Uygulama Güvenliği
Genellikle başarıyla gerçekleştirilmiş saldırıların çoğu, uygulamanın oluşturulma sürecinde tohumlanmış oluyor. Uygulamanın mimarisinin güvenlik süreçlerine ve gereksinimlere uygun çizilmesi, kaynak kodunun her adımda incelenerek ve olabilecek saldırılara uygun yazılması, her adımda versiyonlanması, versiyonlanırken tehdit analizi yapılması, tehdit algılandığında sürecin dondurularak henüz açık oluşmadan çözülmesi gibi problemi “Shift+Left”te yani problem oluşmadan yazılımcıda çözmek ve hatta WAF (Web Application Firewall) ile Virtual Patching yapmak bu konuda yapılabilecek pro-aktif çözümlerden sadece bazılarıdır.
Static Application Security Testing (SAST)
SAST çözümleri kaynak kodunuzu derlenmeden önce analiz ederek sürecin açıklar ile ilerlemesini engeller, böylece problemler “Shift+Left”te tespit edilir. Bu test süreci “White Box Testing” olarak da adlandırılır.
Interactive Application Security Testing (IAST)
Genellikle QA/Test süreçlerinde kullanılan IAST ürünleri, uygulamanın içinde çalışır ve uygulamayı çalışırken gerçek zamanlı olarak analiz ederek CI/CD süreçlerinizi etkilemeden koddaki açıklarınızı tam yerlerini belirterek size sunar. Uygulamayla herhangi bir etkileşimi (insan veya non-human farketmeksizin) analiz edebiliyorken, en iyi şekilde QA otomatik test sürecinde çalışır.
Dynamic Application Security Testing (DAST)
“Black Box Testing” olarak da adlandırılan bu süreç, uygulamanıza dışarıdan bakarak saldırganların yapabileceği gibi bir açık bulmayı amaçlar. DAST süreçleri kaynak koduna ihtiyaç duymaması ve hızlı bir şekilde açık bulmayı sağlamasıyla avantajlı olsa da bu açıkların tam noktasını tespit edemez ve test süreci zaman harcayıcı olabilir.
Infrastracture as Code (IaC)
IaC yaklaşımı deployment süreçlerini koda bağlı şekilde yapma imkânı sunar. Böylece deployment sürecinizi kod olarak kontrol etmenizi, versiyonlamanızı, ekip olarak daha rahat çalışmanızı sağlar. Yararları olarak maliyetlerin düşürülmesini, deployment hızlarının arttırılmasını, hataların minimize edilerek istikrarlı sonuçlar alınmasını sayılabilir. Ek olarak containerization ve bulut dünyasının vazgeçilmez bir parçasıdır.
Image Signing
Container dünyasının yapıtaşları olan image’lar, değiştirilemez objeler olsa da bu imajların kaynağının bulunması veya sahibinin kanıtlanması güvenlik için soru işaretleri oluşturabilir. Image Signing çözümleri image içine size ait bir dijital parmak izi bırakarak bu soru işaretini ortadan kaldırmayı hedefler.