امنیت همزیستی به توسعه‌دهندگان در پیدا کردن باگ‌ها هنگام کدنویسی کمک می‌کند

امنیت همزیستی، که امروز اعلام یک دایره‌ی سرمایه‌گذاری ۳ میلیون دلاری کرده است، در حین کدنویسی به توسعه‌دهندگان کمک می‌کند تا مشکلات امنیتی احتمالی را به صورت زنده شناسایی کنند. شرکت‌های دیگری هم این کار را انجام می‌دهند، اما امنیت همزیستی بر قدم بعدی نیز تأکید دارد: آموزش توسعه‌دهندگان برای جلوگیری از ایجاد این باگ‌ها در ابتدا.

به صورت ایده‌آل، این بدین معناست که توسعه‌دهندگان مشکلات امنیتی را قبل از ورود به مخازن کد رفع می‌کنند، که باید به نوبه‌ی خود باعث افزایش سرعت فرآیند توسعه شود. و از آنجایی که توسعه‌دهندگان در محیط خودشان و در حین کار آموزش می‌بینند، احتمال بیشتری وجود دارد که تغییرات لازم را به درستی اعمال کنند، و این نسبت به جلسات سالانه آموزش امنیتی در SuccessFactors مؤثرتر است.

این شرکت که اوایل امسال راه‌اندازی شد، حدود یک ماه پیش نسخه‌ی MVP خود را منتشر کرد، با تمرکز بر زبان‌های زیرساخت به‌عنوان کد مانند Terraform. همان‌طور که ژروم رابرت، بنیانگذار و مدیر عامل امنیت همزیستی به من گفت، شرکت این کار را برای خروج MVP از درب و اثبات چشم‌انداز خود انجام داد. تیم در طول زمان قصد دارد به بقیه‌ی پشته‌ی برنامه کاربردی گسترش یابد و از زبان‌هایی مانند پایتون و جاوا اسکریپت پشتیبانی کند.

رابرت اشاره کرد که حتی دوستانه‌ترین ابزارهای امنیتی برای توسعه‌دهندگان، در هسته‌ی خود، ابزارهایی برای تیم‌های امنیتی هستند. "آن‌ها به تیم‌های امنیتی کمک می‌کنند تا پلیس‌های بهتری باشند. آن‌ها ابزارهایی نیستند که توسعه‌دهندگان را به قهرمان تبدیل کنند،" او گفت. "آن‌ها ابزارهایی هستند که به تیم‌های امنیتی اجازه می‌دهد صدها پیام را در طول هفته ارسال کنند، بگویندا: 'شما اشتباه کرده‌اید. باید آن را درست کنید.'"

در همین حال، توسعه‌دهنده دائماً باید بین رفع مسائل امنیتی و توسعه ویژگی‌های جدید یکی را انتخاب کند.

ایده‌ی پشت امنیت همزیستی این است که توسعه‌دهندگان را در مسیر درست هدایت کند، مشابه ابزارهای تکمیل خودکار کدی که با آن‌ها آشنا هستند. امنیت همزیستی، ایده‌آل، می‌تواند به توسعه‌دهندگان در رفع باگ‌ها در دوره داخلی کمک کند، زمانی که هنوز کدنویسی می‌کنند، و مدت‌ها قبل از اینکه بسترهای ادغام و تحویل پیوسته شروع به اسکن کدها برای مشکلات کنند. هنگامی که این اتفاق بیفتد، فرآیند بلافاصله کند می‌شود، با بلیط‌های جيرا و فرآیندهای بازرسی کد اضافی که برعهده دارند.

اینجا است که امنیت همزیستی یک قدم جلوتر می‌رود. "کافی نخواهد بود فقط به آن‌ها اجازه دهیم [مشکلات را] رفع کنند و آن را تشخیص دهند،" رابرت توضیح داد. "ما همچنین باید آن‌ها را در امنیت آموزش دهیم — و توسعه‌دهندگان عاشق آموزش هستند؛ این چیزی تضمین‌شده و قطعی است. با این حال، آموزش‌های امنیتی دردناک هستند."

برای توسعه‌دهندگان، رابرت استدلال می‌کند که انجام آموزش در همان زمان چیز است که آن‌ها می‌توانند به آن مربوط شوند. آن‌ها متمرکز بر نیازهای فوری آن‌ها هستند و انتزاعی نیستند — و در عرض چند دقیقه کوتاه است.

در حال حاضر، آن درس‌ها و ویدئوهای آموزشی از پیش ضبط شده‌اند، اما در طول زمان، آن‌ها می‌توانند بیشتر برپایه هوش مصنوعی شوند، که به امنیت همزیستی اجازه می‌دهد آن‌ها را حتی به مشکلات خاصی که توسعه‌دهنده روی آن کار می‌کند، مرتبط‌تر کند.

اینکه بتوانیم یک مدل برای رفع خودکار مشکلات امنیتی را آموزش دهیم، نیازمند یک مجموعه کد با باگ‌های امنیتی و نسخه‌های رفع‌شده آن کدهاست. از آنجایی که امنیت همزیستی مشکل را می‌بیند و سپس به توسعه‌دهنده می‌گوید چگونه آن را رفع کند، می‌تواند به طور ایده‌آل یک مجموعه داده با کیفیت بالا برای ساختن مدل اصلاحاتی ایجاد کند. اما در حال حاضر، این یک پروژه بلند مدت است.

امنیت همزیستی توسط برندهایی همچون Lerer Hippeau , Axeleo Capital , و Factorial Capital پشتیبانی می‌شود. "ژروم و هم بنیانگذار ادوارد ویوت درک عمیقی از مشکلات اساسی در امنیت کد سنتی دارند و با رویکرد خود برای پاسخگویی به تقاضای فزاینده برای راه‌حل‌های امنیتی شیفت-چپ بی‌نظیر بوده‌اند،" گفت گراهام براون، مدیر شریک، Lerer Hippeau. "امنیت همزیستی پتانسیل تغییر این صنعت را دارد و به توسعه‌دهندگان و تیم‌های امنیتی قدرت می‌بخشد."