افزایش پذیرش زیرساخت ابری توسط شرکتهای گوناگون در چند سال اخیر باعث شده که تیمهای توسعهدهندهی ابری بیشتری مدل security-as-code را به عنوان راهی برای ایجاد نرمافزار امن در چرخهی تولید محصولات خود و بازاریابی آن ایجاد کنند. به عنوان مثال گوگل در سال گذشته این مدل را به عنوان مولفهی اساسی در پیشنهادات تجاری سرویسهای ابری خود مطرح کرد.
با افزایش پذیرش Security-as-code شرکتها میتوانند فرآینده توسعه و پیادهسازی نرمافزار خود را با لحاظ کردن قابلیتهای امنیتی همراه کنند و به تناسب نیزهای خود، تغییرات و استقرار مجدد محصول را انجام دهند. Phil Venables کارمند ارشد امنیت اطلاعات (CISO) گوگل کلاد نتیجه پذیرش این مدل را بررسی پیکربندی امنیتی محصولات و کنترل دائمی آنها بیان کرد. او افزود:
“نکته مهم در مورد security-as-code این است که پیکربندی و تنظیماتی که پیادهسازی کردهاید دقیقا مطابق تحلیلها و نیازمندیهای امنیتی تان بوده است. بسیاری از نفوذهای امنیتی که اتفاق میافتد نتیجه یک تهدید ناشناس نیست، بلکه نتیجه اعمال نکردن کنترلهای لازم، در زمانی که بیشترین نیاز به آن وجود داشته است.”
Security-as-code در واقع زیرمجموعهای از infrastructure-as-code قرار میگیرد و با محبوبیت بیشتر شبکههای ابری مبتنی بر نرمافزار گسترش پیدا کرده است. تیمهای توسعهدهنده مدل infrastructure-as-code را به عنوان استانداری برای ساخت و پیادهسازی نرمافزار، دیتا container و ماشین مجازی (VM) پذیرفتهاند، اما کمپانیهای فعال در خدمات ابری فکر میکنند که با گسترده شدن بیشتر خدمات Cloud، نیازهای امنیتی برای security-as-code بیشتر میشود.
در سال 2021 شرکت مشاوره دهندهی McKinsey با توجه به سرعت بالای کسب و کارها و جهان امروز، مدل security-as-code را تقریبا به عنوان تنها راهحل برای ایمن کردن زیر ساخت و اپلیکیشنهای کلاد نامید. در همین راستا گوگل قصد دارد تا از این مفهوم در کل زیرساخت ابری خود بیشتر استفاده کند. در آبان ماه پارسال تیم سایبری Google یک راهکار جدید با عنوان ریسک و تطبیقپذیری به عنوان کد (RCaC) را ارائه کرد که اساسا به دنبال تطبیقپذیری و اتوماسیون امنیتی در رنج گستردهای از محصولات این کمپانی است.
رویکرد زیرساخت به عنوان کد به توسعهدهندگان و متخصصان اجرای نرمافزار این امکان را میدهد تا قبل از پیادهسازی محصول نهایی در سرور ابری، پیکربندی آن را تجزیه و تحلیل کنند. هدف Security-as-code نیز انجام همین کار است و بسیاری نام دیگر این رویکرد را DevSecOps، به معنای فرآیند توسعهی امنیتی نرمافزار نامگذاری کردهاند.
مدل امنیت به عنوان کد از پیکربندی و تایید صلاحیتهای فراوانی استفاده میکند و برخی از آنها شامل معیارهایی برای اسکن آسیبپذیری در نرمافزار، مشخص کردن الزامات رمزنگاری، کنترل دسترسیها و تخمین چگونگی آزمایش امنیت نرمافزار میشود.
توسط 
توسط 
توسط 
دیدگاهتان را بنویسید