認証セキュリティ意識:開発者の能力向上を目的とした行政命令
如果有诸如神圣的时机之类的东西,那么必须说拜登政府把它搞定了 行政命令 (EO) 公告,涉及美国政府加强联邦网络以及改善全国网络安全标准和最佳实践的计划。该策略是在最近发生的两次毁灭性网络攻击之后采取的:持续的供应链泄露来自 SolarWinds,除了 殖民地管道 天然气基础设施攻击。
尽管这些事件无疑在各级政府中引起了波动,但该指令标志着一个激动人心的时刻 网络安全的未来。看来我们终于开始认真保护我们的数字生存了,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
EO涉及功能网络安全的许多方面,但首次特别概述了开发人员的影响以及他们必须具备的必要性 已验证 安全技能和意识。多年来,我们在屋顶上大声疾呼,这是对抗经常使我们陷入困境的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御取得广泛成功的途径。
各组织——以及联邦各部门——应如何回应这一命令?让我们来解开一些主要类别。
'勾选框'不在桌子上。
长期以来,我们一直指出,大多数类型的网络安全培训对开发人员来说都是无效的。它通常过于笼统,无法以一种能够吸引和激发预期结果的方式交付(阅读:更安全的代码),而且很少被提及。更糟糕的是,许多公司都满足于 “打勾即可” 的培训:这种方法提供最低限度的 “一劳永逸” 的基础知识,以满足运营要求并在开发者的名字旁边打上勾号。这些教育策略使每位首席信息安全官都处于刀刃状态,相互交叉,希望自己的公司不会成为下一次未修补漏洞的受害者。它们根本无法减少漏洞和创建更高质量的代码。
在拜登授权的第4节中,明确规定组织需要证明其开发人员表现出有据可查的、经过验证的安全合规性:
”该指南应包括可用于评估软件安全的标准,包括评估开发人员和供应商自身安全实践的标准,以及确定证明符合安全做法的创新工具或方法。”
这有一个小问题:目前不存在专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并通过课程和评估来提高这些技能是至关重要的,这使公司能够设定目标并实现合规性。当开发人员能够在实际的动手环境中展示核心能力时,就可以通过有意义的、值得信赖的方式对其进行评估和认证。这是我们在Secure Code Warrior提供的产品的核心,我们一直在努力创建一个可用于可靠认证的系统,该系统可根据他们的技术堆栈和组织要求进行自定义。
这些技能很有价值,而且无法自动化。认证可以将开发人员转变为一支具有安全意识的力量,可以保护代码库免受阴险威胁。
重点关注开发者工具(以及一般工具)。
除了有关验证安全编码实践的指导方针外,EO还深入研究了安全的自动化和工具方面。
从安全的角度来看,生成的代码太多了,人类无法单独处理,而作为广泛技术堆栈的一部分,自动化理应是每个安全程序的重要组成部分。但是,并非所有工具都是一样的,也没有 “一种工具可以解决所有编程语言中的所有漏洞”。出色的安全计划采用细致入微的方法,尤其是在针对开发人员的工具和服务方面。
EO 第 3 节概述了对开发有资格由联邦政府使用的软件的供应商的期望,以及有关在开发过程中使用工具的指导性指导方针:
” (iii) 使用自动化工具或类似流程来维护可信的源代码供应链,从而确保代码的完整性;
(iv) 使用自动化工具或类似流程来检查已知和潜在漏洞并进行修复,这些漏洞应定期运行,或至少在产品、版本或更新发布之前运行。”
开发人员技术堆栈中的安全工具是快速改善安全最佳实践的方法之一,可确保发布最有可能在最后期限之前发布,不会受到安全漏洞和其他引人注目的阻碍。但是,问题是,开发人员仍然需要情境学习才能充分利用最强大的工具。对于他们来说,了解被举报的内容、危险的原因以及如何补救至关重要,而且可以减少工具首先要识别的错误。
最好的工具将与开发人员的环境集成,帮助他们生成更高质量(更安全)的代码,并确保安全性始终是头等大事。
保护供应链。
我最喜欢的EO部分之一是保护软件供应链的全面计划。考虑到SolarWinds活动,这并不奇怪,但这是一个重要的亮点:
