仅仅向左转变是不够的。为什么从左边开始是你实现卓越软件安全的关键
在一个数字驱动的世界里,我们面临着越来越大的数据被盗风险。由于大型组织作为我们宝贵信息的守门人,许多人都认识到需要实施严格的安全标准。
围绕着 "左移 "的许多倡议,也就是在开发过程中更早地引入安全问题,只是没有足够的进展。这意味着我们仍在以错误的方式开始这一过程,最终为实现更安全的软件而退缩。我们必须从左边开始,进行文化上的转变,让开发团队积极地参与进来,用他们目前缺乏的知识来武装他们。然而,所有的培训和工具都是不平等的。
在这篇文章中,我们探讨了像安全意识和开发经理这样的关键领导者如何才能真正赋予他们的开发者群体权力,将他们转变为抵御昂贵的网络攻击的前线。
左移与从左开始。一个重要的区别。
长久以来,AppSec专家(包括我自己)一直建议我们必须 "左移"。为了保持DevOps的最佳实践,以及更好的软件安全结果,我们中的许多人建议,软件构建的安全部分必须在软件开发生命周期(SDLC)中更早出现。它不应该是最后的、昂贵的步骤--相反,它应该更接近于流程的开始,在软件项目开始运作时,AppSec团队应尽早参与。
这并不是坏建议,而且肯定比旧的做事方式要好(如果外面被盗数据的数量和用于盗窃数据的漏洞的年龄是任何迹象的话,那么这种方式无论如何是行不通的)。然而,如果我们真的开始 离开,安全的结果将是更积极的。
左移、从左开始......有什么区别?区别在于你如何让你的开发团队参与进来。实际上,他们是提供更安全的软件的关键,比后期的工具链和人工代码审查所能管理的成本要低得多。在一个理想的世界里,每一个编写软件的开发人员从一开始就拥有安全的编码知识和工具。他们会发现潜在的缺陷,在它们被提交之前(因此,清除和修复的成本要高得多)减轻它们。我们几十年来所看到的安全漏洞将大幅减少--这些漏洞仍然负责允许攻击者从后门进入。那些以SQL注入、跨站脚本和破坏性认证为形式的机会之窗将关闭。
然而,现在,在职业层面上对安全的重视程度根本不够,在职的安全编码培训也千差万别。因此,开发人员很少拥有他们所需要的东西,以使一个组织开始离开。现在是时候让那些处于领导地位的人一起工作并倡导更广泛的安全意识了,他们的直接知识和与开发人员的接触对推动项目的运作至关重要。毕竟,开发经理曾经坐在他们的位置上,在工具上,在最好的时候,安全空间难以驾驭。
开发人员不爱安全(尚未)......但你可以改变对话。
你知道这是怎么回事:向你的典型的开发人员提到 "安全",你可能会遇到最好的情况是瞠目结舌,最坏的情况是不解其意。一般来说,整个安全问题被看作是别人的问题。
开发人员的主要责任是建立功能完善、充满创新功能的软件,并在紧迫的项目时间内交付。安全问题很少是编码层面的优先事项,甚至可以被看作是快速交付和发挥创造力的一个繁琐障碍。AppSec的任务是仔细检查代码,进行笔测试,然后报告坏消息:在通常已经提交的代码中存在安全漏洞,而且在其他方面运行得很好。在一个资源和时间都很紧张的环境中,这是一个昂贵的过程,其设置必然会导致两个目标相同但语言完全不同的团队之间出现裂痕。
现在,在这种环境下,人们对强制性安全培训的接受程度可能会相当冷淡。但是,在每个开发人员中点燃安全心态的力量并不是一个空想。在正确的培训和支持下,他们可以开始在他们的软件中加入安全内容,并对他们能够控制的安全结果负责。如果开发人员自己能够处理常见的错误,那么就可以让昂贵的专家来解决真正复杂的问题。如果你在管理一个开发团队的位置上,你可以帮助弥合这一差距并帮助你的团队看到好处。
所有的培训都是不平等的。
你最后一次为学习新东西而感到兴奋是什么时候?在你这样做的时候,像 "强制性"、"合规性 "或 "17个小时的视频 "这样的词可能不会出现在你的脑海中。
开发人员也不例外。他们很聪明,有创造力,喜欢解决问题。看无休止的安全漏洞视频不太可能吸引他们,让他们记住这些内容,或者最终使他们的日常角色和职责具体化。在我担任SANS讲师期间,很早就发现最好的培训是实践性的,迫使参与者进行分析并接受智力上的挑战,使用真实世界的例子来测试他们的大脑并建立在先前的学习之上。游戏化和友好竞争也是让大家接受新概念的有力工具,同时在应用中保持有用和实用。
另一个可怕的因素是,很多安全培训都没有受到监控。没有人喜欢感觉到 "老大哥 "在看,但如果没有人检查它是否相关,那么花时间、金钱和精力进行教育的意义何在?
