博客

将枯燥的PCI-DSS合规性变成对每个人都有意义的练习。第一部分 - AppSec

马蒂亚斯-马杜博士
发表于2020年4月16日

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。

合规 "这个词并不令人兴奋。它是正式的、干巴巴的、指令性的......甚至在语气上有点限制性。如果它有颜色,那就是米色。而且,它似乎与任何形式的创造性环境或创新不一致。

作为一个开发人员,我的 "合规 "经验通常意味着(纵向)阅读一些指南或观看演示,然后再回到编码功能,并专注于创建客户会使用和喜爱的软件。每个人都保留了他们当下能做的事情(并试图在任何时候都做正确的事情),但合规指南--尤其是那些围绕安全最佳实践的指南--通常不是以开发人员为目标受众而编写的,任何所需的行动都可能是不明确的。在这种情况下,仅仅停留在当前的目标上就太容易了。

问题是,安全的软件开发在任何公司都不再是一个 "不错的选择";它是(或应该是)每个组织的头等大事......如果它持有大量敏感的客户信息,那么当涉及到网络攻击时,该公司已经成熟了。开发人员是第一个接触代码的人,因此,他们应该和团队的其他成员一样参与到任何安全合规措施中。

但是,等等...听我说完。这并不意味着每个人都必须成为僵化的、没有创造力的开发和软件成果的奴隶。这意味着企业有机会和权力共同创造更高标准的代码。迄今为止,世界正在慢慢赶上这个事实,即开发人员还没有完全掌握正确的工具来使安全成为优先事项(孤立的安全专家不能单独承担这个责任)。然而,随着行业走向以安全为共同责任的DevSecOps的未来,当设置成功时,他们可以帮助阻止反复出现的漏洞的流动。

PCI-DSS指南涵盖了银行卡支付网关的在线安全合规性--这是我们大多数人经常使用的服务。这些准则是全球适用的,他们实际上已经详细列出了开发人员必须做的事情,以保持与他们的任务一致的标准,同时还有一些跨越电子商务业务方面的合规文件

数据泄露是可怕的、破坏声誉的风险,是企业无法承受的,而网络安全风险投资公司预测,2021年每天的零日泄露将达到一个,这是软件交付过程中的每个人都可以帮助打击的事情。

让我们来分析一下PCI-DSS的建议,以及它们如何在整个团队中发挥作用。

嘿,应用安全和合规团队。所有的开发者培训都是不一样的

大型(甚至小型)组织中的开发人员很少对他们在工作中接受的培训有大量的投入。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然比它们应该的要少。对安全培训的需求提供了一个很好的机会,不仅可以启动组织的合规性,而不至于让每个人都感到厌烦,还可以开始暖和与开发团队的冰冷关系。

在PCI合规性方面,你可以看到他们的指导方针对运行支付网关的任何软件所期望的结果是具体的;在其他目标中,他们希望应用程序得到加固(对阻止恶意代码注入或篡改至关重要),最小特权控制和对常见漏洞的全面认识...至少。所有与持卡人数据打交道的人员都必须接受充分的培训,对于开发人员来说,这种培训可以使他们从一开始就成功地编写安全代码。

官方的维护PCI-DSS合规性的最佳实践文件详细介绍了围绕安全意识、开发人员需求和适当培训的一些直接概念,比如。

 

Copyright © 2006 - 2020 PCI安全标准委员会, LLC.保留所有权利。


这让我们了解到了用必要的技能来武装开发人员所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比另一个更有效。PCI-DSS开发者指南》更直接一些,将OWASP的前10名作为学习查找和修复最常见漏洞的基准,以及一些认证项目。

但是......问题来了。毫无疑问,你会从各种工作场所的培训和合规性举措中了解到,它们在质量和未来的成功方面会有很大的不同。而当涉及到开发人员时,许多安全编码培训项目似乎并没有迎合我们的需求、工作方式,甚至我们的日常工作也没有任何意义。在这种情况下,不是所有的培训都是平等的,也不是所有的培训都能使软件更安全。当然,这与你期望的结果完全相反,也不会使你自己的工作压力有任何明显的减少。如果你想减轻负担,阻止常见的漏洞造成潜在的灾难,你就需要搭建一座桥梁。

与工程经理一起弥合安全技能差距

直接与工程经理合作,找到一个适合的解决方案,同时还能被实际需要做的人所接受,是实现积极安全成果的快速通道。他们将对自己的团队有更直接的了解,并能说出以前使合规性培训变得困难的任何障碍(除了它不是一个好的经验,大多数时候)。

基于课堂的培训、视频点播和任何一次性的、打勾的练习都很难保持现状;这些都是静态的解决方案,无法跟上网络安全行业不断变化的形势。最终,工程经理希望看到时间承诺的价值,重要的是与他们合作,并提供可行的选择,以满足每个人的共同目标:更安全和合规的代码。

那么,好的培训是什么样子的?通过大量的、一次性的信息来学习如何安全地编码是没有什么意义的。一点一滴、循序渐进的学习过程更容易记忆和应用,而且绝对必须使用每天使用的语言和框架。就个人而言,我想接受挑战,我想看到我的努力有一个目的--我们都已经够忙了,对吗?