”联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,对软件抵御攻击的能力给予足够的关注,也缺乏足够的控制措施来防止恶意行为者的篡改。迫切需要实施更严格和可预测的机制来确保产品安全运行,正如预期的那样... 联邦政府必须采取行动,快速提高软件供应链的安全性和完整性,优先考虑关键软件问题。”
该裁决将影响任何希望与美国政府做生意的软件公司,但应将其作为标准适用于所有地方。第三方供应商(更不用说使用第三方组件的开发人员了)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到满足变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 “额外里程”,但它们应该是网络安全最佳实践的黄金标准所固有的。
长期以来,信心十足地交付安全代码一直是我们行业的痛点,但这是评估当前流程并引导向强化软件和云基础架构的绝佳机会,这让留守者羡慕不已。立即联系我们,了解如何发挥杠杆作用 课程, 评估,以及 开发者工具 对您的下一支具有安全意识的开发人员团队进行认证。
.avif)
米国連邦政府の最新行政命令は、機能的なサイバーセキュリティの多くの側面に触れているが、初めて特に開発者への影響と、彼らが検証されたセキュリティスキルと意識を必要としている点を概説している。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
如果有诸如神圣的时机之类的东西,那么必须说拜登政府把它搞定了 行政命令 (EO) 公告,涉及美国政府加强联邦网络以及改善全国网络安全标准和最佳实践的计划。该策略是在最近发生的两次毁灭性网络攻击之后采取的:持续的供应链泄露来自 SolarWinds,除了 殖民地管道 天然气基础设施攻击。
尽管这些事件无疑在各级政府中引起了波动,但该指令标志着一个激动人心的时刻 网络安全的未来。看来我们终于开始认真保护我们的数字生存了,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
EO涉及功能网络安全的许多方面,但首次特别概述了开发人员的影响以及他们必须具备的必要性 已验证 安全技能和意识。多年来,我们在屋顶上大声疾呼,这是对抗经常使我们陷入困境的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御取得广泛成功的途径。
各组织——以及联邦各部门——应如何回应这一命令?让我们来解开一些主要类别。
'勾选框'不在桌子上。
长期以来,我们一直指出,大多数类型的网络安全培训对开发人员来说都是无效的。它通常过于笼统,无法以一种能够吸引和激发预期结果的方式交付(阅读:更安全的代码),而且很少被提及。更糟糕的是,许多公司都满足于 “打勾即可” 的培训:这种方法提供最低限度的 “一劳永逸” 的基础知识,以满足运营要求并在开发者的名字旁边打上勾号。这些教育策略使每位首席信息安全官都处于刀刃状态,相互交叉,希望自己的公司不会成为下一次未修补漏洞的受害者。它们根本无法减少漏洞和创建更高质量的代码。
在拜登授权的第4节中,明确规定组织需要证明其开发人员表现出有据可查的、经过验证的安全合规性:
”该指南应包括可用于评估软件安全的标准,包括评估开发人员和供应商自身安全实践的标准,以及确定证明符合安全做法的创新工具或方法。”
这有一个小问题:目前不存在专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并通过课程和评估来提高这些技能是至关重要的,这使公司能够设定目标并实现合规性。当开发人员能够在实际的动手环境中展示核心能力时,就可以通过有意义的、值得信赖的方式对其进行评估和认证。这是我们在Secure Code Warrior提供的产品的核心,我们一直在努力创建一个可用于可靠认证的系统,该系统可根据他们的技术堆栈和组织要求进行自定义。
这些技能很有价值,而且无法自动化。认证可以将开发人员转变为一支具有安全意识的力量,可以保护代码库免受阴险威胁。
重点关注开发者工具(以及一般工具)。
除了有关验证安全编码实践的指导方针外,EO还深入研究了安全的自动化和工具方面。
从安全的角度来看,生成的代码太多了,人类无法单独处理,而作为广泛技术堆栈的一部分,自动化理应是每个安全程序的重要组成部分。但是,并非所有工具都是一样的,也没有 “一种工具可以解决所有编程语言中的所有漏洞”。出色的安全计划采用细致入微的方法,尤其是在针对开发人员的工具和服务方面。
