Интервью В интервью с основателем и президентом Snyk Гаем Поджарным о проблемах разработки безопасных приложений он сказал нам: «Любое решение, которое предполагает, что разработчики станут экспертами по безопасности, обречено на провал».

Снык начался в июле 2015 года. Почему именно такое название? “Первоначальная идея, которая у меня была, заключалась в том, чтобы скрыть информацию в хранилище, которое затем дало бы вам представление об этом, и я сказал, что я буду писать это с помощью ay, как это делают крутые ребята … и я обнаружил, когда я погуглил, что это коротко «Итак, теперь вы знаете», – сказал он нам.

Позиция Поджарного в отношении разработчиков и безопасного кода не вызывает особого удивления: его компания предоставляет инструменты безопасности для программистов. «Ядро Snyk – это концепция безопасности« сначала разработчик ». Это наш тезис, это причина нашего существования», – сказал Поджарный. Snyk ведет базу данных уязвимостей, в которой регистрируются проблемы безопасности, обнаруженные в библиотеках программного обеспечения с открытым исходным кодом.

«Первой проблемой, которую мы решили, была безопасность с открытым исходным кодом, а в безопасности с открытым исходным кодом существует пробел в отношении существующих уязвимостей. Система CVE предназначена для устройств и крупных предприятий, чтобы информировать пользователей о недостатках, но сообщество разработчиков открытого исходного кода не есть все необходимое, чтобы с этим справиться “, – сказал Поджарный. Когда в проекте с открытым исходным кодом обнаруживаются уязвимости, они исправляются, отмечаются в примечаниях к выпуску, а затем «исчезают в эфире GitHub», – сказал он нам.

«Мы прислушиваемся к огромному потоку информации в социальных сетях, исследованиях, деятельности с открытым исходным кодом и передаем ее нашим аналитикам, которые затем анализируют уязвимости и добавляют в них необходимую информацию … наша работа – это одновременно и обнаружение того, что есть снаружи. и опыт безопасности, чтобы помочь разработчикам, которые в целом не являются экспертами по безопасности ».

«Этот вид услуг необходим», – продолжил Поджарный. «Сообщество с открытым исходным кодом не лучшим образом занимается курированием и постоянным обслуживанием активов данных. Даже в операционных системах вы видите, что Canonical и Red Hat курируют исправления и исправления для операционных систем. Мы делаем то же самое для зависимостей приложений».

По словам Поджарного, Snyk использует метод курирования, а не краудсорсинг. «Мы считаем, что потребители хотят получить наше экспертное мнение о том, что является уязвимым, а что нет, в сотрудничестве с сопровождающим».

По словам Поджарного, над базой данных работают около 40 человек, но это сочетание ручной обработки и автоматизации. «Некоторые вырабатывают правила относительно того, что нужно проверять, некоторые создают технологии, которые сделают этих аналитиков более эффективными», – сказал он. «Мы используем наше собственное программное обеспечение для обнаружения уязвимостей в Snyk Code, чтобы информировать нас».

Кодекс Snyk

Snyk Code – новейшая основная услуга компании, возникшая в результате приобретения DeepCode в октябре прошлого года. DeepCode специализируется на «семантическом анализе кода на основе ИИ».

Служба имеет ряд функций, включая сканирование кода на наличие уязвимостей при сохранении файла, мониторинг репозитория Git или как часть процесса CI / CD.

Одна из проблем для разработчиков – выбрать, какие уязвимости имеют значение в их конкретном приложении, когда объем доступных данных о возможных уязвимостях может быть огромным. Так что Snyk Code разработан, чтобы помочь исправить это.

«Безопасность – это управление рисками», – сказал Поджарный. «Он должен начинаться с осознания наличия риска. Легко просто не рассказывать вам об уязвимостях, но это не лучший способ обезопасить вас. Как только оно дано, решение исходит из комбинации аналитики безопасности и аналитики приложений. , и опыт разработчика “.

Он сказал нам, что контекстуализация является ключевым моментом. «Мы смотрим, вызывает ли ваш код эту уязвимость? Сейчас мы создаем возможности, позволяющие оценить, настроены ли вы таким образом, чтобы ваш код был уязвимым. Мы работаем над внедрением анализа инфраструктуры из наших контейнеров и инфраструктуры в виде кода. “Мы уже изучаем конфигурации Kubernetes, чтобы узнать, есть ли уязвимость в общедоступной системе”, – сказал он.

Также уделяется внимание упрощению исправлений, иногда даже генерация запросов на вытягивание с исправлениями в них.

«Большинство разработчиков согласны с тем, что безопасность – это часть качества кода. Проблема в том, что безопасность по своей природе невидима, у нее нет цикла обратной связи. Это не повредит, пока не станет очень плохо. Отчасти ценность решения безопасности заключается в том, что чтобы поднять эту заметность, но при этом не стать очередной рутиной, к которой вы научитесь терять чувствительность », – сказал Поджарный.

