Jit, geliştiriciler için ürün güvenliğini basitleştirmeyi amaçlıyor


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. Bilgili görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


jitGeliştiriciler için ürün güvenliğini kolaylaştırmak için tasarlanmış bir platforma sahip bir girişim olan , 38,5 milyon dolarlık tohum fonu topladı. Ayrıca şirket, yazılı belgelerden ve elektronik tablolardan karmaşık güvenlik planlarını GitHub’da sağlanan kod olarak güvenlik planlarına dönüştürerek ürün güvenliğini otomatikleştiren ücretsiz bir genel beta sürümünü yayınladı. Amaç, modern mühendislik ekiplerini devops iş akışlarının bir parçası olarak ürün güvenliği için sorumluluk almaları için güçlendirmektir.

Jit, güvenliği devops iş akışına entegre etmeyi kolaylaştırdığını iddia ediyor. Jit’in kurucu ortağı ve CTO’su David Melamed’e göre, siber güvenlik yöneticileri, ekiplerinin entegre edebileceği, uyum sağlayabileceği ve yapılandırabileceğinden daha hızlı yeni araçlar sunuyor.

Melamed ayrıca bir güvenlik planı veya programı geliştirmenin yüksek hızlı geliştirme ve ürün ekipleri için çok fazla zaman aldığını belirtti. Bu, dikkati risk yönetimine kaydırıyor ve onun gördüğü gibi, riskle ilgili bu kadar çok maliyet olduğunda verimlilik uyumsuz düşüyor.

Melamed’e göre Jit, mühendislik ekipleri için teknik güvenliği basitleştirirken maliyetleri de düşürür. Jit’in, ürün güvenliğinin sürekli entegrasyon, sürekli teslimat (CI/CD) boru hattına bir hizmet olarak sağlandığı, Git ilkelerine dayalı bir ürün güvenlik planıyla ve bir dil geliştiricilerine çevrildiği DevSecOps’u benimsemek için basit bir çözüm sunduğunu da sözlerine ekledi. anlamak — kod.

Kod olarak güvenlik (SaC)

Bugün, güvenlik ve ürün işlevselliği birbirini dışlamaz. Bir ürün işlevsellik açısından kusursuz olabilir, ancak güvenlik açısından kesinlikle güvensiz olabilir. Bunun nedeni, güvenliğin hala yazılım geliştirmede sonradan düşünülmesidir.

Göre Geliştirici Odaklı Güvenliğin Durumu 2022 Secure Code Warrior tarafından yürütülen ankette, geliştiricilerin %86’sı kod oluştururken uygulama güvenliğini birinci öncelik olarak görmüyor. Araştırmaya göre, ankete katılan 1.200 geliştiricinin yarısından fazlası, kodlarının yaygın güvenlik açıklarına karşı güvenli olduğundan emin olamıyor. Geliştiricilerin yalnızca %29’unun güvenli kod oluşturmanın en önemli öncelik olması gerektiğine inanmasının nedenlerinden biri de budur.

Aynı ankete göre, mühendislerin %67’si, zaman kısıtlamaları ve bunun nasıl yapılacağına ilişkin eğitim veya yönlendirme eksikliği nedeniyle güvenli kod yazmayı yazılım geliştirme yaşam döngüsünün ilerisine ertelediklerini söyledi. Sonuç olarak, güvenlik yerine işlevselliğe öncelik verirler. Bununla birlikte, kod olarak güvenliği (SaC) benimsemek, uygulama geliştirme ve güvenlik yönetimini sıkı bir şekilde birleştirerek geliştiricilerin temel özelliklere ve işlevlere odaklanmasına olanak tanırken güvenlik ekiplerinin yapılandırmasını ve izin yönetimini basitleştirir. Bu, geliştirme ve güvenlik ekipleri arasındaki iletişimi geliştirmenin yanı sıra şirket genelinde bir güvenlik kültürünü teşvik eder.

Aslında, McKinsey çoğu bulut liderinin kod olarak altyapının (IaC) şirketlerin hataya açık insan yapılandırmasına güvenmeden bulut sistemlerinin oluşturulmasını otomatikleştirmesine izin verdiği konusunda hemfikir olduğunu bildiriyor. McKinsey, SaC’nin programlı olarak siber güvenlik politikaları ve standartları oluşturarak ve bunlara yapılandırma komut dosyalarında otomatik olarak başvurulmasına izin vererek bir adım daha ileri gittiğini iddia ediyor. Geliştiriciler daha sonraya kadar beklemek yerine, bir projenin başlangıcından itibaren güvenliği giderek daha fazla düşünürler.

