认证安全意识。提升开发者的行政命令
如果说有这样一个神圣的时机,那么必须说拜登政府通过他们的行政命令(EO)宣布,解决美国政府加强联邦网络的计划,以及改善全国的网络安全标准和最佳实践。这一战略是在最近的两次破坏性网络攻击之后制定的:除了Colonial Pipeline天然气基础设施攻击之外,还有SolarWinds公司正在进行的供应链破坏。
虽然这些事件无疑在政府的各个层面引起了涟漪,但这一指令标志着网络安全的未来是一个令人兴奋的时刻。看来我们终于开始认真对待从头开始保护我们的数字存在,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
该条例涉及功能网络安全的许多方面,但首次具体概述了开发人员的影响,以及他们需要具备经过验证的安全技能和意识。多年来,我们一直在屋顶上大声疾呼,这是打击经常绊倒我们的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御广泛成功的途径。
各组织--以及联邦部门--应如何应对这一命令?让我们来解读一些主要类别。
勾兑 "是不存在的。
长期以来,我们一直指出大多数类型的网络安全培训对开发者来说是无效的。这些培训往往过于笼统,没有以一种能够吸引和激发预期结果(阅读:更安全的代码)的方式进行,而且触及的频率太低。更糟糕的是,很多公司满足于 "打勾 "的培训:这种方法提供最低限度的、"一劳永逸 "的基础知识,以满足操作要求,并在开发人员的名字旁边打上勾。这些教育策略使每一个CISO都如坐针毡,掰着手指希望他们的公司不会成为下一个零日漏洞的受害者。它们根本无法减少漏洞和创造更高质量的代码。
在拜登任务的第4节中,明确规定了一个组织需要证明他们的开发人员显示出有记录的、经过验证的安全合规性。
"准则应包括可用于评估软件安全的标准,包括评估开发人员和供应商本身的安全做法的标准,并确定创新的工具或方法,以证明符合安全做法。”
这其中有一个小问题:目前没有专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并与courses 和评估一起提高这些技能是最基本的,使公司能够设定目标并实现合规。当开发人员可以在一个实际的、实践的环境中展示核心能力时,这可以以一种有意义的、值得信赖的方式进行评估和认证。这是我们在Secure Code Warrior ,我们努力创建一个系统,可以利用可靠的认证,可根据他们的技术堆栈和组织要求进行定制。
这些技能是很有价值的,而且它们不能被自动化。认证可以将开发人员转变为一支有安全意识的力量,可以保护代码库免受阴险的威胁。
对开发者工具(以及一般的工具)的关注。
除了围绕验证安全编码实践的准则,EO对安全的自动化和工具方面做了相当深入的研究。
从安全的角度来看,有太多的代码被生产出来,人类无法单独处理,而自动化--作为广泛的技术堆栈的一部分--是每个安全程序的主要部分,它应该是这样的。然而,并非所有的工具都是平等的,也没有 "一种工具可以统治它们",可以在每种编程语言中发现每一个漏洞。一个伟大的安全计划需要一个细致入微的方法,特别是当它涉及到针对开发人员的工具和服务时。
EO的第3节概述了对供应商创建有资格被联邦政府使用的软件的期望,以及围绕开发过程中的工具使用的指导性准则。
"(iii) 采用自动化工具或类似程序,以维护可信的源代码供应链,从而确保代码的完整性;
(iv) 采用自动化工具或类似程序,检查已知和潜在的漏洞并加以补救,这些工具应定期运行,或至少在产品、版本或更新发布之前运行。”
开发者技术栈中的安全工具是快速提高安全最佳实践的方法之一,确保发布的产品有最好的机会在最后期限前完成,而不是被安全漏洞和其他显示的问题所阻碍。然而,问题是,开发人员仍然需要上下文学习,以最好地利用最强大的工具。对于他们来说,理解什么是被标记的,为什么它是危险的,以及如何补救是至关重要的,这将导致工具在一开始就能识别更少的错误。
最好的工具将与开发人员的环境相结合,协助他们产生更高质量(和更安全)的代码,并确保安全保持在首位。
确保供应链的安全。
我最喜欢EO中的一个部分是确保软件供应链安全的全面计划。考虑到SolarWinds的活动,这并不令人惊讶,但这是一个重要的亮点。
"联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,没有充分关注软件抵御攻击的能力,也没有足够的控制措施来防止恶意行为的篡改。迫切需要实施更加严格和可预测的机制,以确保产品安全地运行,并符合预期......联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,优先解决关键软件的问题。”
这项裁决将影响到任何希望与美国政府做生意的软件公司,但它应该作为各地的标准来应用。第三方供应商(更不用说使用第三方组件的开发者)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到履行变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 "额外的一英里",但它们应该是网络安全最佳实践的黄金标准所固有的。
充满信心的航运安全代码长期以来一直是我们行业的一个痛点,但这是一个完美的机会,可以评估当前的流程,并带领人们向加固的软件和云基础设施发起挑战,让那些落后的人羡慕不已。现在就与我们交谈,了解你如何利用 Courses 评估和开发人员工具来认证你的下一个安全意识的开发人员团队。
