您的组织真的为 DevSec 做好准备了吗?把它付诸测试。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
