这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中,我们将详细介绍AppSec专家如何与开发经理密切合作,以增强开发人员的能力,加强SSDLC,并从一般立法中获得具体成果。
合规 "这个词并不令人兴奋。它是正式的、干巴巴的、指令性的......甚至在语气上有点限制性。如果它有颜色,那就是米色。而且,它似乎与任何形式的创造性环境或创新不一致。
作为一个开发人员,我的 "合规 "经验通常意味着(纵向)阅读一些指南或观看演示,然后再回到编码功能,并专注于创建客户会使用和喜爱的软件。每个人都保留了他们当下能做的事情(并试图在任何时候都做正确的事情),但合规指南--尤其是那些围绕安全最佳实践的指南--通常不是以开发人员为目标受众而编写的,任何所需的行动都可能是不明确的。在这种情况下,仅仅停留在当前的目标上就太容易了。
问题是,安全的软件开发在任何公司都不再是一个 "不错的选择";它是(或应该是)每个组织的头等大事......如果它持有大量敏感的客户信息,那么当涉及到网络攻击时,该公司已经成熟了。开发人员是第一个接触代码的人,因此,他们应该和团队的其他成员一样参与到任何安全合规措施中。
但是,等等...听我说完。这并不意味着每个人都必须成为僵化的、没有创造力的开发和软件成果的奴隶。这意味着企业有机会和权力共同创造更高标准的代码。迄今为止,世界正在慢慢赶上这个事实,即开发人员还没有完全掌握正确的工具来使安全成为优先事项(孤立的安全专家不能单独承担这个责任)。然而,随着行业走向以安全为共同责任的DevSecOps的未来,当设置成功时,他们可以帮助阻止反复出现的漏洞的流动。
PCI-DSS指南涵盖了银行卡支付网关的在线安全合规性--这是我们大多数人经常使用的服务。这些准则是全球适用的,他们实际上已经详细列出了开发人员必须做的事情,以保持与他们的任务一致的标准,同时还有一些跨越电子商务业务方面的合规文件。
数据泄露是可怕的、破坏声誉的风险,是企业无法承受的,而网络安全风险投资公司预测,2021年每天的零日泄露将达到一个,这是软件交付过程中的每个人都可以帮助打击的事情。
让我们来分析一下PCI-DSS的建议,以及它们如何在整个团队中发挥作用。
嘿,应用安全和合规团队。所有的开发者培训都是不一样的
大型(甚至小型)组织中的开发人员很少对他们在工作中接受的培训有大量的投入。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然比它们应该的要少。对安全培训的需求提供了一个很好的机会,不仅可以启动组织的合规性,而不至于让每个人都感到厌烦,还可以开始暖和与开发团队的冰冷关系。
在PCI合规性方面,你可以看到他们的指导方针对运行支付网关的任何软件所期望的结果是具体的;在其他目标中,他们希望应用程序得到加固(对阻止恶意代码注入或篡改至关重要),最小特权控制和对常见漏洞的全面认识...至少。所有与持卡人数据打交道的人员都必须接受充分的培训,对于开发人员来说,这种培训可以使他们从一开始就成功地编写安全代码。
官方的维护PCI-DSS合规性的最佳实践文件详细介绍了围绕安全意识、开发人员需求和适当培训的一些直接概念,比如。
Copyright © 2006 - 2020 PCI安全标准委员会, LLC.保留所有权利。
这让我们了解到了用必要的技能来武装开发人员所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比另一个更有效。PCI-DSS开发者指南》更直接一些,将OWASP的前10名作为学习查找和修复最常见漏洞的基准,以及一些认证项目。
但是......问题来了。毫无疑问,你会从各种工作场所的培训和合规性举措中了解到,它们在质量和未来的成功方面会有很大的不同。而当涉及到开发人员时,许多安全编码培训项目似乎并没有迎合我们的需求、工作方式,甚至我们的日常工作也没有任何意义。在这种情况下,不是所有的培训都是平等的,也不是所有的培训都能使软件更安全。当然,这与你期望的结果完全相反,也不会使你自己的工作压力有任何明显的减少。如果你想减轻负担,阻止常见的漏洞造成潜在的灾难,你就需要搭建一座桥梁。
与工程经理一起弥合安全技能差距
直接与工程经理合作,找到一个适合的解决方案,同时还能被实际需要做的人所接受,是实现积极安全成果的快速通道。他们将对自己的团队有更直接的了解,并能说出以前使合规性培训变得困难的任何障碍(除了它不是一个好的经验,大多数时候)。
基于课堂的培训、视频点播和任何一次性的、打勾的练习都很难保持现状;这些都是静态的解决方案,无法跟上网络安全行业不断变化的形势。最终,工程经理希望看到时间承诺的价值,重要的是与他们合作,并提供可行的选择,以满足每个人的共同目标:更安全和合规的代码。
那么,好的培训是什么样子的?通过大量的、一次性的信息来学习如何安全地编码是没有什么意义的。一点一滴、循序渐进的学习过程更容易记忆和应用,而且绝对必须使用每天使用的语言和框架。就个人而言,我想接受挑战,我想看到我的努力有一个目的--我们都已经够忙了,对吗?
为了遵守上述PCI-DSS的最佳实践,根据所选择的解决方案,管理人员可能会发现自己不得不把不同的courses ,以涵盖整个企业使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规性团队很难评估对软件的安全性和漏洞减少的影响。共同合作,找到合适的方案,而不是急于进入错误的选项,追逐快速的结果。否则,你可能最终会得到一个科学怪人的培训方案......而这看起来非常可怕。
感谢大家对这个PCI-DSS迷你系列的第一部分的关注。在最后一章中,我们将讨论CISO和CTO如何帮助这种文化转型,启用团队,以及安全前线 "你的开发者队伍 "如何利用PCI-DSS意识和合规性来发挥他们的优势。