Вы можете быть в безопасности до банкротства

Поэтому следует ли разработчикам настраивать свои CI / CD с помощью Snyk Code или чего-то подобного, чтобы код с обнаруженными уязвимостями не мог быть развернут? «Разным системам требуются разные уровни безопасности. Для некоторых систем, таких как операционная система, на которой работает большая часть мира, планка очень высока. Для большинства приложений это не планка», – сказал он.

«Технически очень реально запретить любой выявленный недостаток, будь то высокий или низкий уровень серьезности. На практике это неправильное решение для большинства предприятий. Вы можете быть в безопасности на всем пути к банкротству. Вам также необходимо быть конкурентоспособным. Уловка, чтобы не игнорировать эти рискует, а лучше принять разумное решение о том, когда риск заслуживает внимания, а когда можно просто продвигаться вперед.

«Работа Snyk – упростить безопасную разработку и при этом оставаться быстрой». Он объяснил, что это должно работать как проверка орфографии в среде IDE, а не мешать.

Чем отличается Snyk Code от других подходов? «Исторически инструменты статического анализа пытались понять каждый путь, который могла бы пройти программа, – сказал Поджарный.

«Snyk Code в большей степени ориентирован на данные и применяет машинное обучение, поэтому он анализирует каждый файл, сохраняет свои знания и становится умнее по мере обработки этих данных. Это делает его значительно быстрее, чем в предыдущем поколении, что делает его действительно пригодным для использования, ” добавил он.

«В то время как прошлые поколения были сосредоточены на правилах и понимании, Snyk Code извлекает выгоду из всего кода, который он может видеть, включая всю историю всего кода на GitHub, чтобы понять, как выполняется код и как он фиксируется. Это машинное обучение масштабируется статично анализ темпов разработки современного программного обеспечения ».

«На сегодняшний день SAST (Static Analysis Security Testing) действительно является примером того, насколько ужасными могут быть инструменты безопасности для разработчиков, насколько у них плохое соотношение сигнал / шум. Snyk Code меняет это», – заявил он. Он также подчеркнул, что инструмент работает с исходным кодом, а не должен быть частью процесса сборки, потому что «так работают разработчики».

Что могут сделать программисты, чтобы укрепить свой код?

Помимо инструментов, что могут сделать разработчики для повышения безопасности своей работы? «Вам нужно позаботиться об этом, – сказал Поджарный, – и включить его в свои регулярные разговоры. Какие бы метрики безопасности вы ни выбрали, обсуждайте их в своих ежедневных стендах, сделайте их частью ваших основных KPI. Все начинается с людей и со вниманием. данный.

«С практической точки зрения, вам нужно начать понимать, какой минимальный набор данных и разрешений вам нужно получить, по сравнению с максимальным».

В архитектуре микросервисов «единственный способ создать безопасную систему – это свести к минимуму то, что может сделать каждая из этих частей. Естественная тенденция разработчиков – получить максимум. звездочку и конец “.

По словам Поджарного, важным фактором является также высокая скорость кода. «Уже есть много данных … они показывают, что скорость, если ее правильно применять, на самом деле повышает безопасность. Единственное предостережение – вам нужна скорость плюс видимость … Я лично выступаю за непрерывные конвейеры, которые повышают осведомленность, но относительно легки в использовании. фактически ломает сборку “.

Прав ли Google, говоря, что существует глобальная проблема, вызванная нехваткой специалистов по безопасности как для Linux, так и для других?

В мире наблюдается абсолютная нехватка специалистов в области безопасности, и примерно 50 процентов рабочих мест в сфере безопасности остаются незаполненными.

«В мире наблюдается абсолютная нехватка специалистов в области безопасности, и примерно 50 процентов рабочих мест в сфере безопасности остаются незаполненными», – сказал Поджарный. «Безопасность – это глубокий опыт, который нелегко приобрести. И любое решение, которое предполагает, что разработчики станут экспертами по безопасности, обречено на провал.

«Разработчики должны делать все, они всего лишь люди. Я считаю, что проблема реальна, и решение состоит в том, чтобы иметь планы безопасности, которые включают больше рычагов, таких как инструменты, такие как более безопасные платформы, которые устраняют определенные проблемы безопасности. Например, мобильная безопасность world разработал платформы и операционные системы, которые по своей сути более безопасны, чем настольные операционные системы. Облако дает возможность таким же образом переосмыслить безопасность “.

Мы быстро взглянули на Snyk Code через расширение Visual Studio Code. Обратите внимание, что он загружает код в Snyk, что вызывает беспокойство; этот документ [PDF] делает все возможное, чтобы успокоить разработчиков. Однако мы обнаружили, что производительность хорошая, а количество обнаруженных проблем не является огромным и хорошо объясненным.

«Эта уязвимость была исправлена ​​в 1398 проектах. Вот три примера исправлений», – говорится в «предложении Сника». Первое впечатление – это действительно удобство для разработчиков. Это лекарство от уязвимого кода? Это маловероятно, но тем не менее может улучшить ситуацию. ®