Güvenlik açıklarını ve güvenlik sorunlarını otomatik ve sürekli olarak tespit etmek için güvenlik testleri ve tarama, CI/CD ardışık düzenine entegre edilmiştir. Erişim politikası kararları kaynak kodunda yazıldığından organizasyondaki herkes kimin hangi kaynaklara erişimi olduğunu görebilir. Jit, CI/CD en iyi uygulamalarını kullanarak bulutta yerel yazılım geliştiren ve ürün güvenliğinin ilk günden itibaren mevcut olduğundan emin olmak isteyen modern mühendislik ekipleri için tasarlandığını iddia ediyor.

Minimum uygulanabilir güvenlik stratejisi

Boldstart Ventures’ın kurucusu ve genel ortağı Ed Sim’e göre, birçok modern geliştirme organizasyonu sola kayıyor ve geliştiriciler için çeşitli güvenlik teknolojileri sunuyor. Bu çözümlerin yaygınlaşmasıyla birlikte eksik olanın, bir dizi açık kaynaklı güvenlik aracını birleştirirken, güvenliği geliştirici iş akışına kod deneyimi olarak organik olarak entegre eden bir düzenleme katmanı olduğunu iddia ediyor.

Sim, “Jit, geliştiricilerin sıfırdan itibaren minimum uygulanabilir güvenliği kolayca yerleştirmesine olanak tanıyan ve kod hızında güvenlik sağlayan ilk çözümdür” dedi.

göre Ponemon Enstitüsü raporu, yanıt verenlerin %41’i ürün güvenliğinin şirketleri için en önemli öncelik olduğunu, %50’si bir ürünü müşterilere göndermeden önce ürün güvenliğini incelediklerini ve %59’u ürün güvenliği sorunları nedeniyle gelir kaybettiklerini söylüyor. Jit, endüstri standartlarıyla uyumlu “minimum uygulanabilir güvenlik planları” dediği şeyi kodladığını iddia ediyor. Jit’e göre, bu stratejiler, bir ürünü en erken yinelemesinden korumak için temel güvenlik gereksinimlerinin yanı sıra tehdit ortamını da ele alıyor. Bir elektronik tablodaki uyumluluk kontrol listesi, bir havuza kaydedilen kod haline gelir. Şirket, bir sonraki adımın kod, altyapı, CI/CD, çalışma zamanı ve API’ler dahil olmak üzere tüm teknoloji yığını genelinde tüm OSS güvenlik teknolojilerinin otomatik olarak düzenlenmesi olduğunu iddia ediyor.

Bir geliştirici olarak, Jit’teki güvenlik araştırma ekibi, açık kaynaklı güvenlik araçlarını yığınlarına ve CI/CD boru hatlarına entegre etmek için araştırmak, yapılandırmak, uygulamak ve çalışmak yerine, araçlarını farklı kılan şeyin şirketin geliştiricilerin uygulamaları için ilk savunma hattını sağlayacak araçları seçme ve seçme zamanı.

Şirkete göre bu, bir kişi bir güvenlik alanı uzmanı değilse ve bu sorumluluk yakın zamanda onlara verildiyse faydalıdır. Jit, diğer kod araçları gibi kullanımı basit olacak şekilde tasarlandığını iddia ediyor. Şirket, araçlarıyla, bir geliştiricinin artık bir güvenlik planı yazabileceğini ve rakibi Terraform Plan/Terraform Apply’a benzer şekilde, kullanıcı arayüzünde birkaç tıklamayla belirli yığınlarına uygulayabileceğini söylüyor.

Boldstart Ventures, Insight Partners, Tiger Global Management ve stratejik melek yatırımcıları içeren tohum finansman turunu yönetti. Yeni bir Boston-İsrail girişim girişim stüdyosu olan FXP, şirketi kurdu.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Üyelik hakkında daha fazla bilgi edinin.



Kaynak : https://venturebeat.com/2022/06/17/jit-aims-to-simplify-product-security-for-developers/

Yorum yapın