正确的解决方案可以使安全编码变得有趣、相关、有吸引力和可衡量。挑战你的开发人员,善待他们,使之成为一个特殊的事件。游戏化的培训点亮了大脑中的奖励中心,并提供激励,让他们继续学习,突破知识的界限,很简单,建立一个更高标准的软件,这是一个双赢。
安全文化健康检查。你的安全文化是否在维持生命?
在一个缺乏安全文化的环境中创建安全的软件,就像在脚踝上拴着一块巨石的情况下试图赢得马拉松比赛:几乎不可能,而且是不必要的困难。
游戏化的培训,头对头的tournaments ,以及对协助开发人员安全成长的承诺,对推动积极的安全文化有很大的帮助,AppSec和开发团队对彼此的日常工作有了更多的了解。更好的关系发展和茁壮成长,(通常是有限的)安全预算也不会因为一次又一次地修复相同的小的、恼人的bug的 "土拨鼠日 "场景而消耗殆尽。
还有一个强大的副产品:发掘出你从未意识到的安全冠军。适当的培训,让每个人都参与进来,同时也允许彻底的assessment ,可以发现那些不仅有安全方面的能力,而且积极表现出对安全的热情。这些拥护者在保持势头、作为团队之间的联系点、监督同行和维护最佳实践政策方面至关重要。实施一个坚实的冠军计划,包括认可和执行支持,是组织的一顶帽子,也是个人简历上令人印象深刻和支持他们未来的职业生涯。
当你致力于建立一种积极的安全文化时,责任就会被分担,并且可以实现更高层次的安全软件的卓越性。最终,软件开发生命周期中的每一个人都必须坚持一个简单的口号:如果它不是安全的软件,它就不是好软件。
传播信息。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
仅仅向左转变是不够的。为什么从左边开始是你实现卓越软件安全的关键
在一个数字驱动的世界里,我们面临着越来越大的数据被盗风险。由于大型组织作为我们宝贵信息的守门人,许多人都认识到需要实施严格的安全标准。
围绕着 "左移 "的许多倡议,也就是在开发过程中更早地引入安全问题,只是没有足够的进展。这意味着我们仍在以错误的方式开始这一过程,最终为实现更安全的软件而退缩。我们必须从左边开始,进行文化上的转变,让开发团队积极地参与进来,用他们目前缺乏的知识来武装他们。然而,所有的培训和工具都是不平等的。
在这篇文章中,我们探讨了像安全意识和开发经理这样的关键领导者如何才能真正赋予他们的开发者群体权力,将他们转变为抵御昂贵的网络攻击的前线。
左移与从左开始。一个重要的区别。
长久以来,AppSec专家(包括我自己)一直建议我们必须 "左移"。为了保持DevOps的最佳实践,以及更好的软件安全结果,我们中的许多人建议,软件构建的安全部分必须在软件开发生命周期(SDLC)中更早出现。它不应该是最后的、昂贵的步骤--相反,它应该更接近于流程的开始,在软件项目开始运作时,AppSec团队应尽早参与。
这并不是坏建议,而且肯定比旧的做事方式要好(如果外面被盗数据的数量和用于盗窃数据的漏洞的年龄是任何迹象的话,那么这种方式无论如何是行不通的)。然而,如果我们真的开始 离开,安全的结果将是更积极的。
左移、从左开始......有什么区别?区别在于你如何让你的开发团队参与进来。实际上,他们是提供更安全的软件的关键,比后期的工具链和人工代码审查所能管理的成本要低得多。在一个理想的世界里,每一个编写软件的开发人员从一开始就拥有安全的编码知识和工具。他们会发现潜在的缺陷,在它们被提交之前(因此,清除和修复的成本要高得多)减轻它们。我们几十年来所看到的安全漏洞将大幅减少--这些漏洞仍然负责允许攻击者从后门进入。那些以SQL注入、跨站脚本和破坏性认证为形式的机会之窗将关闭。
