将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习:第 1 部分-AppSec
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
