پست SDLC چیست؟ (برگرفته از مطلب ?What is SDLC از سایت آمازون) گفته‌ایم: " چرخه‌ی حیات توسعه نرم‌افزار (SDLC) فرآیندی مقرون‌به‌صرفه است که تیم‌های توسعه برای طراحی و ساخت نرم‌افزارهای با کیفیت بالا از آن استفاده می‌کنند. هدف SDLC به حداقل رساندن خطرات پروژه از طریق برنامه ریزی آینده است تا نرم‌افزار انتظارات مشتری را در طول تولید برآورده کند." در این بلاگ‌پست می‌خواهیم به این سوال بپردازیم: "راهکار امنیتی باگ بانتی، چگونه می‌تواند متناسب با SDLC واقع شود؟ "

داخل پرانتز: آن‌چه در ادامه می‌خوانید، برگرفته از مطلب ?How Does a Bug Bounty Fit into my SDLC از بلاگ bugcrowd است، به‌اضافه‌ی افزودنی‌ها و گفته‌هایی از افراد دارای تجربه‌ی مرتبط با این موضوع. 

آن‌چه در این بلاگ‌پست خواهید خواند: 

چگونه باگ بانتی متناسب با SDLC است؟   

برداشتی سنتی از SDLC 

چالش‌های اثربخشی SDLC سنتی 

باگ بانتی چگونه می‌تواند کمک کند؟ 

پس باگ بانتی چگونه می‌تواند SDLC شما را پشتیبانی و ایمن کند؟   

و اما...؛ پیش از اجرا   

باگ بانتی راورو و چرخه عمر توسعه نرم افزار 

چگونه باگ بانتی متناسب با SDLC است؟

این سوالی ست که همیشه می‌شنویم: "چگونه باگ بانتی متناسب با SDLC (چرخه‌ی عمر توسعه‌ی نرم افزار) است؟". پاسخ واضح این است که باگ بانتی می‌تواند جایگزین یا تقویت‌کننده‌ی بسیاری از تست‌های دستی و خودکاری که در حال حاضر در کسب‌وکارتان به کار می‌برید، شود. پاسخ واقعی ساده‌تر است: "باگ بانتی متناسب با هر مرحله و هر قدم از SDLC شماست و از آن پشتیبانی هم می‌کند." 

برداشتی سنتی از SDLC

SDLC یا همان چرخه عمر توسعه نرم افزار، تقریباً در هر روند توسعه‌ای، جای خود را باز کرده‌است. اما هنوز وقتی به امنیت می‌رسد، محدودیت‌های خود را دارد. سازمان‌ها در مدل سنتی SDLC، تمام ارزیابی‌های امنیتی را تا پایان چرخه‌ی عمر توسعه‌ی نرم افزار، نگه می‌دارند. 

 این موضوع فشار بی‌موردی را بر روند عرضه‌ی محصول وارد می‌کند و ممکن است باعث ایجاد درگیری بین بخش‌ها شود. برای فروشگاه‌های چابک، این فرآیند به هیچ وجه واقع‌بینانه یا مؤثر محسوب نمی‌شود. به همین دلیل است که در چندین سال گذشته، بسیاری از سازمان‌ها رویکردهای سنتی خود را برای ساخت نرم‌افزار «ایمن» کنار گذاشته‌اند و شروع به انجام اقدام‌های امنیتی در طول چرخه‌ی عمر توسعه‌ی نرم افزار کرده‌اند. 

چالش‌های اثربخشی SDLC سنتی

هرچند که SDLC "ایمن" گامی در جهت بهبود است، اما در عین حال چشم‌انداز امنیتی فعلی، چهار چالش ارائه می‌دهد که اثربخشی آن را محدود می‌کنند: 

  • پیچیدگی فزاینده‌ی سطوح حمله‌ی بالونینگ ( Ballooning attack surfaces)، باعث می‌شود که کار ارزیابی دقیق میزان ریسک و برنامه‌ریزی بر اساس آن، برای تیم‌های امنیتی دشوارتر شود. 

