这篇采访最初出现在 网络新闻.
尽管安全工具和服务很普遍,但公司仍在努力跟上不断变化的威胁形势。
这可以归因于开发人员缺乏安全意识和培训,这可能导致风险代码被发布并被恶意行为者利用。虽然像防病毒软件或强大的漏洞扫描解决方案这样的安全措施可以增加一层安全,但我们今天的嘉宾解释说,这一切都始于一个以安全为重点的开发团队。
为了讨论如何培训开发人员识别和减轻安全威胁,CyberNews的团队与Pieter Danhieux进行了会谈,他是一家公司的首席执行官兼联合创始人。 Secure Code Warrior该公司提供了一个learning platform 和一套以开发人员为中心的工具,协助开发团队浏览安全漏洞。
你的旅程是怎样的?Secure Code Warrior 的想法是如何产生的?
作为一个年轻的书呆子,我着迷于拆解技术,以发现里面有什么,以及它如何工作。令我的家人和我们共同的电器感到欣慰的是,我最终对硬件和软件采取了同样的方法,寻找突破和打破它的方法。多年来,我专注于与学生、同事和安全社区分享我的 "破解 "技能,展示如何发现、使用和滥用软件中的错误。后来,我重新专注于提高防御者的技能,在课堂环境中教给开发者良好、安全的编码模式,并帮助他们了解常见的漏洞以及如何避免它们。我还从事咨询工作,为大公司提供建议,帮助他们改进安全计划,特别是在开发人员参与方面。正是在这段时间,我与现在我在Secure Code Warrior 的创始团队建立了联系。我们一起了解到安全和开发团队在处理代码级漏洞时面临的痛点,以及大多数针对提高开发人员安全技能的培训方案存在的问题。我们开始着手设计一个learning platform ,它可以在企业层面上进行扩展,同时仍然保持对开发人员的乐趣和吸引力。最终,我们希望创建一套适合开发者工作环境的工具,减少破坏性,并帮助他们建立安全第一的心态。而且,我们着手使之尽可能地具有语言的灵活性和内容的丰富性。
你能向我们介绍一下你的工作吗?你们帮助驾驭的主要挑战是什么?
最终,我们支持企业通过消除代码中使用不良安全模式所带来的安全摩擦和延误来加快他们的软件开发。我们已经创建了一个learning platform 和一套以开发人员为中心的工具,协助开发团队浏览常见的安全漏洞,其中许多漏洞已经存在了几十年,并继续使公司暴露在网络风险中。他们持续存在的原因是,开发人员缺乏培训和技能来补救这些代码级别的问题,并且经常通过持续使用不良的编码模式和技术来引入这些问题。他们没有在高等教育阶段学习安全编码,大多数工作场所的培训计划在提供与他们日常工作相关的内容方面是无效的,此外,由于频率太低,无法真正对代码质量和安全产生长期的影响。我们的解决方案力求提供有吸引力的相关技能发展,改变编码行为,帮助他们在现实世界中把安全放在第一位。我们越来越多地与开发人员最熟悉的环境相整合,我们对上下文学习的关注给了用户保留关键教育成果的最佳机会。我们还努力以一种帮助开发人员从积极、有趣的角度看待安全问题的方式,奖励成功并建立社区。
由于学习安全编码对一些人来说可能听起来很乏味,你是如何做到让你的培训既有效又有娱乐性?
我们的旗舰网站learning platform 是以开发人员的参与为前提而设计的。最受欢迎的功能之一是Tournament 模式,参与者可以与他们的同伴测试他们在培训中获得的知识。每一个正确的答案都有分数,并且在整个tournament 。我们在社区活动和会议上开展这些活动,我们的一些客户已经做了令人难以置信的复杂的主题,每个人都穿着服装来。这是一个很好的团队建设经验,也是用披萨、奖品和打破常规的完美时间来庆祝对提高技能的承诺。此外,我们的内容一般有60多个编程框架,使用他们在日常工作中会实际看到的真实代码片段。相对于观看视频或年度合规考试而言,当内容与实际问题高度相关并有助于解决实际问题时,保持参与要容易得多。
你认为现在的开发者遇到的主要挑战是什么?