EO 第 3 节概述了对开发有资格由联邦政府使用的软件的供应商的期望,以及有关在开发过程中使用工具的指导性指导方针:
” (iii) 使用自动化工具或类似流程来维护可信的源代码供应链,从而确保代码的完整性;
(iv) 使用自动化工具或类似流程来检查已知和潜在漏洞并进行修复,这些漏洞应定期运行,或至少在产品、版本或更新发布之前运行。”
开发人员技术堆栈中的安全工具是快速改善安全最佳实践的方法之一,可确保发布最有可能在最后期限之前发布,不会受到安全漏洞和其他引人注目的阻碍。但是,问题是,开发人员仍然需要情境学习才能充分利用最强大的工具。对于他们来说,了解被举报的内容、危险的原因以及如何补救至关重要,而且可以减少工具首先要识别的错误。
最好的工具将与开发人员的环境集成,帮助他们生成更高质量(更安全)的代码,并确保安全性始终是头等大事。
保护供应链。
我最喜欢的EO部分之一是保护软件供应链的全面计划。考虑到SolarWinds活动,这并不奇怪,但这是一个重要的亮点:
”联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,对软件抵御攻击的能力给予足够的关注,也缺乏足够的控制措施来防止恶意行为者的篡改。迫切需要实施更严格和可预测的机制来确保产品安全运行,正如预期的那样... 联邦政府必须采取行动,快速提高软件供应链的安全性和完整性,优先考虑关键软件问题。”
该裁决将影响任何希望与美国政府做生意的软件公司,但应将其作为标准适用于所有地方。第三方供应商(更不用说使用第三方组件的开发人员了)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到满足变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 “额外里程”,但它们应该是网络安全最佳实践的黄金标准所固有的。
长期以来,信心十足地交付安全代码一直是我们行业的痛点,但这是评估当前流程并引导向强化软件和云基础架构的绝佳机会,这让留守者羡慕不已。立即联系我们,了解如何发挥杠杆作用 课程, 评估,以及 开发者工具 对您的下一支具有安全意识的开发人员团队进行认证。
如果有诸如神圣的时机之类的东西,那么必须说拜登政府把它搞定了 行政命令 (EO) 公告,涉及美国政府加强联邦网络以及改善全国网络安全标准和最佳实践的计划。该策略是在最近发生的两次毁灭性网络攻击之后采取的:持续的供应链泄露来自 SolarWinds,除了 殖民地管道 天然气基础设施攻击。
尽管这些事件无疑在各级政府中引起了波动,但该指令标志着一个激动人心的时刻 网络安全的未来。看来我们终于开始认真保护我们的数字生存了,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
EO涉及功能网络安全的许多方面,但首次特别概述了开发人员的影响以及他们必须具备的必要性 已验证 安全技能和意识。多年来,我们在屋顶上大声疾呼,这是对抗经常使我们陷入困境的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御取得广泛成功的途径。
各组织——以及联邦各部门——应如何回应这一命令?让我们来解开一些主要类别。
'勾选框'不在桌子上。
长期以来,我们一直指出,大多数类型的网络安全培训对开发人员来说都是无效的。它通常过于笼统,无法以一种能够吸引和激发预期结果的方式交付(阅读:更安全的代码),而且很少被提及。更糟糕的是,许多公司都满足于 “打勾即可” 的培训:这种方法提供最低限度的 “一劳永逸” 的基础知识,以满足运营要求并在开发者的名字旁边打上勾号。这些教育策略使每位首席信息安全官都处于刀刃状态,相互交叉,希望自己的公司不会成为下一次未修补漏洞的受害者。它们根本无法减少漏洞和创建更高质量的代码。
在拜登授权的第4节中,明确规定组织需要证明其开发人员表现出有据可查的、经过验证的安全合规性:
”该指南应包括可用于评估软件安全的标准,包括评估开发人员和供应商自身安全实践的标准,以及确定证明符合安全做法的创新工具或方法。”