为了遵守上述PCI-DSS的最佳实践,根据所选择的解决方案,管理人员可能会发现自己不得不把不同的courses ,以涵盖整个企业使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规性团队很难评估对软件的安全性和漏洞减少的影响。共同合作,找到合适的方案,而不是急于进入错误的选项,追逐快速的结果。否则,你可能最终会得到一个科学怪人的培训方案......而这看起来非常可怕。

感谢大家对这个PCI-DSS迷你系列的第一部分的关注。在最后一章中,我们将讨论CISO和CTO如何帮助这种文化转型,启用团队,以及安全前线 "你的开发者队伍 "如何利用PCI-DSS意识和合规性来发挥他们的优势。

查看资源
查看资源

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发表于2020年4月16日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。

合规 "这个词并不令人兴奋。它是正式的、干巴巴的、指令性的......甚至在语气上有点限制性。如果它有颜色,那就是米色。而且,它似乎与任何形式的创造性环境或创新不一致。

作为一个开发人员,我的 "合规 "经验通常意味着(纵向)阅读一些指南或观看演示,然后再回到编码功能,并专注于创建客户会使用和喜爱的软件。每个人都保留了他们当下能做的事情(并试图在任何时候都做正确的事情),但合规指南--尤其是那些围绕安全最佳实践的指南--通常不是以开发人员为目标受众而编写的,任何所需的行动都可能是不明确的。在这种情况下,仅仅停留在当前的目标上就太容易了。

问题是,安全的软件开发在任何公司都不再是一个 "不错的选择";它是(或应该是)每个组织的头等大事......如果它持有大量敏感的客户信息,那么当涉及到网络攻击时,该公司已经成熟了。开发人员是第一个接触代码的人,因此,他们应该和团队的其他成员一样参与到任何安全合规措施中。

但是,等等...听我说完。这并不意味着每个人都必须成为僵化的、没有创造力的开发和软件成果的奴隶。这意味着企业有机会和权力共同创造更高标准的代码。迄今为止,世界正在慢慢赶上这个事实,即开发人员还没有完全掌握正确的工具来使安全成为优先事项(孤立的安全专家不能单独承担这个责任)。然而,随着行业走向以安全为共同责任的DevSecOps的未来,当设置成功时,他们可以帮助阻止反复出现的漏洞的流动。

PCI-DSS指南涵盖了银行卡支付网关的在线安全合规性--这是我们大多数人经常使用的服务。这些准则是全球适用的,他们实际上已经详细列出了开发人员必须做的事情,以保持与他们的任务一致的标准,同时还有一些跨越电子商务业务方面的合规文件

数据泄露是可怕的、破坏声誉的风险,是企业无法承受的,而网络安全风险投资公司预测,2021年每天的零日泄露将达到一个,这是软件交付过程中的每个人都可以帮助打击的事情。

让我们来分析一下PCI-DSS的建议,以及它们如何在整个团队中发挥作用。

嘿,应用安全和合规团队。所有的开发者培训都是不一样的

大型(甚至小型)组织中的开发人员很少对他们在工作中接受的培训有大量的投入。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然比它们应该的要少。对安全培训的需求提供了一个很好的机会,不仅可以启动组织的合规性,而不至于让每个人都感到厌烦,还可以开始暖和与开发团队的冰冷关系。

在PCI合规性方面,你可以看到他们的指导方针对运行支付网关的任何软件所期望的结果是具体的;在其他目标中,他们希望应用程序得到加固(对阻止恶意代码注入或篡改至关重要),最小特权控制和对常见漏洞的全面认识...至少。所有与持卡人数据打交道的人员都必须接受充分的培训,对于开发人员来说,这种培训可以使他们从一开始就成功地编写安全代码。

官方的维护PCI-DSS合规性的最佳实践文件详细介绍了围绕安全意识、开发人员需求和适当培训的一些直接概念,比如。

 

Copyright © 2006 - 2020 PCI安全标准委员会, LLC.保留所有权利。


这让我们了解到了用必要的技能来武装开发人员所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比另一个更有效。PCI-DSS开发者指南》更直接一些,将OWASP的前10名作为学习查找和修复最常见漏洞的基准,以及一些认证项目。

