Trust Score (Güven Puanı) ve Güven Aracısı (Trust Agent)

Trust Score (Güven Puanı)

Yazılım üretiminizi optimize ederken, güvenlik programınızın endüstrideki benzerlerinize göre karşılaştırabilmek, nerede durduğunuzu anlayabilmek çok değerlidir. Peki, yazılım geliştirmede güvenlik duruşunuzun neye benzediğini nasıl bileceksiniz? Yazılım ekibinizdeki eksik alanları nasıl belirleyeceksiniz?

Bu ihtiyacı karşılamak üzere, Secure Code Warrior, güvenli kodlama programınızın etkisini ölçen, sektörde bir ilk olan SCW Trust Score’u geliştirdi. SCW Trust Score (Güven Puanı), mevcut güvenlik programınız için bir temel oluşturur ve etkinliğini ölçmenize, programınızı güçlendirmenize ve ekibinizin performansını optimize etmenize olanak tanıyarak programınızı endüstrideki benzerlerinizle karşılaştırmanıza olanak tanır. SCW Güven Puanı, geliştirici beceri seviyenizi ve ilerlemenizi ölçmek için 600’den fazla şirketten ve 250.000 Öğrenciden toplanan 20 milyondan fazla öğrenme veri noktasından elde edilen içgörülerden yararlanır.

Güven puanı Algoritması, tüm bireysel öğrencileri, çok çeşitli güvenlik kategorilerine göre değerlendirerek çalışır. Bu algoritmalar özetle:

• Genişlik (Breadth), öğrencinin ilgili güvenlik standardının (örneğin, Web için OWASP Top 10) ne kadarını kapsadığına bağlı olarak değerlendirilir. Her öğrenciye, platformda tamamladıkları aktivitelere göre ilgili güvenlik standardı atanır. Örneğin, çok sayıda Java Spring API etkinliğini tamamlayan bir öğrenci, Arka Uç geliştiricisi olarak kategorize edilebilir. Bu nedenle algoritma, bilgi genişliğini değerlendirmek için API için OWASP İlk 10’da yer alan kavramları/güvenlik açıklarını kullanır.
• Derinlik (Depth), belirli bir kavram/güvenlik açığı hakkında bilgi edinmek için tamamlanan faaliyetlerin çeşitliliğine göre değerlendirilir. Örneğin, bir güvenlik açığını yalnızca bir video ile ele almak, bu kavramın üstünkörü keşfi olarak kabul edilir. Öte yandan, zorluklarımız, görevlerimiz ve kodlama laboratuvarlarımız gibi etkileşimli etkinlikler aracılığıyla bir kavramı ele almak, ilgili kavramın/güvenlik açığının derinlemesine araştırılması olarak kabul edilecektir.
• Öğrenmenin güncelliği (Recency), algoritmanın bir başka temel bileşenidir. Algoritma, bilginin akılda kalıcılığını etkileyebileceğinden, her bir öğrenme etkinliğinin ne kadar yakın zamanda tamamlandığını dikkate alır. Zamanla, öğrenciler platformumuzda güvenli kodlama becerilerini düzenli olarak yenilemezler ve sürdürmezlerse bilgi azalması yaşayabilirler. Bu bilgi azalması aynı zamanda bir öğrencinin beceri seviyesini de etkiler.
• Algoritma tarafından dikkate alınan diğer sinyaller, ipucu kullanımı ve bir etkinliği tamamlamak için gereken deneme sayısı gibi şeylerdir. Bunlar, bir öğrencinin beceri seviyesini hesaplarken algoritma tarafından anlama göstergeleri olarak kullanılır.

Daha sonra bu sonuçları, bireysel sektörlere ve küresel bakış açılarına göre uyarlanmış karşılaştırmalarla kurumsal SCW Güven Puanınızı belirlemek için toplanır. Rapor, özelleştirilebilir detaylar ve filtreleme seçenekleriyle şirketinizin güvenlik duruşuna ilişkin içgörüler sağlar. Bu değerli içgörülerden yararlanarak kuruluşunuzu, mevzuata uygunluğunu sağlayabilir, en iyi yetenekleri elde tutabilir ve yazılım geliştirme yaşam döngüsünü optimize edebilirsiniz.

Güven Aracısı (Trust Agent)

Tasarım ilkelerine göre güvenli bir şekilde güvenlik duruşunuzu sağlamak, geliştiricilerinizin en yüksek düzeyde güvenlik uzmanlığı ile donanmış olmasını gerektirir. Ancak geliştiricilerinizin günlük işlerinde kullandıkları belirli dillerde güvenliği sağlayacak bilgi ve becerilere sahip olup olmadığını nasıl anlarsınız?

Secure Code Warrior tarafından sunulan SCW Trust Agent, geliştiricilerinizin güvenlikle ilgili yetkinliklerinin işlenen kodla ne kadar iyi uyumlu olduğuna dair kapsamlı bir görünüm sağlayarak bu soruyu yanıtlar. SCW Güven Puanı’nın eğitim programınızı değerlendirerek güvenlik duruşunuzu değerlendirmeleri sağlaması gibi, SCW Güven Aracısı da programın ne kadar etkili bir şekilde uygulandığına dair doğrudan içgörüler sağlar.

SCW Güven Aracısı işlevselliğinin temel bir parçası, GitHub, GitLab ve Bitbucket gibi Git tabanlı kaynak kodu yönetimi (SCM) araçlarıyla tümleştirmedir. Güven Aracısı, uygulama güvenliği eğitimi ile geliştirici kod işlemeleri arasındaki boşluğu doldurarak bir kuruluşun uygulama güvenliği duruşuna ilişkin gelişmiş görünürlük sağlar.

Güvenli kod öğrenme platformunuz aracılığıyla. SCW Güven aracısı, geliştiricilerinizin biriktirdiği Bilgi ve Becerilerin yanı sıra işledikleri koda da bakar. Kimin taahhütte (commit) bulunduğunu, hangi dilde işlem yaptığını ve bireysel geliştiricilerin güvenlikle ilgili bilgi ve beceri düzeyini denetler.

SCW Güven Aracısı, güvenli kod öğrenme programınızı optimize ederken ilke bağlılığını ve risk azaltmayı daha iyi analiz etmek ve uygulamak için ayrıntılı içgörüler ve denetimler sağlayarak, tüm kod tabanınıza özgü projeleriniz, ekipleriniz ve bireysel geliştiricileriniz için geniş bir görünüm sağlar

Bu benzeri görülmemiş görünürlük ve kontrol, içgörülere dayalı olarak riski azaltmak, geliştirme yaşam döngüsünü optimize etmek, güvenlik açıklarının ortaya çıkma olasılığını ve düzeltme ihtiyacını azaltmak ve geliştirici odaklı güvenliği ölçeklendirmek için ilkeler oluşturup uygulayarak kuruluşunuzun güvenlik duruşunu güçlendirmesini sağlar ve uzun güvenlik odaklı inceleme döngülerine olan ihtiyacı azaltır

Kaynaklar:

• Video: SCW Trust Score — an industry-first benchmark that quantifies the impact of secure coding programs
• Video: SCW Trust Agent by Secure Code Warrior– Visibility and control to scale developer-driven security
• SCW knowledge base: Trust Score – Secure Code Warrior
• SCW knowledge base: Trust Agent – Secure Code Warrior