这有一个小问题:目前不存在专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并通过课程和评估来提高这些技能是至关重要的,这使公司能够设定目标并实现合规性。当开发人员能够在实际的动手环境中展示核心能力时,就可以通过有意义的、值得信赖的方式对其进行评估和认证。这是我们在Secure Code Warrior提供的产品的核心,我们一直在努力创建一个可用于可靠认证的系统,该系统可根据他们的技术堆栈和组织要求进行自定义。
这些技能很有价值,而且无法自动化。认证可以将开发人员转变为一支具有安全意识的力量,可以保护代码库免受阴险威胁。
重点关注开发者工具(以及一般工具)。
除了有关验证安全编码实践的指导方针外,EO还深入研究了安全的自动化和工具方面。
从安全的角度来看,生成的代码太多了,人类无法单独处理,而作为广泛技术堆栈的一部分,自动化理应是每个安全程序的重要组成部分。但是,并非所有工具都是一样的,也没有 “一种工具可以解决所有编程语言中的所有漏洞”。出色的安全计划采用细致入微的方法,尤其是在针对开发人员的工具和服务方面。
EO 第 3 节概述了对开发有资格由联邦政府使用的软件的供应商的期望,以及有关在开发过程中使用工具的指导性指导方针:
” (iii) 使用自动化工具或类似流程来维护可信的源代码供应链,从而确保代码的完整性;
(iv) 使用自动化工具或类似流程来检查已知和潜在漏洞并进行修复,这些漏洞应定期运行,或至少在产品、版本或更新发布之前运行。”
开发人员技术堆栈中的安全工具是快速改善安全最佳实践的方法之一,可确保发布最有可能在最后期限之前发布,不会受到安全漏洞和其他引人注目的阻碍。但是,问题是,开发人员仍然需要情境学习才能充分利用最强大的工具。对于他们来说,了解被举报的内容、危险的原因以及如何补救至关重要,而且可以减少工具首先要识别的错误。
最好的工具将与开发人员的环境集成,帮助他们生成更高质量(更安全)的代码,并确保安全性始终是头等大事。
保护供应链。
我最喜欢的EO部分之一是保护软件供应链的全面计划。考虑到SolarWinds活动,这并不奇怪,但这是一个重要的亮点:
”联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,对软件抵御攻击的能力给予足够的关注,也缺乏足够的控制措施来防止恶意行为者的篡改。迫切需要实施更严格和可预测的机制来确保产品安全运行,正如预期的那样... 联邦政府必须采取行动,快速提高软件供应链的安全性和完整性,优先考虑关键软件问题。”
该裁决将影响任何希望与美国政府做生意的软件公司,但应将其作为标准适用于所有地方。第三方供应商(更不用说使用第三方组件的开发人员了)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到满足变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 “额外里程”,但它们应该是网络安全最佳实践的黄金标准所固有的。
长期以来,信心十足地交付安全代码一直是我们行业的痛点,但这是评估当前流程并引导向强化软件和云基础架构的绝佳机会,这让留守者羡慕不已。立即联系我们,了解如何发挥杠杆作用 课程, 评估,以及 开发者工具 对您的下一支具有安全意识的开发人员团队进行认证。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
如果有诸如神圣的时机之类的东西,那么必须说拜登政府把它搞定了 行政命令 (EO) 公告,涉及美国政府加强联邦网络以及改善全国网络安全标准和最佳实践的计划。该策略是在最近发生的两次毁灭性网络攻击之后采取的:持续的供应链泄露来自 SolarWinds,除了 殖民地管道 天然气基础设施攻击。
尽管这些事件无疑在各级政府中引起了波动,但该指令标志着一个激动人心的时刻 网络安全的未来。看来我们终于开始认真保护我们的数字生存了,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
EO涉及功能网络安全的许多方面,但首次特别概述了开发人员的影响以及他们必须具备的必要性 已验证 安全技能和意识。多年来,我们在屋顶上大声疾呼,这是对抗经常使我们陷入困境的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御取得广泛成功的途径。