但是......问题来了。毫无疑问,你会从各种工作场所的培训和合规性举措中了解到,它们在质量和未来的成功方面会有很大的不同。而当涉及到开发人员时,许多安全编码培训项目似乎并没有迎合我们的需求、工作方式,甚至我们的日常工作也没有任何意义。在这种情况下,不是所有的培训都是平等的,也不是所有的培训都能使软件更安全。当然,这与你期望的结果完全相反,也不会使你自己的工作压力有任何明显的减少。如果你想减轻负担,阻止常见的漏洞造成潜在的灾难,你就需要搭建一座桥梁。

与工程经理一起弥合安全技能差距

直接与工程经理合作,找到一个适合的解决方案,同时还能被实际需要做的人所接受,是实现积极安全成果的快速通道。他们将对自己的团队有更直接的了解,并能说出以前使合规性培训变得困难的任何障碍(除了它不是一个好的经验,大多数时候)。

基于课堂的培训、视频点播和任何一次性的、打勾的练习都很难保持现状;这些都是静态的解决方案,无法跟上网络安全行业不断变化的形势。最终,工程经理希望看到时间承诺的价值,重要的是与他们合作,并提供可行的选择,以满足每个人的共同目标:更安全和合规的代码。

那么,好的培训是什么样子的?通过大量的、一次性的信息来学习如何安全地编码是没有什么意义的。一点一滴、循序渐进的学习过程更容易记忆和应用,而且绝对必须使用每天使用的语言和框架。就个人而言,我想接受挑战,我想看到我的努力有一个目的--我们都已经够忙了,对吗?

为了遵守上述PCI-DSS的最佳实践,根据所选择的解决方案,管理人员可能会发现自己不得不把不同的courses ,以涵盖整个企业使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规性团队很难评估对软件的安全性和漏洞减少的影响。共同合作,找到合适的方案,而不是急于进入错误的选项,追逐快速的结果。否则,你可能最终会得到一个科学怪人的培训方案......而这看起来非常可怕。

感谢大家对这个PCI-DSS迷你系列的第一部分的关注。在最后一章中,我们将讨论CISO和CTO如何帮助这种文化转型,启用团队,以及安全前线 "你的开发者队伍 "如何利用PCI-DSS意识和合规性来发挥他们的优势。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。

合规 "这个词并不令人兴奋。它是正式的、干巴巴的、指令性的......甚至在语气上有点限制性。如果它有颜色,那就是米色。而且,它似乎与任何形式的创造性环境或创新不一致。

作为一个开发人员,我的 "合规 "经验通常意味着(纵向)阅读一些指南或观看演示,然后再回到编码功能,并专注于创建客户会使用和喜爱的软件。每个人都保留了他们当下能做的事情(并试图在任何时候都做正确的事情),但合规指南--尤其是那些围绕安全最佳实践的指南--通常不是以开发人员为目标受众而编写的,任何所需的行动都可能是不明确的。在这种情况下,仅仅停留在当前的目标上就太容易了。

问题是,安全的软件开发在任何公司都不再是一个 "不错的选择";它是(或应该是)每个组织的头等大事......如果它持有大量敏感的客户信息,那么当涉及到网络攻击时,该公司已经成熟了。开发人员是第一个接触代码的人,因此,他们应该和团队的其他成员一样参与到任何安全合规措施中。

但是,等等...听我说完。这并不意味着每个人都必须成为僵化的、没有创造力的开发和软件成果的奴隶。这意味着企业有机会和权力共同创造更高标准的代码。迄今为止,世界正在慢慢赶上这个事实,即开发人员还没有完全掌握正确的工具来使安全成为优先事项(孤立的安全专家不能单独承担这个责任)。然而,随着行业走向以安全为共同责任的DevSecOps的未来,当设置成功时,他们可以帮助阻止反复出现的漏洞的流动。

PCI-DSS指南涵盖了银行卡支付网关的在线安全合规性--这是我们大多数人经常使用的服务。这些准则是全球适用的,他们实际上已经详细列出了开发人员必须做的事情,以保持与他们的任务一致的标准,同时还有一些跨越电子商务业务方面的合规文件

数据泄露是可怕的、破坏声誉的风险,是企业无法承受的,而网络安全风险投资公司预测,2021年每天的零日泄露将达到一个,这是软件交付过程中的每个人都可以帮助打击的事情。

