您的组织真的为 DevSec 做好准备了吗?把它付诸测试。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
我们距离2020年还不到一半,但我们已经步入了创下严峻的数据泄露记录的正轨, 被盗数据增加了273% 与2019年上半年相比。如今,询问有多少数据更为准确 还没有 还被偷了。随着 COVID-19 疫情等世界性事件,这些攻击的频率和效力只会增加,目标越来越脆弱。
这是我们已经知道一段时间了:安全不再是可选的,我们的重点必须是先发制人。为了使之有效, 大家 在 SDLC 中必须具有安全意识,尤其是开发人员。这是 “DevSec” 部分 DevSecOps,这是一种理想的气候软件开发方法,但许多组织尚未做好充分准备,无法有效执行这一方法。
考虑到您的组织,请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何?
DevSec 自我评估:您的 SDLC 花园准备好迎接具有安全意识的工程师了吗?
- 内部开发过程中的安全性是重中之重吗?
一系列网络安全风险因素可能会让普通首席信息安全官彻夜难眠,但令人担忧的现实是,尽管许多公司将安全作为优先事项,但他们的内部方法可能不够强大,不足以减轻潜在的灾难(或者至少是AppSec团队面临的巨大头痛和软件的延迟交付)。
DevSecOps可能是当前的安全天堂,但很少有公司使用这种方法。如果你仍在使用敏捷——甚至是瀑布——那么安全性通常仍被视为专家的领域,这些专家与流程相去甚远,在 SDLC 的后期就被激活了,他们突然冒出来为他们的代码提供补丁来毁掉开发者的一天。在这样的环境中,推动 DevSec 文化将是一项艰巨的任务:开发人员热爱并优先考虑功能构建,而且根本没有足够的安全实践经验,无法将其视为理想的技能提升途径。实际上,他们与它的接触点可能是沮丧和消极情绪。必须迅速纠正这种情况,以便为参与软件开发过程的每个人灌输一种首要考虑的方法。
- 在威胁建模方面,您的组织还在追赶吗?
这是一个发人深省的统计数据 60% 的中小企业在网络攻击成功后的六个月内倒闭,就像其他灾害一样,如果没有适当的规划,影响要大得多。
威胁建模是安全最佳实践的关键要素,它允许 AppSec 专业人员评估攻击面的全部范围,并制定适当的防御、对策和规划。在完全采用 DevSecOps 的公司中,安全性在 CI/CD 管道的早期就已启用,这样就不会像过去那样减缓生产速度。安全、安全编码和持续交付都是流程的一部分,开发团队将获得所需的资源和曝光率,使他们成为引擎的主要组成部分,发布无懈可击的代码。
- 开发经理是否优先考虑安全最佳实践?
不管他们喜不喜欢,开发经理都是团队的榜样。这不仅仅是文化和氛围方面的问题,比如穿人字拖去办公室或者他们如何 “向上管理”。他们的工作重点将不可避免地被团队成员吸收,如果安全不是关键目标的一部分,也不是计划中的培训和支持,那么他们底下的工程师就会错过机会,业务面临的风险将超出应有的水平。
- 开发人员是否有理由关心安全性?
根据我的经验,让某人越位的最快方法是告诉他们他们必须做一些与他们当前方法不一致的事情,而不是告诉他们原因。
被告知 “改变” 意味着以前的方法是错误的,而在许多情况下,它只是一种增强,有望使以后的工作变得更容易、更高效。要真正接受 DevSec 运动,首先需要让开发人员有理由关心安全性——毕竟,在大多数组织中,这在很大程度上仍然是 “别人的问题”(即AppSec向导被锁在另一个房间里,很远,很远)。
如果安全不是一项共同责任,DevSecOps 根本行不通。开发人员需要正确的工具、支持和培训来尽自己的一份力量... 这需要时间作为整体安全计划的一部分进行推出和完善。最糟糕的方法是压倒和疏远的方法,当开发人员有太多相互竞争的优先事项,如果不让自己发疯就无法帮助管理这些优先事项时,就会出现这种情况。这是一种文化转变,不是一朝一夕的。
- 你是否依靠少数神奇的安全独角兽来完成许多人的任务?
安全专业人员正在加入 供应非常短缺,而且我们需要的远远超过目前的可用量。这是理所当然的,但是越来越多的开发人员转向更注重安全的职位。通常,他们的头衔可能是 “安全工程师” 或 “DevOps 工程师”(慢慢地,我们会看到这个标题变成 DevSecOps 工程师,运气好!)。Gun DevOps 工程师能够为几乎任何应用程序开发功能,同时使用真正的 CI/CD 管道进行部署。他们端到端地做所有事情,并且通常具有相当程度的安全意识。从这个意义上讲,它们有点神奇,因此很少见。
但是,一些公司犯了一个错误,那就是雇用这些专业工程师,让他们组成一个团队,并期望他们在开发过程的每个阶段都能遇到所有的安全问题,仅此一项就是万灵药。不堪重负 DevSecOps 魔术师的负担,你最终会回到起点 —— 在没有他们最初受雇执行的制衡、平衡和安全精度的情况下,发布不安全的代码。至关重要的是,开发团队必须提高技能,并在积极的安全环境中培养,这样他们才能有能力以有意义的方式分担负担。
找到您希望在组织中看到的变化。
如果你将强有力的培训作为安全计划的一部分,你将在开发队列中发现一些隐藏的宝石。这些人尽管在日常工作中可能有任何负面经历,但他们对安全编码和安全最佳实践充满热情。这些人是团队中安全卫士的主要候选人;他们是安全与工程之间的联系人,他们为他人树立了榜样,保持了较高的知名度,并帮助实施参与计划。他们的人际交往能力对于广泛传播安全乐趣,以及向管理层和安全团队宣传开发人员的需求也非常重要。
“它对我有什么好处?”对话是向前迈出的积极一步。
即使是最崇高的人类也需要一根 “胡萝卜” 才能将脚趾浸入陌生的领域,或者一项可能没有最愉快学习曲线的活动。
从 “开发” 跃升到 “DevSec” 是对开发人员职业生涯的巨大推动力。具有安全意识的开发人员一直在努力理解安全性,在他们可以控制的领域承担责任,并在理解唯一高质量的代码是安全代码的情况下进行操作。通常,开发人员希望改进、解决新问题并创建令人羡慕的功能,以帮助他们在同行中脱颖而出。为他们提供一条达到更高软件开发水平的途径,这是一个双赢的局面。
组建你的 DevSec 梦之队永远不会太晚。
如果你管理开发人员、领导一个 AppSec 意识小组,或者你是众多努力制定安全计划策略的人中的一员,那么现在是时候采取比 “向左移动” 更好的策略了。通过正确的培训、工具和环境,您可以为开发人员创建安全孵化器,这将为各方带来丰厚的回报。如果此清单突出显示了一些需要改进的领域,那么您就有很好的机会让您的组织为由DevSec领导的工程部门做好准备,该部门可以从SDLC一开始就降低风险。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
