2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。
這個世界上有很多人有時不喜歡對方:葉和卡納迪恩的粉絲,哈特菲爾德和麥克柯伊斯,安全團隊和開發(fā)人員。
“我在很多商店都見過這種情況,”加拿大微軟公司(Micros of t Canada)駐渥太華的高級云開發(fā)人員坦尼婭?
她在本周在多倫多舉行的SECTOR會議上對Infosec專業(yè)人士說,這不一定是這樣。
她認為,最大的原因之一是,安全團隊成員可能對提交的代碼不夠安全的開發(fā)人員不友好/粗魯/切割。
Janca認為,解決公司創(chuàng)建不安全代碼的根本問題將通過兩種方式來解決:如果開發(fā)團隊和SEC團隊都得到流程、培訓和資源的支持,這樣他們就可以自信地完成工作;以及改變公司的文化。
網絡安全行業(yè)正在浪費機會,使計算更安全的時代,越來越多的...
隨著基于互聯網的平臺的更新,越來越多的組織每年都在向云端移動來托管和交付應用程序。
現在,Janca是一個紫色團隊的成員,是開放網絡應用程序安全項目(OWSAP)渥太華分會的負責人,也是渥太華網絡女士的聯合創(chuàng)始人,她自稱是應用程序安全傳道者。
但在她職業(yè)生涯的早期,她是一個軟件開發(fā)人員,她知道從安全團隊中感受到蔑視是什么感覺。 當一名安全小組成員第一次對她的代碼進行自動漏洞評估時,他在這里提交了一份“可能是用另一種語言寫的”的清單,并被告知,“你的應用程序是垃圾的,修復這些東西?!背吮桓嬷澳銘撝馈焙汀叭绻闶且粋€好的開發(fā)人員,在第一個地方就不應該有什么要修復的。
“我學會了不惜一切代價避開安全小組,”她回憶道。 (最后她意識到那家伙也不知道怎么看報告。
但這讓她想起了為什么人們不相處。 她發(fā)現,學術研究表明,大多數不良行為來自于一個感到不安全的人,然后以實物作出反應。 因此,開發(fā)人員忽略規(guī)則并滾動自己的密碼,或者沒有時間進行安全測試,安全團隊通過向NIST網站發(fā)送鏈接來回答問題。
“這不是我們最終使用不安全軟件的唯一原因,但這也是我認為的主要原因之一。
解決這個問題意味著改變兩個群體的文化。 她提出了五種方法:
1-不再指責;死后無可指責;
盡一切可能幫助挽回面子;
3-如果可能的話,安全小組和開發(fā)人員可以合用。 如果他們在不同的樓層/在建筑物的兩端/在不同的建筑物中,這是沒有幫助的;
4-不再舉行信息技術會議,主旨發(fā)言人抱怨安全狀況,說:“我們完蛋了?!蔽覀冎烙袉栴},提供解決辦法;
做一個真正的領導者。 不要對人說負面的話,他們會被重復的。 相反,說“那不酷”,或者問是什么讓這個錯誤發(fā)生。 也許員工需要額外的培訓。
根據一個新的結果,表現最好的組織將已經實現其大部分業(yè)務的自動化。
一項新的調查表明,安全,而不是速度,正在成為2017年DevOps團隊的首要問題。
關于更深入的改革,她提出了以下建議:
改進程序
首先,創(chuàng)建應用程序安全團隊/人員。 他們知道如何在代碼中找到安全問題。
“如果你沒有一個專門從事安全的人——即使他們是開發(fā)團隊成員——這就是你沒有安全軟件的首要原因。
更早地啟動安全——就像項目開始時一樣,它將貫穿整個開發(fā)生命周期;
將安全活動分解成更小的部分,特別是如果您正在進行敏捷開發(fā)和快速工作。 因此,例如,做一個沖刺,只針對跨站點腳本問題。 下次沖刺尋找注射問題等.. “隨著開發(fā)人員改變他們做軟件的方式,我們需要進行調整。
培訓開發(fā)人員編寫安全代碼,包括理解威脅建模;
告訴開發(fā)人員,向安全團隊征求意見并不可恥;
-管理人員應為每個處理代碼的人提供安全培訓;
鼓勵開發(fā)人員加入開發(fā)人員教育團體,包括OWASP。 確保他們熟悉OWSAP前10個漏洞;
提供午餐和學習;
開發(fā)人員參加了Infosec團隊的安全事件。 “事故反應就像裂縫,”她堅持說。
首先,為開發(fā)人員必須遵循的代碼創(chuàng)建一個可以理解的安全標準。 (例如,每個網站都必須使用https,對所有軟件進行漏洞掃描,然后才能啟用);
提供開發(fā)人員安全掃描工具。 有些是免費的,另一些則不花很多錢;
在一個名為DevSlops的項目中,每個星期天下午1點,東部Janca和一個小組的直播流,在混合器、Twitch和YouTube上播放帶有提示的廣播。
她結束了她的演講,讓infosec專業(yè)人士的聽眾舉起他們的右手發(fā)誓:“我保證讓開發(fā)人員能夠一起創(chuàng)建安全的軟件?!?/p>
總比罵別人好。
2016-2022 All Rights Reserved.平安財經網.復制必究 聯系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯網 版權歸原作者所有。