你的开发人员是风险的第一线还是防线?根据我们的安全编码检查表为您的公司评分

发表于2017年9月27日
作者:Pieter Danhieux
案例研究

你的开发人员是风险的第一线还是防线?根据我们的安全编码检查表为您的公司评分

发表于2017年9月27日
作者:Pieter Danhieux
查看资源
查看资源

如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。

在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。

现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。

我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。

1.你的C级主管是否认识到,传统的网络安全是不够的?

使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。

2.你是否从一开始就考虑到安全问题?

目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。

3.你是否真正建立了安全技能,而不是只提供知识?

大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。

4.你是否用实时指标来衡量你的安全编码技能?

重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。

5.你确定你的外包供应商应用了安全编码技术吗?

许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。

6.你的开发人员是否了解最常见的安全弱点?

85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。

7.你有内部安全推行者吗?

每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。

8.你是否为你的开发人员投资了工具以使安全编码更容易?

在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。

随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。

你的组织是如何对照这个检查表的?

随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。
查看资源
查看资源

作者

皮特-丹休

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

你的开发人员是风险的第一线还是防线?根据我们的安全编码检查表为您的公司评分

发表于2017年9月27日
作者:Pieter Danhieux

如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。

在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。

现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。

我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。

1.你的C级主管是否认识到,传统的网络安全是不够的?

使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。

2.你是否从一开始就考虑到安全问题?

目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。

3.你是否真正建立了安全技能,而不是只提供知识?

大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。

4.你是否用实时指标来衡量你的安全编码技能?

重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。

5.你确定你的外包供应商应用了安全编码技术吗?

许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。

6.你的开发人员是否了解最常见的安全弱点?

85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。

7.你有内部安全推行者吗?

每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。

8.你是否为你的开发人员投资了工具以使安全编码更容易?

在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。

随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。

你的组织是如何对照这个检查表的?

随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。