让我们来分析一下PCI-DSS的建议,以及它们如何在整个团队中发挥作用。

嘿,应用安全和合规团队。所有的开发者培训都是不一样的

大型(甚至小型)组织中的开发人员很少对他们在工作中接受的培训有大量的投入。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然比它们应该的要少。对安全培训的需求提供了一个很好的机会,不仅可以启动组织的合规性,而不至于让每个人都感到厌烦,还可以开始暖和与开发团队的冰冷关系。

在PCI合规性方面,你可以看到他们的指导方针对运行支付网关的任何软件所期望的结果是具体的;在其他目标中,他们希望应用程序得到加固(对阻止恶意代码注入或篡改至关重要),最小特权控制和对常见漏洞的全面认识...至少。所有与持卡人数据打交道的人员都必须接受充分的培训,对于开发人员来说,这种培训可以使他们从一开始就成功地编写安全代码。

官方的维护PCI-DSS合规性的最佳实践文件详细介绍了围绕安全意识、开发人员需求和适当培训的一些直接概念,比如。

 

Copyright © 2006 - 2020 PCI安全标准委员会, LLC.保留所有权利。


这让我们了解到了用必要的技能来武装开发人员所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比另一个更有效。PCI-DSS开发者指南》更直接一些,将OWASP的前10名作为学习查找和修复最常见漏洞的基准,以及一些认证项目。

但是......问题来了。毫无疑问,你会从各种工作场所的培训和合规性举措中了解到,它们在质量和未来的成功方面会有很大的不同。而当涉及到开发人员时,许多安全编码培训项目似乎并没有迎合我们的需求、工作方式,甚至我们的日常工作也没有任何意义。在这种情况下,不是所有的培训都是平等的,也不是所有的培训都能使软件更安全。当然,这与你期望的结果完全相反,也不会使你自己的工作压力有任何明显的减少。如果你想减轻负担,阻止常见的漏洞造成潜在的灾难,你就需要搭建一座桥梁。

与工程经理一起弥合安全技能差距

直接与工程经理合作,找到一个适合的解决方案,同时还能被实际需要做的人所接受,是实现积极安全成果的快速通道。他们将对自己的团队有更直接的了解,并能说出以前使合规性培训变得困难的任何障碍(除了它不是一个好的经验,大多数时候)。

基于课堂的培训、视频点播和任何一次性的、打勾的练习都很难保持现状;这些都是静态的解决方案,无法跟上网络安全行业不断变化的形势。最终,工程经理希望看到时间承诺的价值,重要的是与他们合作,并提供可行的选择,以满足每个人的共同目标:更安全和合规的代码。

那么,好的培训是什么样子的?通过大量的、一次性的信息来学习如何安全地编码是没有什么意义的。一点一滴、循序渐进的学习过程更容易记忆和应用,而且绝对必须使用每天使用的语言和框架。就个人而言,我想接受挑战,我想看到我的努力有一个目的--我们都已经够忙了,对吗?

为了遵守上述PCI-DSS的最佳实践,根据所选择的解决方案,管理人员可能会发现自己不得不把不同的courses ,以涵盖整个企业使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规性团队很难评估对软件的安全性和漏洞减少的影响。共同合作,找到合适的方案,而不是急于进入错误的选项,追逐快速的结果。否则,你可能最终会得到一个科学怪人的培训方案......而这看起来非常可怕。

感谢大家对这个PCI-DSS迷你系列的第一部分的关注。在最后一章中,我们将讨论CISO和CTO如何帮助这种文化转型,启用团队,以及安全前线 "你的开发者队伍 "如何利用PCI-DSS意识和合规性来发挥他们的优势。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发表于2020年4月16日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。

合规 "这个词并不令人兴奋。它是正式的、干巴巴的、指令性的......甚至在语气上有点限制性。如果它有颜色,那就是米色。而且,它似乎与任何形式的创造性环境或创新不一致。

作为一个开发人员,我的 "合规 "经验通常意味着(纵向)阅读一些指南或观看演示,然后再回到编码功能,并专注于创建客户会使用和喜爱的软件。每个人都保留了他们当下能做的事情(并试图在任何时候都做正确的事情),但合规指南--尤其是那些围绕安全最佳实践的指南--通常不是以开发人员为目标受众而编写的,任何所需的行动都可能是不明确的。在这种情况下,仅仅停留在当前的目标上就太容易了。

问题是,安全的软件开发在任何公司都不再是一个 "不错的选择";它是(或应该是)每个组织的头等大事......如果它持有大量敏感的客户信息,那么当涉及到网络攻击时,该公司已经成熟了。开发人员是第一个接触代码的人,因此,他们应该和团队的其他成员一样参与到任何安全合规措施中。

