Shift Left Security

TL;DR: Shift Left Security

Shift Left Security tarkoittaa, että tietoturvatestaus ja -valvonta aloitetaan mahdollisimman aikaisin ohjelmistokehitysprosessissa. Sen sijaan, että odotettaisiin juuri ennen käyttöönottoa, tiimit käsittelevät tietoturvaa alusta alkaen.

Tämä lähestymistapa auttaa sinua:

• Havaitsemaan haavoittuvuudet aikaisin, kun ne on helpointa ja halvinta korjata.
• Vahvistamaan kehittäjien roolia tietoturvassa hidastamatta heidän työnkulkujaan. Entä jos tietoturvatarkastukset tuntuisivat yhtä luonnollisilta kuin yksikkötestit? Kehystämällä tietoturva kehittäjien voimaannuttamisen keinona, edistämme sisäistä motivaatiota integroida tietoturva saumattomasti päivittäisiin rutiineihin. Tämä autonomia edistää ennakoivaa lähestymistapaa tietoturvaan, parantaen sekä tuottavuutta että yleistä tietoturva-asemaa.
• Vähentämään uudelleentyön kustannuksia korjaamalla ongelmat koodausvaiheessa sen sijaan, että ne korjattaisiin tuotannossa.

Shift Left Securityn tavoite on tehdä tietoturvasta jatkuva osa kehitysprosessia, jotta koodi on turvallista jo suunnitteluvaiheessa.

Mitä on Shift Left Security

Shift Left Security on strategia sovellusturvallisuudelle. Se tarkoittaa tietoturvaongelmien testaamista ja haavoittuvuuksien skannausta koodauksen ja rakentamisen aikana, ei vain testauksen tai käyttöönoton aikana.

Perinteisessä “Vesiputous”-mallissa tietoturvatarkastukset tapahtuvat lopussa. Tämä kuvataan usein aikajanan “oikealla” puolella. Vasemmalle siirtyminen siirtää nämä tarkastukset aikajanan “vasemmalle” puolelle. Se integroi ne integroituun kehitysympäristöön (IDE), Git-repositorioihin ja CI/CD-putkiin.

Yksinkertaisesti sanottuna:

Shift Left Security tarkoittaa koodisi testaamista tietoturva-aukkojen varalta samaan aikaan kun kirjoitat sitä, jotta et toimita bugeja tuotantoon.

Miksi Shift Left Security on tärkeää

Kun jätät tietoturvan kehityksen viimeiseen vaiheeseen, luot pullonkaulan. Jos kriittinen haavoittuvuus löydetään päiviä ennen julkaisua, joko viivästytät julkaisua tai toimitat riskillä.

Miksi Shift Left Security on siis tärkeää?

Virheiden korjaaminen tuotannossa on kallista. NIST

Nopeus vaatii automaatiota. Modernit DevOps-tiimit julkaisevat useita kertoja päivässä. Manuaaliset tunkeutumistestit eivät pysy perässä. Automaattiset ‘vasemmalle siirretyt’ työkalut toimivat jokaisen commitin yhteydessä. Vaikka automaattiset skannaukset tuovat esiin ongelmia tehokkaasti, ihmisen tekemä tarkistus tarjoaa edelleen olennaista kontekstia ja harkintaa, varmistaen tasapainoisen lähestymistavan.

Kehittäjät tarvitsevat nopeaa palautetta. On helpompaa korjata tietoturvaongelma, kun koodi on vielä tuoreessa muistissa, kuin viikkoja myöhemmin, kun on siirrytty johonkin muuhun.

Tietoturva on jaettu vastuu. Se kuroo umpeen tietoturvatiimien ja insinöörien välistä kuilua. Tämä tekee tietoturvasta mahdollistajan eikä portinvartijan.

Miten Shift Left Security toimii

Shift Left Security havaitsee haavoittuvuudet koodissa ja riippuvuuksissa ennen kuin sovellus rakennetaan tai otetaan käyttöön.

