Shift Left Security

TL;DR: Shift Left Security

Shift Left Security tarkoittaa turvallisuustestauksen ja valvonnan aloittamista mahdollisimman aikaisin ohjelmistokehitysprosessissa. Sen sijaan, että odotettaisiin juuri ennen käyttöönottoa, tiimit käsittelevät turvallisuutta alusta alkaen.

Tämä lähestymistapa auttaa sinua:

• Havaitsemaan haavoittuvuudet aikaisin, kun ne on helpointa ja halvinta korjata.
• Voimaannuttamaan kehittäjiä ottamaan turvallisuus omakseen hidastamatta heidän työnkulkujaan. Entä jos turvallisuustarkastukset tuntuisivat yhtä luonnollisilta kuin yksikkötestit? Kehystämällä turvallisuuden kehittäjien voimaannuttamisen keinona, edistämme sisäistä motivaatiota integroida turvallisuus saumattomasti jokapäiväisiin rutiineihin. Tämä autonomia ajaa proaktiivista lähestymistapaa turvallisuuteen, parantaen sekä tuottavuutta että yleistä turvallisuusasennetta.
• Vähentämään uudelleentyön kustannuksia korjaamalla ongelmat koodausvaiheessa tuotannon sijaan.

Shift Left Securityn tavoitteena on tehdä turvallisuudesta jatkuva osa kehitysprosessia, jotta koodi on turvallista suunnittelusta lähtien.

Mitä on Shift Left Security

Shift Left Security on strategia sovellusturvallisuudelle. Se tarkoittaa turvallisuusongelmien testaamista ja haavoittuvuuksien skannausta koodauksen ja rakentamisen aikana, ei vain testauksen tai käyttöönoton aikana.

Perinteisessä “Waterfall”-mallissa turvallisuustarkastukset tapahtuvat lopussa. Tämä visualisoidaan usein aikajanan “oikealla” puolella. Vasemmalle siirtyminen siirtää nämä tarkastukset “vasemmalle” puolelle. Se integroi ne integroituihin kehitysympäristöihin (IDE), Git-repositorioihin ja CI/CD-putkistoihin.

Yksinkertaisesti sanottuna:

Shift Left Security tarkoittaa koodin testaamista turvallisuusvirheiden varalta sitä kirjoittaessasi, jotta et toimita virheitä tuotantoon.

Miksi Shift Left Security on tärkeää

Kun jätät turvallisuuden kehityksen viimeiseen vaiheeseen, luot pullonkaulan. Jos kriittinen haavoittuvuus löydetään päivää ennen julkaisua, joko viivästytät julkaisua tai toimitat riskillä.

Miksi Shift Left Security on tärkeää?

Virheiden korjaaminen tuotannossa on kallista. NIST

mukaan vian korjaaminen tuotannossa voi maksaa 30–100 kertaa enemmän kuin sen korjaaminen koodauksen aikana.

Nopeus vaatii automaatiota. Modernit DevOps-tiimit julkaisevat useita kertoja päivässä. Manuaaliset tunkeutumistestit eivät pysy mukana. Automaattiset ‘vasemmalle siirretyt’ työkalut toimivat jokaisen commitin yhteydessä. Vaikka automaattiset skannaukset tuovat esiin ongelmia tehokkaasti, ihmisen arviointi tarjoaa edelleen olennaista kontekstia ja harkintaa, varmistaen tasapainoisen lähestymistavan.

Kehittäjät tarvitsevat nopeaa palautetta. Turvallisuusongelman korjaaminen on helpompaa, kun koodi on vielä tuoreessa muistissa, kuin viikkoja myöhemmin, kun on siirrytty johonkin muuhun.

Turvallisuus on jaettu vastuu. Se yhdistää turvallisuustiimit ja insinöörit. Tämä tekee turvallisuudesta mahdollistajan eikä portinvartijan.

Miten Shift Left Security toimii

Shift Left Security löytää haavoittuvuuksia koodissa ja riippuvuuksissa ennen kuin sovellus rakennetaan tai otetaan käyttöön.