但是,等等...听我说完。这并不意味着每个人都必须成为僵化的、没有创造力的开发和软件成果的奴隶。这意味着企业有机会和权力共同创造更高标准的代码。迄今为止,世界正在慢慢赶上这个事实,即开发人员还没有完全掌握正确的工具来使安全成为优先事项(孤立的安全专家不能单独承担这个责任)。然而,随着行业走向以安全为共同责任的DevSecOps的未来,当设置成功时,他们可以帮助阻止反复出现的漏洞的流动。

PCI-DSS指南涵盖了银行卡支付网关的在线安全合规性--这是我们大多数人经常使用的服务。这些准则是全球适用的,他们实际上已经详细列出了开发人员必须做的事情,以保持与他们的任务一致的标准,同时还有一些跨越电子商务业务方面的合规文件

数据泄露是可怕的、破坏声誉的风险,是企业无法承受的,而网络安全风险投资公司预测,2021年每天的零日泄露将达到一个,这是软件交付过程中的每个人都可以帮助打击的事情。

让我们来分析一下PCI-DSS的建议,以及它们如何在整个团队中发挥作用。

嘿,应用安全和合规团队。所有的开发者培训都是不一样的

大型(甚至小型)组织中的开发人员很少对他们在工作中接受的培训有大量的投入。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然比它们应该的要少。对安全培训的需求提供了一个很好的机会,不仅可以启动组织的合规性,而不至于让每个人都感到厌烦,还可以开始暖和与开发团队的冰冷关系。

在PCI合规性方面,你可以看到他们的指导方针对运行支付网关的任何软件所期望的结果是具体的;在其他目标中,他们希望应用程序得到加固(对阻止恶意代码注入或篡改至关重要),最小特权控制和对常见漏洞的全面认识...至少。所有与持卡人数据打交道的人员都必须接受充分的培训,对于开发人员来说,这种培训可以使他们从一开始就成功地编写安全代码。

官方的维护PCI-DSS合规性的最佳实践文件详细介绍了围绕安全意识、开发人员需求和适当培训的一些直接概念,比如。

 

Copyright © 2006 - 2020 PCI安全标准委员会, LLC.保留所有权利。


这让我们了解到了用必要的技能来武装开发人员所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比另一个更有效。PCI-DSS开发者指南》更直接一些,将OWASP的前10名作为学习查找和修复最常见漏洞的基准,以及一些认证项目。

但是......问题来了。毫无疑问,你会从各种工作场所的培训和合规性举措中了解到,它们在质量和未来的成功方面会有很大的不同。而当涉及到开发人员时,许多安全编码培训项目似乎并没有迎合我们的需求、工作方式,甚至我们的日常工作也没有任何意义。在这种情况下,不是所有的培训都是平等的,也不是所有的培训都能使软件更安全。当然,这与你期望的结果完全相反,也不会使你自己的工作压力有任何明显的减少。如果你想减轻负担,阻止常见的漏洞造成潜在的灾难,你就需要搭建一座桥梁。

与工程经理一起弥合安全技能差距

直接与工程经理合作,找到一个适合的解决方案,同时还能被实际需要做的人所接受,是实现积极安全成果的快速通道。他们将对自己的团队有更直接的了解,并能说出以前使合规性培训变得困难的任何障碍(除了它不是一个好的经验,大多数时候)。

基于课堂的培训、视频点播和任何一次性的、打勾的练习都很难保持现状;这些都是静态的解决方案,无法跟上网络安全行业不断变化的形势。最终,工程经理希望看到时间承诺的价值,重要的是与他们合作,并提供可行的选择,以满足每个人的共同目标:更安全和合规的代码。

那么,好的培训是什么样子的?通过大量的、一次性的信息来学习如何安全地编码是没有什么意义的。一点一滴、循序渐进的学习过程更容易记忆和应用,而且绝对必须使用每天使用的语言和框架。就个人而言,我想接受挑战,我想看到我的努力有一个目的--我们都已经够忙了,对吗?

为了遵守上述PCI-DSS的最佳实践,根据所选择的解决方案,管理人员可能会发现自己不得不把不同的courses ,以涵盖整个企业使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规性团队很难评估对软件的安全性和漏洞减少的影响。共同合作,找到合适的方案,而不是急于进入错误的选项,追逐快速的结果。否则,你可能最终会得到一个科学怪人的培训方案......而这看起来非常可怕。

感谢大家对这个PCI-DSS迷你系列的第一部分的关注。在最后一章中,我们将讨论CISO和CTO如何帮助这种文化转型,启用团队,以及安全前线 "你的开发者队伍 "如何利用PCI-DSS意识和合规性来发挥他们的优势。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心