Cum sa dezvolti aplicatii software open source in siguranta

Scrierea unui software nu este o misiune imposibila – necesita pur si simplu o anumita cantitate de gandire structurata si logica si o intelegere clara a sintaxei limbajului pe care il utilizati.

In schimb, dezvoltarea de software cu o postura mai solida de securitate adauga un nivel suplimentar de complexitate acestui proces, ceva pe care nu toti dezvoltatorii il inteleg sau nu sunt capabili sa il realizeze. Open Source se poate dovedi de un imens ajutor, si in acest caz. Dezvoltatorii open source, cercetatorii de securitate si auditorii va pot vedea codul, identifica potentiale defecte si poate chiar va pot ajuta sa faceti remedieri.

Red Hat se afla intr-o pozitie unica in ceea ce priveste securitatea software si dezvoltarea open source. Multe dintre ofertele Red Hat depind de alte proiecte open source. In timp ce Red Hat este direct implicat intr-o multime de proiecte importante, exista unele proiecte care sunt complet independente. Aceasta reprezinta o provocare unica, dar este si o oportunitate de a testa daca tendinta de consum de software open source pentru intreprinderi printr-un furnizor precum Red Hat ajuta la minimizarea riscurilor si la atingerea conformitatii cu standardele guvernamentale aplicabile privind cele mai bune practici de securitate IT.

6 sfaturi practice pentru dezvoltatorii open source

Daca sunteti un dezvoltator de software open source sau un lider de proiect, exista cateva lucruri pe care le puteti face pentru a ajuta la dezvoltarea unui software care sa asigure un nivel optim de securitate.

1. Invata din cat mai multe surse

Sa stii cat mai multe despre securitate si despre cum se poate dezvolta codul in conditii de siguranta – este un bun punct de plecare. Exista mai multe resurse care sunt disponibile online, dintre care majoritatea sunt gratuite (in adevaratul spirit open source).

Iata cateva recomandari:

• Secure Software Development Fundamentals Courses from OpenSSFpoate fi un excelent punct de plecare ..
• Dialogurile Red Hat  You’ve Got Microservices… Let’s Secure Them!despre securitatea microserviciilor – includ trimiteri si catre alte ghiduri
• Proiectul Fedora defensive coding guidepentru anumite detalii de limbaj…
• Merita sa va aruncati o privire si peste CVE databasepentru a vedea care au fost problemele de securitate pana la acest moment si cum s-au produs respectivele vulnerabilitati. Sa inveti din experienta altora, atunci cand se poate, este ideal!:.

2. Obtineti opinia colegilor

Daca sunteti intr-o echipa de dezvoltatori, atunci e grozav, inseamna ca aveti deja colegi care va pot revizui codul. Daca sunteti unic dezvoltator, nicio problema! Cererea de ajutor pe forumuri publice sau liste de corespondenta ar trebui sa functioneze. Inca un rand de ochi, nu strica niciodata!

3. Folositi instrumente de securitate gratuite

Exista o multime de instrumente gratuite de analiza a securitatii disponibile pe internet. Acestea variaza de la scanere de cod sursa gratuite la instrumente de modelare a amenintarilor si chiar instrumente de analiza binara pe care le puteti folosi. Chiar si cele care ofera gratuit functionalitati de baza pot ajuta la furnizarea de informatii importante asupra proiectului dvs.

4. Creati un proces responsabil cu rezolvarea vulnerabilitatilor

Dezvoltarea securizata a software-ului nu se refera doar la detectarea precoce a defectelor, ci si la raspunsul la problemele care sunt detectate dupa ce codul a fost livrat clientilor si utilizatorilor. Exista un loc unde se pot raporta problemele de securitate – probabil o adresa de e-mail. Asigurati-va ca acest lucru este anuntat corect pe pagina proiectului. Raspundeti in timp util. Orice probleme remediate ar trebui, de asemenea, convertite in recomandari de securitate si afisate vizibil pe pagina proiectului, astfel incat clientii si utilizatorii sa stie daca versiunea lor de software este vulnerabila sau nu.

5. Comunicati cu ceilalti si ramaneti informat

Este un principiu valabil in orice domeniu. In calitate de dezvoltator, sunteti la curent cu cele mai noi tehnologii sau chiar cu cele mai avansate limbaje. In mod similar, aplicati acelasi proces pentru a fi la curent cu cele mai recente atacuri si cu cele mai noi instrumente disponibile.

6. Cunoasterea slabiciunilor

Forta unui lant este data de veriga sa cea mai slaba – asa zice un proverb. Acest lucru este valabil si pentru dezvoltarea software securizata. In calitate de dezvoltator, utilizati toate metodele posibile pentru a va face codul cat mai sigur posibil, dar exista si alti factori in joc.

Concluzie

Gandirea aplicata in dezvoltarea securizata a unui cod de programare este un proces si solicita timp pentru a instrui dezvoltatorii si recenzorii pentru a avea mentalitatea potrivita. La urma urmei, insa, un proces diligent ii ajuta atat pe consumatorii codului, cat si pe dezvoltatori. Daca sunteti dezvoltator, exista o multime de surse de ajutor disponibil si este doar o chestiune de a invata metodele si instrumentele potrivite pentru a merge pe calea cea buna.

Articol preluat de pe blogul RedHat.