:

Szerző: Gálffy Csaba

2012. november 29. 14:10

Az alkalmazásbiztonságra hívja fel a figyelmet a hazai OWASP

Se a beszállítók, se a megrendelők nem helyeznek jelenleg megfelelő hangsúlyt a biztonságos alkalmazásfejlesztésre. Ezen változtatna a hazai OWASP-tagozat, a piac edukációjával és a szakemberek képzésével, összefogásával.

Megalakult az OWASP (Open Web Application Security Project) hazai tagozata, köszönhetően néhány merész önkéntesnek. A magyar tagozat alapítói az alkalmazások biztonságossá tételére, biztonságos fejlesztésére hívnák fel a fejlesztők és a megrendelők figyelmét egyaránt. A felmérések szerint jelenleg a biztonsági költségvetések elsöprő arányát költik a cégek határvédelemre, miközben a támadásoknak már 80 százaléka az alkalmazásokat, a szoftverekben hagyott réseket célozza és nem a hagyományos hálózati infrastruktúrán keresztül érkezik.

Biztonságos fejlesztés - jó befektetés

Nemzetközi szinten már a biztonsági büdzsék 20 százalékát fordítják a cégek alkalmazásbiztonságra, elsősorban etikus hackingre, de egyre nagyobb részt kap a preventív, a fejlesztési folyamatok, eszközök, képzés oldalán történő befektetés is. Az alkalmazásbiztonság Magyarországon ma nem éri el a biztonsági költségvetések 5 százalékát sem, amivel messze elmarad az ideálistól, de a fejlettebb országoktól is. Ezen változtatna a hazai OWASP-kezdeményezés, amely két fő célt tűzött ki maga elé.

A hazai tagozat rövid távon a piac edukációjára, a figyelem felhívására helyezné a hangsúlyt. Ennek keretében egyik első lépésként IT-döntéshozók megkérdezésével szeretnének hazai adatokon alapuló felmérést végezni, amely azt vizsgálná, hogy milyen költségvonzatai lehetnek az alkalmazásbiztonság elhanyagolásának és mennyibe kerül ezzel szemben a kezdetektől biztonságos fejlesztés, így fontos, helyi relevanciájú érvhez jutna a mozgalom. A második cél létrehozni egy hazai tudásközpontot, ahol az érdeklődők és tagok elsajátíthatják a biztonságos programozáshoz szükséges ismereteket, kicserélhetik egymással tapasztalataikat, kidolgozhaznak "best practice"-eket. Ennek megfelelően magyar OWASP rendszeres képzéseket, konferenciákat szervez majd a témában és fontos szakmai fórummá nőné ki magát.

A biztonságnak ára van

Az OWASP által hirdetett biztonságos alkalmazásfejlesztés minőségibb, így drágább szoftvereket is jelent. A beszállítók számára az új fejlesztési folyamatok implementálása, az alkalmazottak képzése, esetenként új fejlesztői eszközök beszerzése jelentős költségeket okozhat, a biztonságos fejlesztés által megkövetelt további tesztelés miatt pedig az ilyen szoftverek költségei hosszabb távon is magasabbak maradnak. A különbséget a hazai OWASP-alapítók mintegy 10-15 százalékra teszik, ahogy azonban sok más minőségi különbség, a biztonságosabb szoftver megkövetelése (és megfizetése) is hasznos befektetés, hosszú távon pedig megtérülés lehet a megrendelő oldalán.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A cél tehát elsősorban a megrendelők figyelmének felhívása erre a tényezőre, ettől az alapítók azt remélik, hogy lassan kialakul a hazai piacon is a kereslet a biztonságosabb szoftverek iránt. Ha a kereslet megvan, a kínálat is gyorsan hozzáalakul, ez pedig a biztonsági szakemberek elemi érdeke - többek között az OWASP hazai tagozatának berúgását magukra vállaló Cloudbreaker biztonságtechnikai startup tagjaié is.

Megérett a magyar piac

A cloudbreakeres srácok nem az elsők, akik hazai OWASP-tagozatot szerettek volna alapítani, a nemzetközi szervezettel való kapcsolatfelvétel után derült ki, hogy az elmúlt években több hullámban már mások is próbálkoztak ezzel, sikertelenül. A kudarc oka az lehetett, hogy a hazai IT-biztonság egyszerűen nem volt elég érett az újabb nézőpont befogadására, a fórum körül nem alakult ki megfelelő nagyságú közösség. Az idei próbálkozás azonban már jól indult, a tegnapi első, még inkább informális találkozón a hazai biztonsági szakma jelentős része képviseltette magát, a nagyobb konferenciák szervezőitől a kisebb-nagyobb biztonsági cégekig.

A kezdeményezés egyelőre a közösség kialakításán fáradozik, emiatt egyelőre a magyar OWASP-nak bejegyzett jogi személyisége sincs, ahogy formális csatlakozásra, tagságra sincs lehetőség. A nagy érdeklődés és a pozitív visszajelzések nyomán azonban heteken-hónapokon beindulhat a közösségi munka és kialakulhat egy sikeres specializált IT-fórum Magyarországon.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról