泰雷兹如何实施开发人员驱动型安全
背景介绍
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及装置和设备。Viswanath S. Chirravuri 是泰雷兹集团的软件安全技术总监。Viswanath 或 Vis 最初以程序员的身份开始了他在安全领域的职业生涯。他现在是泰雷兹公司的高级安全主管,拥有超过 18 年的安全行业经验,并持有 30 多项认证,包括 CISSP、PMP 和 GSE。他曾为 18 个国家的 3000 多名软件专业人员提供过培训。此外,Vis 还在国际网络安全tournaments (如 Netwars)比赛中赢得了 10 多枚 SANS 挑战币,并且是 GIAC 咨询委员会的活跃成员。我们采访了 Vis,了解他如何将人员、流程和技术相结合,在泰雷兹成功开发了安全代码学习项目。
情况
Vis 加入泰雷兹公司之初,他指导业务部门研究通过笔测试发现的漏洞来源,以此作为减少技术债务积压的可能解决方案。应用安全团队使用 7 个不同的供应商来巩固他们的安全态势--从 IAST/ DAST 工具到笔测试工具。Vis 希望了解市场趋势,并以可扩展的方式管理威胁,通过流程与技术的紧密结合制定缓解策略。这意味着要从纯粹基于工具的方法转变为具有强大学习成分的战略。他注意到,许多开发人员并不具备安全背景或安全技能。他最初的方法是为开发人员提供基于课堂的培训,培训主题包括 OWASP Top 10 等,但他很快意识到,由于亲自授课需要出差,而且需要覆盖全球成千上万的开发人员,这种方法无法扩大规模。维斯指出
"安全和开发之间的比例总是不平衡的。即使我的安全人员与开发人员的比例是 1:1,我也无法让他们始终参与其中。让我们的开发人员了解新的攻击载体、最佳实践、新语言和新发现的漏洞,意味着我们需要促进开发人员的自学,让他们能够按照自己的节奏进行学习。如果他们需要帮助,我可以帮助他们,但我意识到,我不能教他们如何修复他们发现的每一个漏洞。
起初,由于许多开发人员都是从零开始,开发经理对开发人员需要在安全代码学习上投入时间表示反对。Vis 需要管理这样一种观念,即对安全代码学习的承诺可能会扰乱软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法,适当地激励组织将时间花在安全代码的敏捷学习上。Vis 采取了以人为本的态度,从源头上解决漏洞问题、 "人们常说,安全会占用开发时间。对我来说,如果你开发的东西不安全,那一开始就是在浪费时间。你应该始终以安全为目标开发软件,这样就可以省去修复本可以轻松避免的漏洞的时间。我们的共同目标应该是开发出可靠的代码。
行动
Vis 有两个主要目标:确保软件的安全和提高 Thales 开发人员团队的安全意识。实施一项允许开发人员独立并按照自己的进度进行培训的计划至关重要。Vis 的战略是逐步建立一个安全社区,努力将安全编码与企业政策联系起来,并在组织内制定安全代码学习的任务。通过鼓励将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励的倍增效应。安全拥护者的出现,让他们把对安全的热情作为日常工作的一部分,帮助在整个组织内传播安全编码实践的意识。Vis 评估了十几家安全培训供应商,并于 2019 年成为 SCW 的客户。对于泰雷兹而言,拥有一家涵盖其环境中所有编程语言和框架的供应商,而不是零敲碎打的解决方案,是一个巨大的优势。Vis 借助Secure Code Warrior的海量内容,为安全项目中的开发人员提供培训和自定进度的学习:
"OWASP Top 10 不仅仅是你需要知道的十件事那么简单。OWASP 所涵盖漏洞的深度和多样性,再加上编程语言的数量之多,可能会让人应接不暇--我们在这些方面所面临的挑战和覆盖范围之广,是我们选择 SCW 的一个关键因素。他们一直在增加新内容。深度、主题多样性、最新内容以及对安全代码设计原则的关注使 SCW 脱颖而出。与他们合作,这不是一次性使用的培训,相反,我们获得了建立一个持续项目的机会。
Vis 和他的团队将安全代码学习计划的推广分为四个层次,每个工程角色都有不同的里程碑:
重要的是,SCW 成为了漏洞修复的真实来源。Vis 发布了 AppSec 团队的指南和 SCW 内容库中的指南,而不是依赖谷歌搜索来排除故障,这样开发人员就可以在代码中参考可信、真实的漏洞修复来源。维斯认为
"开发人员不应该随意决定如何修复漏洞,并有可能在修复过程中引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种方法,确保提供安全软件的开发人员得到认可。我们要求他们达到一定的安全编码水平,我们可以通过他们解决的漏洞进行跟踪,而不会再次引入漏洞。这样,他们的辛勤工作就得到了公司的认可和重视。
成果
Vis 和他的团队每月都会发布一份安全代码通讯,对公司中的优秀学习者进行表彰。他们使用 SCW 查看assessment 分数、tournament 参与情况和挑战,以扩大这一成就。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞总数。实施 SCW 后,他注意到了一条下降趋势线。这些漏洞不会在源代码层面再次出现。Vis 这样说道:
"我们向管理层提交的关键绩效指标反映了我们在充分了解情况后做出的选择。我们感到自豪的是,我们的安全代码培训为客户带来了商业信心。我们的全面安全代码培训计划得到了客户和同行的认可和尊重。有了这样的计划,公司的价值就会大大增加。
主要收获
Vis 认识到,人员、流程和技术在任何安全计划中都扮演着重要角色。通过关注软件的安全性、开发人员的知识和合规性--就有可能为安全代码计划提供敏捷的学习方法,从而随着时间的推移减少源代码中的漏洞。Vis向其领域内希望在开发人员团队中培养安全技能的专业人士提出了这些建议。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
泰雷兹如何实施开发人员驱动型安全
背景介绍
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及装置和设备。Viswanath S. Chirravuri 是泰雷兹集团的软件安全技术总监。Viswanath 或 Vis 最初以程序员的身份开始了他在安全领域的职业生涯。他现在是泰雷兹公司的高级安全主管,拥有超过 18 年的安全行业经验,并持有 30 多项认证,包括 CISSP、PMP 和 GSE。他曾为 18 个国家的 3000 多名软件专业人员提供过培训。此外,Vis 还在国际网络安全tournaments (如 Netwars)比赛中赢得了 10 多枚 SANS 挑战币,并且是 GIAC 咨询委员会的活跃成员。我们采访了 Vis,了解他如何将人员、流程和技术相结合,在泰雷兹成功开发了安全代码学习项目。
情况
Vis 加入泰雷兹公司之初,他指导业务部门研究通过笔测试发现的漏洞来源,以此作为减少技术债务积压的可能解决方案。应用安全团队使用 7 个不同的供应商来巩固他们的安全态势--从 IAST/ DAST 工具到笔测试工具。Vis 希望了解市场趋势,并以可扩展的方式管理威胁,通过流程与技术的紧密结合制定缓解策略。这意味着要从纯粹基于工具的方法转变为具有强大学习成分的战略。他注意到,许多开发人员并不具备安全背景或安全技能。他最初的方法是为开发人员提供基于课堂的培训,培训主题包括 OWASP Top 10 等,但他很快意识到,由于亲自授课需要出差,而且需要覆盖全球成千上万的开发人员,这种方法无法扩大规模。维斯指出
"安全和开发之间的比例总是不平衡的。即使我的安全人员与开发人员的比例是 1:1,我也无法让他们始终参与其中。让我们的开发人员了解新的攻击载体、最佳实践、新语言和新发现的漏洞,意味着我们需要促进开发人员的自学,让他们能够按照自己的节奏进行学习。如果他们需要帮助,我可以帮助他们,但我意识到,我不能教他们如何修复他们发现的每一个漏洞。
