自美国政府网络安全与基础设施安全局(CISA)发布其全面的《安全设计指南》以来,已经过去了两年时间,这标志着影响软件制造商的一个分水岭。在提高软件质量和安全标准方面,第一次有了明显的高层支持,同时也推动了供应商(而非最终用户)对确保代码在运输过程中不存在漏洞负责。
然而,事实证明,在企业层面实际执行这些原则并没有达成共识。在安全专业人士中,对于什么是 "安全设计 "似乎还没有达成共识,更不用说实现 "安全设计 "的标准途径了。 Secure Code Warrior安全代码战士》采访了专注于构建软件的企业安全专业人士,深入了解他们目前采用的安全设计原则,包括如何在当前的安全态势和软件开发生命周期(SDLC)中实施安全设计原则。很明显,在实施 CISA 指导方面没有一个被广泛接受的标准,也没有确定成功推广的有效基准。如果我们作为一个行业,要想从强化的安全责任和软件质量中获益,就必须迅速纠正这种情况。
在本研究报告中,Secure Code Warrior 联合创始人彼得-丹修(Pieter Danhieux)和马蒂亚斯-马杜(Matias Madou)博士,以及专家撰稿人、前美国国家网络总监克里斯-英格利斯(Chris Inglis)(现任帕拉丁资本集团战略顾问)和帕拉丁全球研究所高级总监德文-林奇(Devin Lynch),将揭示对企业安全领导者(包括首席信息安全官、应用安全副总裁和软件安全专业人士)进行的二十多次深入访谈的主要发现,其中包括:
- 深入了解企业面临的常见安全计划挑战;
- 设计安全倡议的作用,包括如何在团队中启动和分配这些倡议;
- 人工智能在软件开发中的作用以及现代威胁建模;
- 对最佳实践的解释,以及精确数据和基准在整个行业与可行的 "设计确保安全 "战略保持一致方面所能发挥的作用。
.png)
.avif)