1. Ongelmat havaitaan IDE

(Ennen commitia)

Työkalut integroituvat suoraan kehittäjän koodausympäristöön (VS Code, IntelliJ) liputtaakseen ongelmia reaaliajassa.

• Staattinen sovellusturvallisuuden testaus (SAST): Skannaa lähdekoodin epävarmojen koodausmallien varalta (esim. SQL-injektio).
• Salaisuuksien havaitseminen: Varoittaa, jos kehittäjä yrittää liittää API-avaimen tai tunnuksen koodiin.

Tavoite: Estää epävarman koodin pääsy versionhallintajärjestelmään.

2. Skannausten automatisointi CI/CD

(Pull Requestit)

Turvallisuusskannaukset suoritetaan automaattisesti aina, kun koodi työnnetään arkistoon tai Pull Request avataan.

• Ohjelmistojen koostumusanalyysi (SCA): Tarkistaa avoimen lähdekoodin kirjastot tunnettujen haavoittuvuuksien (CVE) varalta.
• Infrastruktuuri koodina (IaC) -skannaus: Tarkistaa Terraform- tai Kubernetes-tiedostot väärinkonfiguraatioiden varalta.

Tavoite: Tunnistaa ongelmat vertaisarviointiprosessin aikana ennen koodin yhdistämistä.

3. Laatuporttien valvonta

Putkistot on konfiguroitu epäonnistumaan, jos korkean vakavuusasteen haavoittuvuuksia havaitaan.

• Esimerkki: Jos “Kriittinen” haavoittuvuus löytyy Docker-kuvasta, putkisto pysähtyy. Käyttöönotto estetään, kunnes ongelma on ratkaistu.

Tavoite: Estää haavoittuvien artefaktien pääsy lavastus- tai tuotantoympäristöön.

4. Jatkuva palautesilmukka

Skannausten tulokset lähetetään suoraan kehittäjien käyttämiin työkaluihin, kuten Jira, Slack tai GitHub Issues. Tämä välttää erillisten PDF-raporttien tarpeen.

Tavoite: Integroi turvallisuushavainnot olemassa olevaan insinöörityönkulkuun.

Yleisiä riskejä, jotka Shift Left havaitsee

Esimerkkejä ongelmista, jotka Shift Left Security voi havaita varhaisessa vaiheessa:

• Kovakoodatut salaisuudet: AWS-avaimet, tietokantasalasanat tai API-tunnukset, jotka on sitoutettu Gitiin. Näiden varhainen havaitseminen ei ainoastaan estä tietoturvaloukkauksia, vaan myös säästää aikaa ja resursseja, joita tarvitaan kalliisiin tunnusten kierrätyksiin myöhemmin.
• Haavoittuvat riippuvuudet: Vanhan version käyttäminen Log4j
  tai OpenSSL
  , joissa on tunnettuja hyväksikäyttöjä.
• Injektiohaavoittuvuudet: SQL-injektio (SQLi) tai Cross-Site Scripting (XSS) lähdekoodissa.
• Turvaton infrastruktuuri: S3-säiliöt, joilla on julkinen pääsy tai kontit, jotka toimivat root-käyttäjänä.
• Yhteensopivuusrikkomukset: Koodi, joka rikkoo GDPR- tai PCI-DSS-vaatimuksia.

Esimerkki käytännössä

Kehittäjä työskentelee uuden kirjautumisominaisuuden parissa Node.js-sovellukselle.

Ilman Shift Left -lähestymistapaa: Kehittäjä viimeistelee koodin, yhdistää sen ja ottaa sen käyttöön testausympäristössä. Kaksi viikkoa myöhemmin tietoturvatiimi suorittaa tarkistuksen ja löytää kovakoodatun tietokantasalasanan. Turhautumisen ja paniikin sekoitus syntyy, kun tiimi kiirehtii ratkaisemaan ongelman. Kauan odotettu perjantain julkaisu viivästyy, muuttuen maanantaiaamun hätäkokoukseksi, jossa julkaisu laitetaan jäihin. Kehittäjä saa tehtäväkseen kirjoittaa todennusmoduulin uudelleen, kun sidosryhmät murehtivat ei-toivottua viivästystä.