1. Ongelmat havaitaan IDE

(Pre-Commit)

Työkalut integroituvat suoraan kehittäjän koodausympäristöön (VS Code, IntelliJ) liputtaakseen ongelmat reaaliajassa.

• Staattinen sovelluksen tietoturvatestaus (SAST): Skannaa lähdekoodin epävarmojen koodausmallien varalta (esim. SQL-injektio).
• Salaisuuksien tunnistus: Varoittaa, jos kehittäjä yrittää liittää API-avaimen tai tunnuksen koodiin.

Tavoite: Estää epävarman koodin pääsy versionhallintajärjestelmään.

2. Skannausten automatisointi CI/CD

(Pull Requestit)

Tietoturvaskannaukset suoritetaan automaattisesti aina, kun koodi työnnetään arkistoon tai Pull Request avataan.

• Ohjelmistokoostumusanalyysi (SCA): Tarkistaa avoimen lähdekoodin kirjastot tunnettujen haavoittuvuuksien (CVE) varalta.
• Infrastruktuuri koodina (IaC) skannaus: Tarkistaa Terraform- tai Kubernetes-tiedostot virheellisten konfiguraatioiden varalta.

Tavoite: Tunnistaa ongelmat vertaisarviointiprosessin aikana ennen koodin yhdistämistä.

3. Laatuporttien valvonta

Putket on konfiguroitu epäonnistumaan, jos havaitaan korkean vakavuuden haavoittuvuuksia.

• Esimerkki: Jos “Kriittinen” haavoittuvuus löytyy Docker-kuvasta, putki pysähtyy. Käyttöönotto estetään, kunnes ongelma on ratkaistu.

Tavoite: Estää haavoittuvien artefaktien pääsy testaukseen tai tuotantoon.

4. Jatkuva palautesilmukka

Skannausten tulokset lähetetään suoraan kehittäjien käyttämille työkaluille, kuten Jira, Slack tai GitHub Issues. Tämä välttää erillisten PDF-raporttien tarpeen.

Tavoite: Integroi tietoturvalöydökset olemassa olevaan insinöörityönkulkuun.

Yleiset riskit, jotka Shift Left havaitsee

Esimerkkejä ongelmista, jotka Shift Left Security voi havaita aikaisin:

• Kovakoodatut salaisuudet: AWS-avaimet, tietokannan salasanat tai API-tunnukset, jotka on tallennettu Git
  . Näiden varhainen havaitseminen ei ainoastaan estä tietoturvaloukkauksia, vaan säästää myös aikaa ja resursseja, joita tarvitaan kalliisiin tunnusten kiertoihin myöhemmin.
• Haavoittuvat riippuvuudet: Vanhan Log4j- tai OpenSSL-version käyttö, jossa on tunnettuja haavoittuvuuksia.
• Injektiovirheet: SQL-injektio (SQLi) tai Cross-Site Scripting (XSS) lähdekoodissa.
• Turvaton infrastruktuuri: S3-kaukalot, joilla on julkinen pääsy tai kontit, jotka toimivat root-käyttäjänä.
• Yhteensopivuusrikkomukset: Koodi, joka rikkoo GDPR- tai PCI-DSS-vaatimuksia.

Esimerkki käytännössä

Kehittäjä työskentelee uuden kirjautumisominaisuuden parissa Node.js-sovelluksessa.

Ilman Shift Left: Kehittäjä viimeistelee koodin, yhdistää sen ja ottaa sen käyttöön staging-ympäristössä. Kaksi viikkoa myöhemmin tietoturvatiimi suorittaa skannauksen ja löytää kovakoodatun tietokannan salasanan. Turhautumisen ja paniikin sekoitus valtaa tiimin, kun he kiirehtivät ratkaisemaan ongelman. Odotettu perjantain julkaisu viivästyy, muuttuen maanantaiaamun hätäkokoukseksi, jossa julkaisu keskeytetään. Kehittäjä saa tehtäväkseen kirjoittaa autentikointimoduulin uudelleen, kun sidosryhmät murehtivat ei-toivottua viivästystä.