各组织——以及联邦各部门——应如何回应这一命令?让我们来解开一些主要类别。
'勾选框'不在桌子上。
长期以来,我们一直指出,大多数类型的网络安全培训对开发人员来说都是无效的。它通常过于笼统,无法以一种能够吸引和激发预期结果的方式交付(阅读:更安全的代码),而且很少被提及。更糟糕的是,许多公司都满足于 “打勾即可” 的培训:这种方法提供最低限度的 “一劳永逸” 的基础知识,以满足运营要求并在开发者的名字旁边打上勾号。这些教育策略使每位首席信息安全官都处于刀刃状态,相互交叉,希望自己的公司不会成为下一次未修补漏洞的受害者。它们根本无法减少漏洞和创建更高质量的代码。
在拜登授权的第4节中,明确规定组织需要证明其开发人员表现出有据可查的、经过验证的安全合规性:
”该指南应包括可用于评估软件安全的标准,包括评估开发人员和供应商自身安全实践的标准,以及确定证明符合安全做法的创新工具或方法。”
这有一个小问题:目前不存在专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并通过课程和评估来提高这些技能是至关重要的,这使公司能够设定目标并实现合规性。当开发人员能够在实际的动手环境中展示核心能力时,就可以通过有意义的、值得信赖的方式对其进行评估和认证。这是我们在Secure Code Warrior提供的产品的核心,我们一直在努力创建一个可用于可靠认证的系统,该系统可根据他们的技术堆栈和组织要求进行自定义。
这些技能很有价值,而且无法自动化。认证可以将开发人员转变为一支具有安全意识的力量,可以保护代码库免受阴险威胁。
重点关注开发者工具(以及一般工具)。
除了有关验证安全编码实践的指导方针外,EO还深入研究了安全的自动化和工具方面。
从安全的角度来看,生成的代码太多了,人类无法单独处理,而作为广泛技术堆栈的一部分,自动化理应是每个安全程序的重要组成部分。但是,并非所有工具都是一样的,也没有 “一种工具可以解决所有编程语言中的所有漏洞”。出色的安全计划采用细致入微的方法,尤其是在针对开发人员的工具和服务方面。
EO 第 3 节概述了对开发有资格由联邦政府使用的软件的供应商的期望,以及有关在开发过程中使用工具的指导性指导方针:
” (iii) 使用自动化工具或类似流程来维护可信的源代码供应链,从而确保代码的完整性;
(iv) 使用自动化工具或类似流程来检查已知和潜在漏洞并进行修复,这些漏洞应定期运行,或至少在产品、版本或更新发布之前运行。”
开发人员技术堆栈中的安全工具是快速改善安全最佳实践的方法之一,可确保发布最有可能在最后期限之前发布,不会受到安全漏洞和其他引人注目的阻碍。但是,问题是,开发人员仍然需要情境学习才能充分利用最强大的工具。对于他们来说,了解被举报的内容、危险的原因以及如何补救至关重要,而且可以减少工具首先要识别的错误。
最好的工具将与开发人员的环境集成,帮助他们生成更高质量(更安全)的代码,并确保安全性始终是头等大事。
保护供应链。
我最喜欢的EO部分之一是保护软件供应链的全面计划。考虑到SolarWinds活动,这并不奇怪,但这是一个重要的亮点:
”联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,对软件抵御攻击的能力给予足够的关注,也缺乏足够的控制措施来防止恶意行为者的篡改。迫切需要实施更严格和可预测的机制来确保产品安全运行,正如预期的那样... 联邦政府必须采取行动,快速提高软件供应链的安全性和完整性,优先考虑关键软件问题。”
该裁决将影响任何希望与美国政府做生意的软件公司,但应将其作为标准适用于所有地方。第三方供应商(更不用说使用第三方组件的开发人员了)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到满足变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 “额外里程”,但它们应该是网络安全最佳实践的黄金标准所固有的。
长期以来,信心十足地交付安全代码一直是我们行业的痛点,但这是评估当前流程并引导向强化软件和云基础架构的绝佳机会,这让留守者羡慕不已。立即联系我们,了解如何发挥杠杆作用 课程, 评估,以及 开发者工具 对您的下一支具有安全意识的开发人员团队进行认证。
%20(1).avif)
.avif)