Shift Left -lähestymistavan kanssa (käyttäen Plexicusta):

1. Kehittäjä tekee koodin sitoumuksen.
2. CI/CD-putki laukaisee Plexicus-skannauksen.
3. Skannaus havaitsee kovakoodatun salasanan välittömästi.
4. Käännös epäonnistuu. Pull Request merkitään tietyllä rivinumerolla.
5. Kehittäjä poistaa salasanan, käyttää ympäristömuuttujaa ja tekee uuden sitoumuksen.
6. Käännös onnistuu.

Tulos: Haavoittuvuus ei koskaan poistunut kehityshaaraasta. Julkaisuaikataulu pysyi aikataulussa.

Kuka käyttää Shift Left -turvallisuutta

• Kehittäjät - tarkistaakseen oman koodinsa virheiden varalta ennen vertaisarviointia.
• DevOps-insinöörit - automatisoidakseen turvallisuusportit CI/CD-putkissa.
• AppSec / DevSecOps-tiimit - konfiguroidakseen käytäntöjä ja valvoakseen yleistä turvallisuustilannetta.
• Teknologiajohtajat - varmistaakseen, että tekninen velka ja turvallisuusriskit hallitaan hidastamatta nopeutta.

Milloin soveltaa Shift Left -turvallisuutta

Shift Left -turvallisuutta tulisi soveltaa koko varhaisen SDLC aikana

• Paikallinen kehitys - pre-commit koukut ja IDE-liitännäiset.
• Koodin sitoumus - haarojen ja Pull Requestien automaattinen skannaus.
• Rakennusartifakti - konttikuvien ja käännettyjen binaarien skannaus.
• Staging - dynaaminen analyysi (DAST) käynnissä olevista sovelluksista ennen tuotantoon siirtoa

Shift Left -työkalujen keskeiset ominaisuudet

Useimmat Shift Left -turvallisuusratkaisut tarjoavat:

• SAST (Staattinen sovellusten tietoturvatestaus): Lähdekoodin analysointi.
• SCA (Ohjelmistojen koostumusanalyysi): Avoimen lähdekoodin kirjastojen tarkistaminen.
• Salaisuuksien tunnistus: Kovakoodattujen tunnistetietojen löytäminen.
• IaC-tietoturva: Infrastruktuurin konfiguraatioiden skannaaminen.
• CI/CD-integraatio: Alkuperäiset lisäosat GitHubille, GitLabille, Jenkinsille jne.
• Kehittäjäkeskeinen korjaus: Näyttää tarkalleen, missä korjaus tarvitaan (tiedosto ja rivinumero).

Esimerkki työkaluista: erikoistuneet skannerit tai yhtenäiset alustat kuten Plexicus ASPM, joka yhdistää koodin, salaisuuksien ja konttien skannauksen yhdeksi työprosessiksi.

Parhaat käytännöt Shift Left -turvallisuudelle

• Aloita pienestä: Älä keskeytä rakennusprosessia jokaisen pienen ongelman vuoksi. Aloita estämällä vain “Kriittiset” ja “Korkean” vakavuuden löydökset.
• Minimoi väärät positiiviset: Säädä skannereitasi välttämään merkityksettömistä asioista varoittamista, jotta kehittäjät eivät jätä niitä huomiotta.
• Nopeat skannaukset: Varmista, että tietoturvatarkastukset eivät lisää merkittävästi aikaa rakennusprosessiin.
• Kouluta kehittäjiä: Käytä löydöksiä oppimismahdollisuutena rangaistuksen sijaan.
• Skannaa kaikki: Kattaa omistettu koodi, avoimen lähdekoodin riippuvuudet ja infrastruktuurin konfiguraatiot.

Liittyvät termit

• DevSecOps
• SAST (Static Application Security Testing)
• SCA (Software Composition Analysis)
• CI/CD Security