起初,由于许多开发人员都是从零开始,开发经理对开发人员需要在安全代码学习上投入时间表示反对。Vis 需要管理这样一种观念,即对安全代码学习的承诺可能会扰乱软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法,适当地激励组织将时间花在安全代码的敏捷学习上。Vis 采取了以人为本的态度,从源头上解决漏洞问题、 "人们常说,安全会占用开发时间。对我来说,如果你开发的东西不安全,那一开始就是在浪费时间。你应该始终以安全为目标开发软件,这样就可以省去修复本可以轻松避免的漏洞的时间。我们的共同目标应该是开发出可靠的代码。
行动
Vis 有两个主要目标:确保软件的安全和提高 Thales 开发人员团队的安全意识。实施一项允许开发人员独立并按照自己的进度进行培训的计划至关重要。Vis 的战略是逐步建立一个安全社区,努力将安全编码与企业政策联系起来,并在组织内制定安全代码学习的任务。通过鼓励将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励的倍增效应。安全拥护者的出现,让他们把对安全的热情作为日常工作的一部分,帮助在整个组织内传播安全编码实践的意识。Vis 评估了十几家安全培训供应商,并于 2019 年成为 SCW 的客户。对于泰雷兹而言,拥有一家涵盖其环境中所有编程语言和框架的供应商,而不是零敲碎打的解决方案,是一个巨大的优势。Vis 借助Secure Code Warrior的海量内容,为安全项目中的开发人员提供培训和自定进度的学习:
"OWASP Top 10 不仅仅是你需要知道的十件事那么简单。OWASP 所涵盖漏洞的深度和多样性,再加上编程语言的数量之多,可能会让人应接不暇--我们在这些方面所面临的挑战和覆盖范围之广,是我们选择 SCW 的一个关键因素。他们一直在增加新内容。深度、主题多样性、最新内容以及对安全代码设计原则的关注使 SCW 脱颖而出。与他们合作,这不是一次性使用的培训,相反,我们获得了建立一个持续项目的机会。
Vis 和他的团队将安全代码学习计划的推广分为四个层次,每个工程角色都有不同的里程碑:
重要的是,SCW 成为了漏洞修复的真实来源。Vis 发布了 AppSec 团队的指南和 SCW 内容库中的指南,而不是依赖谷歌搜索来排除故障,这样开发人员就可以在代码中参考可信、真实的漏洞修复来源。维斯认为
"开发人员不应该随意决定如何修复漏洞,并有可能在修复过程中引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种方法,确保提供安全软件的开发人员得到认可。我们要求他们达到一定的安全编码水平,我们可以通过他们解决的漏洞进行跟踪,而不会再次引入漏洞。这样,他们的辛勤工作就得到了公司的认可和重视。
成果
Vis 和他的团队每月都会发布一份安全代码通讯,对公司中的优秀学习者进行表彰。他们使用 SCW 查看assessment 分数、tournament 参与情况和挑战,以扩大这一成就。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞总数。实施 SCW 后,他注意到了一条下降趋势线。这些漏洞不会在源代码层面再次出现。Vis 这样说道:
"我们向管理层提交的关键绩效指标反映了我们在充分了解情况后做出的选择。我们感到自豪的是,我们的安全代码培训为客户带来了商业信心。我们的全面安全代码培训计划得到了客户和同行的认可和尊重。有了这样的计划,公司的价值就会大大增加。
主要收获
Vis 认识到,人员、流程和技术在任何安全计划中都扮演着重要角色。通过关注软件的安全性、开发人员的知识和合规性--就有可能为安全代码计划提供敏捷的学习方法,从而随着时间的推移减少源代码中的漏洞。Vis向其领域内希望在开发人员团队中培养安全技能的专业人士提出了这些建议。