  • کمبود منابع، سبب می‌شود برنامه‌ریزی و طراحی مناسب برای امنیت دشوار شود. 

  • بازخوردی که روش‌های تست امنیتی سنتی ارائه می‌کنند، ناکافی است و حفره‌هایی در تولید باقی می‌مانند. 

  • دشمنان به SDLC پایبند نیستند و فعالیت و اثر احتمالی آن‌ها قابل‌توجه است. 

باگ بانتی چگونه می‌تواند کمک کند؟

باگ بانتی با هر مرحله از چرخه عمر توسعه نرم افزار هماهنگ می‌شود و از آن پشتیبانی می‌کند. هم‌چنین بازخورد ارزشمندتری را به روش مستمر و مؤثرتری ارائه می‌دهد. 

نقاط قوت مرتبط برنامه‌ی باگ بانتی از این قرارند: 

  • انجام مجموعه‌ای از تست‌های خلاقانه و متنوع از سوی جامعه‌ی شکارچیان آسیب پذیری

  • مقرون‌به‌صرفه‌بودن مدل پرداخت در ازای نتیجه، از نظر اقتصادی 

  •  مدل‌های مختلف باگ بانتی، عمومی یا خصوصی و مستمر یا کوتاه‌مدت، مزایای روش‌های آزمایش دستی سنتی را شامل می‌شوند. هم‌چنین در جزئیات و عمق، بسیار فراتر از روش‌های تست خودکار می‌روند تا ارزیابی امنیتی‌ای را در دنیای واقعی و بلافاصله ارائه دهند. 

علی جلال‌نژاد، مدیر تضمین امنیت ایرانسل: 

هر قدر هم شرکت ما بزرگ باشد، امکان ندارد که ما این جامعه‌ی بزرگتر متخصصان امنیت و شکارچیان آسیب پذیری که ذهنیت کنجکاوی دارند را تماما استخدام کنیم و از نگاهشان بهره بگیریم. هر قدر هم تیم امنیت ما بزرگ باشد، بالاخره افرادی هستند که دیدگاه و خلاقیت و سناریوهایی در ذهن دارند که ما به آن دسترسی نداشته باشیم. به همین ترتیب ما تمایل داریم در سطح کشور و یا فراتر اگر کسی آسیب پذیری‌ای از وبسایت ما پیدا می‌کند، بتواند گزارش کند و ما هم در قبالش پاداشی که عنوان‌شده را پرداخت کنیم. 

پیشنهاد خواندنی: ایرانسل و باگ بانتی 

پس باگ بانتی چگونه می‌تواند SDLC شما را پشتیبانی و ایمن کند؟

ما از اجرای صدها برنامه‌ی باگ بانتی، شاهد نتایج زیر در میان مشتریان خود بوده‌ایم: 

  • برنامه‌های باگ بانتی به شناسایی مناطقی با بالاترین سطح خطر حمله کمک می‌کنند. در برخی موارد نیز معمولا نقاط ضعف ناشناخته را آشکار می‌کنند. 

  • در واقع برنامه‌های باگ بانتی با شناسایی آسیب‌پذیری‌های ناشناخته‌ی قبلی، به اطلاع‌رسانی اولین گام‌های SDLC در رابطه با استراتژی امنیتی برنامه و طراحی کمک می‌کنند. 

  • به همین ترتیب، نتایجی که برنامه‌های باگ بانتی در دنیای واقعی ایجاد می‌کنند، نیز می‌توانند به برنامه‌های تمرین توسعه نیز وارد شوند و بهترین شیوه‌های کدنویسی امن را پشتیبانی کنند. 

  • برنامه‌های باگ بانتی در مراحل تست و توسعه، یک حلقه‌ی بازخورد پویا و مداوم آسیب پذیری ارائه می‌کنند. به این ترتیب، فرآیندها را به‌شدت بهبود می‌بخشند و می‌توانند در محیط‌های توسعه یا تولید مستقر شوند. 