然而,现在,在职业层面上对安全的重视程度根本不够,在职的安全编码培训也千差万别。因此,开发人员很少拥有他们所需要的东西,以使一个组织开始离开。现在是时候让那些处于领导地位的人一起工作并倡导更广泛的安全意识了,他们的直接知识和与开发人员的接触对推动项目的运作至关重要。毕竟,开发经理曾经坐在他们的位置上,在工具上,在最好的时候,安全空间难以驾驭。
开发人员不爱安全(尚未)......但你可以改变对话。
你知道这是怎么回事:向你的典型的开发人员提到 "安全",你可能会遇到最好的情况是瞠目结舌,最坏的情况是不解其意。一般来说,整个安全问题被看作是别人的问题。
开发人员的主要责任是建立功能完善、充满创新功能的软件,并在紧迫的项目时间内交付。安全问题很少是编码层面的优先事项,甚至可以被看作是快速交付和发挥创造力的一个繁琐障碍。AppSec的任务是仔细检查代码,进行笔测试,然后报告坏消息:在通常已经提交的代码中存在安全漏洞,而且在其他方面运行得很好。在一个资源和时间都很紧张的环境中,这是一个昂贵的过程,其设置必然会导致两个目标相同但语言完全不同的团队之间出现裂痕。
现在,在这种环境下,人们对强制性安全培训的接受程度可能会相当冷淡。但是,在每个开发人员中点燃安全心态的力量并不是一个空想。在正确的培训和支持下,他们可以开始在他们的软件中加入安全内容,并对他们能够控制的安全结果负责。如果开发人员自己能够处理常见的错误,那么就可以让昂贵的专家来解决真正复杂的问题。如果你在管理一个开发团队的位置上,你可以帮助弥合这一差距并帮助你的团队看到好处。
所有的培训都是不平等的。
你最后一次为学习新东西而感到兴奋是什么时候?在你这样做的时候,像 "强制性"、"合规性 "或 "17个小时的视频 "这样的词可能不会出现在你的脑海中。
开发人员也不例外。他们很聪明,有创造力,喜欢解决问题。看无休止的安全漏洞视频不太可能吸引他们,让他们记住这些内容,或者最终使他们的日常角色和职责具体化。在我担任SANS讲师期间,很早就发现最好的培训是实践性的,迫使参与者进行分析并接受智力上的挑战,使用真实世界的例子来测试他们的大脑并建立在先前的学习之上。游戏化和友好竞争也是让大家接受新概念的有力工具,同时在应用中保持有用和实用。
另一个可怕的因素是,很多安全培训都没有受到监控。没有人喜欢感觉到 "老大哥 "在看,但如果没有人检查它是否相关,那么花时间、金钱和精力进行教育的意义何在?
正确的解决方案可以使安全编码变得有趣、相关、有吸引力和可衡量。挑战你的开发人员,善待他们,使之成为一个特殊的事件。游戏化的培训点亮了大脑中的奖励中心,并提供激励,让他们继续学习,突破知识的界限,很简单,建立一个更高标准的软件,这是一个双赢。
安全文化健康检查。你的安全文化是否在维持生命?
在一个缺乏安全文化的环境中创建安全的软件,就像在脚踝上拴着一块巨石的情况下试图赢得马拉松比赛:几乎不可能,而且是不必要的困难。
游戏化的培训,头对头的tournaments ,以及对协助开发人员安全成长的承诺,对推动积极的安全文化有很大的帮助,AppSec和开发团队对彼此的日常工作有了更多的了解。更好的关系发展和茁壮成长,(通常是有限的)安全预算也不会因为一次又一次地修复相同的小的、恼人的bug的 "土拨鼠日 "场景而消耗殆尽。
还有一个强大的副产品:发掘出你从未意识到的安全冠军。适当的培训,让每个人都参与进来,同时也允许彻底的assessment ,可以发现那些不仅有安全方面的能力,而且积极表现出对安全的热情。这些拥护者在保持势头、作为团队之间的联系点、监督同行和维护最佳实践政策方面至关重要。实施一个坚实的冠军计划,包括认可和执行支持,是组织的一顶帽子,也是个人简历上令人印象深刻和支持他们未来的职业生涯。
当你致力于建立一种积极的安全文化时,责任就会被分担,并且可以实现更高层次的安全软件的卓越性。最终,软件开发生命周期中的每一个人都必须坚持一个简单的口号:如果它不是安全的软件,它就不是好软件。
传播信息。