Shift Left (käyttäen Plexicus):

1. Kehittäjä sitoutuu koodiin.
2. CI/CD-putki käynnistää Plexicus-skannauksen.
3. Skannaus havaitsee kovakoodatun salasanan välittömästi.
4. Rakennus epäonnistuu. Pull Request merkitään tietyn rivinumeron kanssa.
5. Kehittäjä poistaa salasanan, käyttää ympäristömuuttujaa ja sitoutuu uudelleen.
6. Rakennus menee läpi.

Tulos: Haavoittuvuus ei koskaan poistunut kehityshaaraasta. Julkaisuaikataulu pysyi aikataulussa.

Kuka käyttää Shift Left -turvallisuutta

• Kehittäjät - tarkistaakseen oman koodinsa virheiden varalta ennen vertaisarviointia.
• DevOps-insinöörit - automatisoidakseen turvallisuusportit CI/CD-putkissa.
• AppSec / DevSecOps-tiimit - konfiguroidakseen käytäntöjä ja valvoakseen yleistä turvallisuusasennetta.
• Engineering Managerit - varmistaakseen teknisen velan ja turvallisuusriskien hallinnan ilman, että ne hidastavat nopeutta.

Milloin soveltaa Shift Left -turvallisuutta

Shift Left -turvallisuutta tulisi soveltaa varhaisessa SDLC

• Paikallinen kehitys - pre-commit koukut ja IDE-laajennukset.
• Koodin sitoutuminen - haarojen ja Pull Requestien automaattinen skannaus.
• Rakennusartefakti - konttikuvien ja käännettyjen binaarien skannaus.
• Staging - dynaaminen analyysi (DAST) käynnissä olevista sovelluksista ennen tuotantoon lähettämistä

Shift Left -työkalujen keskeiset ominaisuudet

Useimmat Shift Left -turvallisuusratkaisut tarjoavat:

• SAST (Staattinen sovellusten tietoturvatestaus): Lähdekoodin analysointi.
• SCA (Ohjelmistojen koostumusanalyysi): Avoimen lähdekoodin kirjastojen tarkistaminen.
• Salaisuuksien tunnistus: Kovakoodattujen tunnistetietojen löytäminen.
• IaC-tietoturva: Infrastruktuurin konfiguraatioiden skannaus.
• CI/CD-integraatio: Natiivipluginien käyttö GitHubille, GitLabille, Jenkinsille jne.
• Kehittäjäkeskeinen korjaus: Näyttää tarkalleen, missä korjaus tarvitaan (tiedosto ja rivinumero).

Esimerkki työkaluista: erikoistuneet skannerit tai yhtenäiset alustat kuten Plexicus ASPM, joka yhdistää koodin, salaisuuksien ja konttien skannauksen yhdeksi työkuluksi.

Parhaat käytännöt “Shift Left” -tietoturvalle

• Aloita pienestä: Älä keskeytä rakennusta jokaisen vähäisen ongelman vuoksi. Aloita estämällä vain “Kriittiset” ja “Korkean” vakavuuden löydökset.
• Minimoi väärät positiiviset: Viritä skannerisi välttämään merkityksettömistä ongelmista ilmoittamista, jotta kehittäjät eivät jätä niitä huomiotta.
• Nopeat skannaukset: Varmista, että tietoturvatarkistukset eivät lisää merkittävästi aikaa rakennusprosessiin.
• Kouluta kehittäjiä: Käytä löydöksiä oppimismahdollisuutena eikä rangaistuksena.
• Skannaa kaikki: Kattaa omistettu koodi, avoimen lähdekoodin riippuvuudet ja infrastruktuurin konfiguraatiot.

Liittyvät termit

• DevSecOps
• SAST (Static Application Security Testing)
• SCA (Software Composition Analysis)
• CI/CD Security