如何成为一名出色的 DevSecOps 工程师
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