  • دو ویژگی پررنگ در باگ بانتی برای بهبود روش‌های دیگر باهم ترکیب شده‌اند؛ مدل پرداخت به ازای نتیجه و مجموعه تست‌های متنوع توسط جامعه‌ی شکارچیان آسیب پذیری (بهره گیری از خردجمعی). این مزایا در مقابل روش‌هایی که به اسکن آسیب‌پذیری‌ها می‌پردازند و فقط مسائل شناخته‌شده و نتایج تست نفوذ را کشف می‌کند که در درک و مقیاس محدود هستند، بسیار چشم‌گیر هستند. 

نوید میرحسینی Senior DevOps Engineer در نماوا: 

در نماوا تیم‌ها در قالب برنامه نویسی، دواپس و امنیت مشغول به فعالیت هستند. در عین حال بدیهی است که به علت حجم کار و میزان تغییرات، مواردی از دیده پنهان شود. در این‌جاست که حضور تیم‌های امنیتی مانند پلتفرم باگ بانتی معنی خاص خود را پیدا می‌کند. ما چند سال پیش، از طریق یکی از همکاران با راورو آشنا شدیم و متوجه شدیم که تعدادی شکارچی در اینجا حضور دارند که وبسایت‌ها را چک می‌کنند و باگ‌ها را گزارش می‌دهند. ما هم این فرصت را برای ارتقای امنیتمان محترم شمردیم. حفره‌های امنیتی‌ای که شکارچیان راورو برروی سامانه‌ی ما کشف کرده‌اند، بسیار مهم و باارزش بودند. اگر ما با تیم راورو همکاری نداشتیم، ممکن بود که متوجه وجود بسیاری از این حفره‌ها نشویم.  

پیشنهاد خواندنی: نماوا و باگ بانتی 

و اما...؛ پیش از اجرا

مزایای باگ بانتی می‌تواند برای تقویت هر استراتژی امنیتی، بسیار ارزشمند واقع شود. اما اجرای آن‌ به برنامه‌ریزی، منابع، تجربه‌ی کافی و همچنین ابزارهای مناسب نیاز دارد. نیاز است که قبل از انتخاب، این موارد را باتوجه به شرایط و منابع کسب‌وکار خود بسنجید و سپس تصمیم بگیرید. 

باگ بانتی راورو و چرخه عمر توسعه نرم افزار

برنامه‌ی باگ بانتی، راهکاری مبتنی بر خرد جمعی است. پلتفرم باگ بانتی راورو، امکان بهره‌گیری از دانش، تجربه و تخصص تعداد زیادی شکارچیان آسیب پذیری را برای کسب‌وکارهای ایرانی فراهم کرده است.  کسب‌وکارهای ایرانی امنیت‌اندیش می‌توانند با استفاده از باگ بانتی، در سراسر چرخه عمر توسعه نرم افزار، به نیاز به امنیت پاسخی درخور و متناسب دهند. و به امنیت، چابکی، سرعت و بهینه‌بودن کسب‌وکار خود در این روند بیافزایند. هم‌چنین با مدل پرداخت در ازای نتیجه، مقرون‌به‌صرفه هزینه کنند. 

سخن آخر: 

در جهان امروز، هرروز تهدیدات بیش‌تری از روز قبل در کمین کسب‌وکارها هستند. نیاز است که آهنگ ارتقای امنیت کسب‌وکارها هماهنگ با آهنگ ارتقای کسب‌وکار تنظیم شود. در همین راستا بود که در این بلاگ‌پست از چگونگی تناسب راهکار باگ بانتی با چرخه عمر توسعه نرم افزار گفتیم.  

بلاگ‌پست‌های مرتبط:

ارزیابی ریسک امنیت سایبری 

استراتژی امنیت سایبری برای کسب و کارها 

۱۴+۱ دلیل برای انتخاب باگ بانتی