.png)
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
认证安全意识。提升开发者的行政命令
如果说有这样一个神圣的时机,那么必须说拜登政府通过他们的行政命令(EO)宣布,解决美国政府加强联邦网络的计划,以及改善全国的网络安全标准和最佳实践。这一战略是在最近的两次破坏性网络攻击之后制定的:除了Colonial Pipeline天然气基础设施攻击之外,还有SolarWinds公司正在进行的供应链破坏。
虽然这些事件无疑在政府的各个层面引起了涟漪,但这一指令标志着网络安全的未来是一个令人兴奋的时刻。看来我们终于开始认真对待从头开始保护我们的数字存在,没有比现在更好的时机来推动更好的标准和更高质量的软件了。
该条例涉及功能网络安全的许多方面,但首次具体概述了开发人员的影响,以及他们需要具备经过验证的安全技能和意识。多年来,我们一直在屋顶上大声疾呼,这是打击经常绊倒我们的常见漏洞的前进方向,而政府授权与这种方法保持一致是网络防御广泛成功的途径。
各组织--以及联邦部门--应如何应对这一命令?让我们来解读一些主要类别。
勾兑 "是不存在的。
长期以来,我们一直指出大多数类型的网络安全培训对开发者来说是无效的。这些培训往往过于笼统,没有以一种能够吸引和激发预期结果(阅读:更安全的代码)的方式进行,而且触及的频率太低。更糟糕的是,很多公司满足于 "打勾 "的培训:这种方法提供最低限度的、"一劳永逸 "的基础知识,以满足操作要求,并在开发人员的名字旁边打上勾。这些教育策略使每一个CISO都如坐针毡,掰着手指希望他们的公司不会成为下一个零日漏洞的受害者。它们根本无法减少漏洞和创造更高质量的代码。
在拜登任务的第4节中,明确规定了一个组织需要证明他们的开发人员显示出有记录的、经过验证的安全合规性。
"准则应包括可用于评估软件安全的标准,包括评估开发人员和供应商本身的安全做法的标准,并确定创新的工具或方法,以证明符合安全做法。”
这其中有一个小问题:目前没有专门针对开发人员的行业标准认证。能够对开发人员的安全编码技能水平进行基准测试,并与courses 和评估一起提高这些技能是最基本的,使公司能够设定目标并实现合规。当开发人员可以在一个实际的、实践的环境中展示核心能力时,这可以以一种有意义的、值得信赖的方式进行评估和认证。这是我们在Secure Code Warrior ,我们努力创建一个系统,可以利用可靠的认证,可根据他们的技术堆栈和组织要求进行定制。
这些技能是很有价值的,而且它们不能被自动化。认证可以将开发人员转变为一支有安全意识的力量,可以保护代码库免受阴险的威胁。
对开发者工具(以及一般的工具)的关注。
除了围绕验证安全编码实践的准则,EO对安全的自动化和工具方面做了相当深入的研究。
从安全的角度来看,有太多的代码被生产出来,人类无法单独处理,而自动化--作为广泛的技术堆栈的一部分--是每个安全程序的主要部分,它应该是这样的。然而,并非所有的工具都是平等的,也没有 "一种工具可以统治它们",可以在每种编程语言中发现每一个漏洞。一个伟大的安全计划需要一个细致入微的方法,特别是当它涉及到针对开发人员的工具和服务时。
EO的第3节概述了对供应商创建有资格被联邦政府使用的软件的期望,以及围绕开发过程中的工具使用的指导性准则。
"(iii) 采用自动化工具或类似程序,以维护可信的源代码供应链,从而确保代码的完整性;
(iv) 采用自动化工具或类似程序,检查已知和潜在的漏洞并加以补救,这些工具应定期运行,或至少在产品、版本或更新发布之前运行。”
开发者技术栈中的安全工具是快速提高安全最佳实践的方法之一,确保发布的产品有最好的机会在最后期限前完成,而不是被安全漏洞和其他显示的问题所阻碍。然而,问题是,开发人员仍然需要上下文学习,以最好地利用最强大的工具。对于他们来说,理解什么是被标记的,为什么它是危险的,以及如何补救是至关重要的,这将导致工具在一开始就能识别更少的错误。
最好的工具将与开发人员的环境相结合,协助他们产生更高质量(和更安全)的代码,并确保安全保持在首位。
确保供应链的安全。
我最喜欢EO中的一个部分是确保软件供应链安全的全面计划。考虑到SolarWinds的活动,这并不令人惊讶,但这是一个重要的亮点。
"联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,没有充分关注软件抵御攻击的能力,也没有足够的控制措施来防止恶意行为的篡改。迫切需要实施更加严格和可预测的机制,以确保产品安全地运行,并符合预期......联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,优先解决关键软件的问题。”
这项裁决将影响到任何希望与美国政府做生意的软件公司,但它应该作为各地的标准来应用。第三方供应商(更不用说使用第三方组件的开发者)对其安全措施缺乏透明度,这使得评估、验证和宣布网络安全最佳实践得到履行变得异常困难。我们必须分析我们使用的供应商和他们编写的软件。这些行动可能被视为 "额外的一英里",但它们应该是网络安全最佳实践的黄金标准所固有的。
充满信心的航运安全代码长期以来一直是我们行业的一个痛点,但这是一个完美的机会,可以评估当前的流程,并带领人们向加固的软件和云基础设施发起挑战,让那些落后的人羡慕不已。现在就与我们交谈,了解你如何利用 Courses 评估和开发人员工具来认证你的下一个安全意识的开发人员团队。
