Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Velkommen.
I min tidlige ungdom insisterede min far på, at jeg læste Dostojevskij. Til at begynde med handlede det om “Bobok” (fra 1873) og “Kældermennesket” (fra 1864).
Til forskel fra hovedværkerne “Krig og Fred” (~1400 sider) og “Brødrene Karamazov” (~1000 sider), så var disse korte og relativt letlæselige bøger og derfor velegnede til mit begrænsede intellekt og korte attention-span.
Men vigtigst af alt, så indeholder “Bobok” og “Kældermennesket” nogle vigtige pointer:
Fra “Bobok” citeres og parafraseres:
“Den klogeste er den, der mindst en gang om måneden kan kalde sig et fjols”.
Fra “Kældermennesket” citeres og parafraseres:
“At tale nonsens er menneskets eksklusive privilegie blandt alle organismer”.
Laver vi således en Dostojevskij-hugorm, så kan man konkludere, at hvis man mindst en gang om måneden tillader sig at være et meningsløst fjols, så skulle man blive klogere.
Det virker bare ikke, syntes konklusionen at være her.
Og da jeg ingen interesse har i at spilde læsernes tid, har Folkeligt Oplysningsforbund for Cybersikkerhed – det højeste organ for din digitale sikkerhed - derfor igen allieret sig med Balder Borup, som Subject Matter Expert på området.
AppSec
Anden lektion handler om Application Security, også kaldet AppSec.
Til forskel fra Posture Management er Application Security en mere meningsfuld beskrivelse, der leder tankerne hen på, hvad emnet rent faktisk handler om.
Over til dig, Balder.
AppSec, eller Application Security, er en essentiel komponent i moderne softwareudvikling.
Det er afgørende for at sikre, at applikationer er beskyttet mod potentielle angreb og trusler, der kan forårsage skade på systemer eller give uautoriseret adgang til følsomme oplysninger.
AppSec er en omfattende tilgang til at sikre, at applikationer er designet, udviklet, testet og implementeret med sikkerhed for øje.
Dette omfatter både at identificere og løse sårbarheder i applikationen, såvel som at uddanne udviklerne i, hvordan man kan undgå at introducere sårbarheder i sin kode.
Desværre er AppSec ofte overset eller betragtes som en eftertanke i softwareudviklingsprocessen.
Dette kan skyldes manglende opmærksomhed på sikkerhedsspørgsmål eller manglende viden om, hvordan man kan implementere sikkerhedsforanstaltninger.
Men den helt store synder er altid tid og dermed, penge.
Time-to-Market er sikkert et begreb, som mange er bekendt med.
Det betyder på jævnt dansk, at man gør udviklingen af et givet produkt, så kort som muligt, for at det kan begynde at generere penge så hurtigt som muligt.
Dette medfører ofte store “field tests”, hvor mange brugere er nødsaget til at installere opdateringer i takt med at sårbarheder og fejl opdages.
Med den stigende bekymring over cybertrusler og datalækager, er det således vigtigere end nogensinde før at prioritere AppSec i udviklingsprocessen. Dette gøres typisk gennem en kombination af teknologiske og kulturelle tiltag.
Teknologiske tiltag kan omfatte anvendelse af automatiserede værktøjer til at opdage sårbarheder i koden, implementering af sikkerhedsprotokoller og udførelse af regelmæssige sikkerhedstests og revisioner.
Kulturelle tiltag kan omfatte uddannelse af udviklerne i “AppSec Best Practice”, indførelse af sikkerhedsprocedurer og -politikker, og integration af sikkerhed som en vigtig del af udviklingsprocessen.
Shift Left
Når det kommer til AppSec, er det vigtigt at huske, at det ikke kun er en teknisk udfordring, men også en organisatorisk udfordring.
Det kræver samarbejde og kommunikation på tværs af forskellige teams og discipliner for at sikre, at sikkerhed er en prioritet i hele udviklingsprocessen.
I sidste ende er AppSec afgørende for at beskytte applikationer og de data, de håndterer, mod cybertrusler.
Ved at prioritere AppSec i softwareudviklingsprocessen kan virksomheder og organisationer beskytte sig selv og deres kunder mod potentiel skade og dermed opretholde tilliden til deres produkter og tjenester.
Mange kender måske begrebet ”Shift Left”.
Shift Left er et begreb, der i sikkerhedsøjemed, er blevet stadigt mere populært inden for softwareudvikling.
Konceptet refererer til en ændring i tilgangen til blandt andet sikkerhedstestning af software, hvor fokus flyttes fra test, der traditionelt er blevet udført mod slutningen af udviklingsprocessen, til at inkludere sikkerhedstestning allerede i de tidlige faser af udviklingen.
Traditionelt, så bliver softwaren udviklet først, og sikkerhed er noget man indbygger efterfølgende.
Med Shift Left-metoden inddrages sikkerhed allerede i de tidligere faser af udviklingen, hvor fejl og mangler kan identificeres og korrigeres tidligt i udviklingsprocessen.
Dermed mindskes omkostninger og ikke mindst gener, ved senere rettelser. Det fjerner også dele af kompleksiteten ved senere at skulle indbygge sikkerhed i en applikation, der allerede er udviklet.
Tilbage til dig, Mikkel.
Hvad er problemet?
Man kan spørge sig selv, om AppSec bare er klassisk what-aboutism, hvor man tænder et bål, for at fjerne fokus fra det egentlige problem?
For er det egentlige problem, at vi i dag skal levere meget avancerede og meget funktionelle løsninger på rekordtid og til en konkurrencedygtig pris?
Er det os som forbrugere, der forventer utrolig meget, utrolig hurtigt og til en meget lav pris?
Den lader vi hænge i luften.
Hvis du gerne vil læse noget om antallet af kodelinjers udvikling og disses implikationer, så læs klummen her:
Sværere er det såmænd ikke.
Kommentarer modtages altid med glæde på mikkel.terp@gmail.com.
Husk, at vi i Danmark ikke lever i en binær struktur, hvor du enten er imod eller med. Det er således helt fint at have et åbent sind eller en anden mening.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.