与NIST一起行动。我们对网络防御的未来采取以人为本的立场

发表于2021年6月21日
作者:马蒂亚斯-马杜,博士
案例研究

与NIST一起行动。我们对网络防御的未来采取以人为本的立场

发表于2021年6月21日
作者:马蒂亚斯-马杜,博士
查看资源
查看资源

拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。

这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。 

NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。 

作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。 

一个安全的发展途径,为开发商铺平了道路

漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。 

繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。 


要完整地阅读我们的NIST定位文件,请现在下载。

写在纸上的横幅:促进铺平道路的安全开发方法
下载我们向NIST提出的完整立场文件。

安全开发实践的认证框架。缺少的环节(目前)

到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。 

我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。 

开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。 

NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。


要完整地阅读我们的第二份NIST定位文件,请现在下载。

写在纸上的横幅:为安全开发实践创建一个认证框架
下载我们向NIST提出的完整立场文件。


网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。

你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。

查看资源
查看资源

作者

马蒂亚斯-马杜博士

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

与NIST一起行动。我们对网络防御的未来采取以人为本的立场

发布于 2024 年 1 月 22 日
作者:马蒂亚斯-马杜,博士

拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。

这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。 

NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。 

作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。 

一个安全的发展途径,为开发商铺平了道路

漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。 

繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。 


要完整地阅读我们的NIST定位文件,请现在下载。

写在纸上的横幅:促进铺平道路的安全开发方法
下载我们向NIST提出的完整立场文件。

安全开发实践的认证框架。缺少的环节(目前)

到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。 

我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。 

开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。 

NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。


要完整地阅读我们的第二份NIST定位文件,请现在下载。

写在纸上的横幅:为安全开发实践创建一个认证框架
下载我们向NIST提出的完整立场文件。


网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。

你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。