您的位置: 首頁 >互聯網 >

如何幫助開發(fā)人員編寫安全代碼

2020-04-21 16:54:21 編輯: 來源:
導讀 這個世界上有很多人有時不喜歡對方:葉和卡納迪恩的粉絲,哈特菲爾德和麥克柯伊斯,安全團隊和開發(fā)人員。 “我在很多商店都見過這種情況,”加拿大微軟公司(Micros of t Canada)駐渥太華的高級云開發(fā)人員坦尼婭? 她在本周在多倫多舉行的SECTOR會議上對Infosec專業(yè)人士說,這不一定是這樣。 她認為,最大的原因之一是,安全團隊成員可能對提交的代碼不夠安全的開發(fā)人員不友好 粗魯 切割

這個世界上有很多人有時不喜歡對方:葉和卡納迪恩的粉絲,哈特菲爾德和麥克柯伊斯,安全團隊和開發(fā)人員。

“我在很多商店都見過這種情況,”加拿大微軟公司(Micros of t Canada)駐渥太華的高級云開發(fā)人員坦尼婭?

她在本周在多倫多舉行的SECTOR會議上對Infosec專業(yè)人士說,這不一定是這樣。

她認為,最大的原因之一是,安全團隊成員可能對提交的代碼不夠安全的開發(fā)人員不友好/粗魯/切割。

Janca認為,解決公司創(chuàng)建不安全代碼的根本問題將通過兩種方式來解決:如果開發(fā)團隊和SEC團隊都得到流程、培訓和資源的支持,這樣他們就可以自信地完成工作;以及改變公司的文化。

網絡安全行業(yè)正在浪費機會,使計算更安全的時代,越來越多的...

隨著基于互聯網的平臺的更新,越來越多的組織每年都在向云端移動來托管和交付應用程序。

現在,Janca是一個紫色團隊的成員,是開放網絡應用程序安全項目(OWSAP)渥太華分會的負責人,也是渥太華網絡女士的聯合創(chuàng)始人,她自稱是應用程序安全傳道者。

但在她職業(yè)生涯的早期,她是一個軟件開發(fā)人員,她知道從安全團隊中感受到蔑視是什么感覺。 當一名安全小組成員第一次對她的代碼進行自動漏洞評估時,他在這里提交了一份“可能是用另一種語言寫的”的清單,并被告知,“你的應用程序是垃圾的,修復這些東西?!背吮桓嬷澳銘撝馈焙汀叭绻闶且粋€好的開發(fā)人員,在第一個地方就不應該有什么要修復的。

“我學會了不惜一切代價避開安全小組,”她回憶道。 (最后她意識到那家伙也不知道怎么看報告。

但這讓她想起了為什么人們不相處。 她發(fā)現,學術研究表明,大多數不良行為來自于一個感到不安全的人,然后以實物作出反應。 因此,開發(fā)人員忽略規(guī)則并滾動自己的密碼,或者沒有時間進行安全測試,安全團隊通過向NIST網站發(fā)送鏈接來回答問題。

“這不是我們最終使用不安全軟件的唯一原因,但這也是我認為的主要原因之一。

解決這個問題意味著改變兩個群體的文化。 她提出了五種方法:

1-不再指責;死后無可指責;

盡一切可能幫助挽回面子;

3-如果可能的話,安全小組和開發(fā)人員可以合用。 如果他們在不同的樓層/在建筑物的兩端/在不同的建筑物中,這是沒有幫助的;

4-不再舉行信息技術會議,主旨發(fā)言人抱怨安全狀況,說:“我們完蛋了?!蔽覀冎烙袉栴},提供解決辦法;

做一個真正的領導者。 不要對人說負面的話,他們會被重復的。 相反,說“那不酷”,或者問是什么讓這個錯誤發(fā)生。 也許員工需要額外的培訓。

根據一個新的結果,表現最好的組織將已經實現其大部分業(yè)務的自動化。

一項新的調查表明,安全,而不是速度,正在成為2017年DevOps團隊的首要問題。

關于更深入的改革,她提出了以下建議:

改進程序

首先,創(chuàng)建應用程序安全團隊/人員。 他們知道如何在代碼中找到安全問題。

“如果你沒有一個專門從事安全的人——即使他們是開發(fā)團隊成員——這就是你沒有安全軟件的首要原因。

更早地啟動安全——就像項目開始時一樣,它將貫穿整個開發(fā)生命周期;

將安全活動分解成更小的部分,特別是如果您正在進行敏捷開發(fā)和快速工作。 因此,例如,做一個沖刺,只針對跨站點腳本問題。 下次沖刺尋找注射問題等.. “隨著開發(fā)人員改變他們做軟件的方式,我們需要進行調整。


培訓開發(fā)人員編寫安全代碼,包括理解威脅建模;

告訴開發(fā)人員,向安全團隊征求意見并不可恥;

-管理人員應為每個處理代碼的人提供安全培訓;

鼓勵開發(fā)人員加入開發(fā)人員教育團體,包括OWASP。 確保他們熟悉OWSAP前10個漏洞;

提供午餐和學習;

開發(fā)人員參加了Infosec團隊的安全事件。 “事故反應就像裂縫,”她堅持說。


首先,為開發(fā)人員必須遵循的代碼創(chuàng)建一個可以理解的安全標準。 (例如,每個網站都必須使用https,對所有軟件進行漏洞掃描,然后才能啟用);

提供開發(fā)人員安全掃描工具。 有些是免費的,另一些則不花很多錢;

在一個名為DevSlops的項目中,每個星期天下午1點,東部Janca和一個小組的直播流,在混合器、Twitch和YouTube上播放帶有提示的廣播。

她結束了她的演講,讓infosec專業(yè)人士的聽眾舉起他們的右手發(fā)誓:“我保證讓開發(fā)人員能夠一起創(chuàng)建安全的軟件?!?/p>

總比罵別人好。


免責聲明:本文由用戶上傳,如有侵權請聯系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。