我认为有一点很重要,那就是开发人员想做得很好,但他们在教育或职业方面没有得到充分的安全保障。这也是他们从安全角度所面临的许多问题的关键。他们还倾向于将安全视为其职责范围之外的事情,在绝大多数组织中,他们的KPI不包括任何与安全编码结果相关的内容。如果我们要看到代码级漏洞数量的变化,这种现状需要被打破。然而,开发人员需要正确的支持和工具,以成为我们希望看到的变化,挑战在于有效的赋能,给他们时间进行培训,并在现在投资提高技能,以实现以后的安全速度。
最近发生的全球事件对你的工作领域有何影响?
虽然每个企业无疑都感受到了当前全球气候对其目标、预测和预算的一些影响,但迄今为止,我们很幸运地度过了这场风暴。网络安全是大多数企业不可谈判的要素,我们努力保持与客户和潜在客户对话的一部分。
在开发软件或应用程序时,组织应遵循哪些最佳实践?
每个组织都有其细微的差别,但一般来说,那些以最佳安全实践运作的公司都愿意跳出框框,尝试不同的方法。他们不会忘记人的力量对安全结果的积极影响。在大多数情况下,开发人员在安全计划中不是一个巨大的考虑因素。然而,面对世界范围内的安全技能差距,不可能在短时间内得到填补,具有安全功能的开发人员可以帮助降低风险,并从软件创建的角度实现合规性。他们可以在流程的最早和最便宜的阶段产生影响。
除了安全编码工具,你认为还有哪些措施或做法不仅可以提高,而且可以保障企业的运营?
每个企业都应该有某种基于角色的安全培训。有大量的威胁存在于代码级别的漏洞之外,威胁者试图利用这些漏洞,所以组织中的每一个人都需要对安全原则有一些定期的基础知识,因为它们适用于他们的工作。在这个意义上,从办公室经理到会计团队的每个人都应该理解和接受他们在网络安全行动和意识方面所扮演的角色。
鉴于目前的经济环境,CISO在以最低成本保持企业安全方面面临很大压力,您对他们有什么建议?
在这种环境下,CISO确实需要运用一些创造力,特别是随着网络安全立法的要求越来越高,在某些情况下,导致CISO在发生漏洞时要承担个人责任。再加上裁员,你就会发现,在编写同样数量的软件时,更少的工程师将被要求承担更多的责任。CISO可以通过解决拖累他们的主要路障之一来帮助企业实现成功:安全。
到目前为止,解决代码级安全漏洞和错误配置的最便宜的阶段是在软件发货之前,这自然使开发人员处于减少这种风险的首要位置。然而,他们需要有针对性的支持来实现这一目标。如果他们为工程组群提供以开发人员为先的工具,并考虑到他们当前的工作流程和技术堆栈,那么安全的速度是可能的。他们需要能力来实现高速的安全准确性,这最好通过向他们展示如何使用安全的编码模式和更快地修复事情来解决。
对于全面的开发人员培训的成本,你基本上可以致力于从源头上消除漏洞,在软件开发生命周期(SDLC)后期节省时间和金钱。随着大规模攻击的频繁发生,CISO所承担的责任比历史上任何时候都要多,我们必须停止指责网络安全技能短缺的落后。优先考虑防御性安全实践,提升已经在你面前的人员。
Secure Code Warrior ,未来会怎样?
我们希望继续创新,在我们推向市场的解决方案中把开发者放在首位。我们专注于使他们能够在不影响功能交付速度的情况下提供安全性,也不影响他们在处理多个优先事项时的理智。
我们的目标是协助企业彻底改变他们的防御性安全计划,我们希望支持安全的开发者成为这个故事的英雄。请注意这个空间。