向左移位
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
