新闻动态
聚集人力资源实时动态,发布某某人力最新新闻,欢迎您的关注!
公司动态
如何弥合开发人员和安全团队之间的差距
发布时间:2021-09-22 11:21
  |  
阅读量:
字号:
A+ A- A
尽管已经讨论了很多年,但devsec的明显断开可能是一个反复出现的障碍。例如,RSAC讨论了如何解决安全团队和开发团队之间的脱节问题。为了在正确的方向上取得一些进展,必须公开讨论这个问题并努力找到更好的解决办法,但人们也需要开始采取行动。最后,这两个团队正朝着一个共同的目标努力:促进技术进步和解决安全风险。根据人们的经验,你不能没有别人,他们都是至关重要的。
沟通不足
在项目开始时嵌入安全性的“简单”过程正好相反。开发人员经常对安全性要求和减慢他们速度的要求保持警惕。另一方面,安全团队对开发人员不遵守协议感到沮丧。结果,双方都关闭了通讯,窃听器逃走了。
ESG的现代应用程序开发安全报告发现,近一半的开发人员(48%)定期将易受攻击的代码推送到生产环境中。这通常是一种“鸡被斩首”的情况,开发商竞相修复它们。当然,人们知道解决生产中的bug是昂贵的。近20年前,人们帮助建立了第一个由通用电气员工组织的全面软件安全计划。当时,人们普遍引用NIST的调查结果,即一旦缺陷进入生产阶段(或100次?),修复缺陷的成本将增加60倍。现在,即使提到这些数据也很无聊。但它是一个常数是有原因的——那是因为它是真的。
为共同的目标而工作
与其将安全性视为繁文缛节措施,不如将需求定位为开发过程的重要部分,以避免项目中的障碍。尽管开发人员知道这一点,但他们正在努力达到速度目标,并以每小时一百万英里的速度按时交付。安全团队也是如此,他们仍然被积压的警报压得喘不过气来。如果安全和开发人员能够同步启动项目并使用相同的语言,这将帮助他们更好地理解威胁并克服它们。
实现这一点的一种方法是确保安全团队和开发团队都拥有他们作为一个团队来衡量和查看的KPI。例如,指标可以是解决方案中发现的安全缺陷数量和安全代码培训的完成情况。
说同样的语言
如前所述,使用相同的语言并理解开发人员/安全空间是至关重要的。两个团队都有一个理解代码的公平竞争环境。这就是为什么他们可以在同一页上。通过查看代码,安全团队可以更好地用他们理解的语言指导和建议开发人员,而不仅仅是给他们一个可能不适用的安全需求列表。浏览代码库从来都不是一件“有趣”的事情,但就产品安全而言,它必须花费时间。如果发现安全问题,开发人员必须打开对话。
让我们以制造汽车的发展过程为例。如果在设计构思阶段存在在整个生产过程中未被注意到的安全缺陷,那么最终产品可能是危险的——如此多的缺陷可能会导致潜在的生命损失。因此,汽车品牌必须从头到尾完成大量的测试和检查,以确认开发的每个部分都是安全的。这是为了确保没有任何东西通过网络。devsec也需要同样的方法。
协作工作
为了建立更大的协作意识和相互理解,鼓励团队举办以安全为重点的内部bug赏金竞赛或黑客竞赛。这种友好的竞争将培养社区意识,开发人员和安全团队可以尝试识别手头项目中的漏洞。尽管微软和twitter等知名公司要求外部人员查找缺陷,但内部缺陷奖励计划是经济高效的。例如,考虑建立一个由个人组成的领导委员会来识别最大的风险。
没有人希望安全成为事后诸葛亮的事情,但在创新的竞争中,安全往往被搁置一旁。人们一再看到,早期缺乏安全性可能会对最终产品产生不利影响。最大的创新可能会受到安全漏洞的阻碍。为了避免这一陷阱,更好的合作需要沟通和培养健康的紧张关系。通过合作,团队可以为每个人创造更安全的产品-双赢。

版权保护: 本文由 188体育直播_188电竞比分_188体育登录口 原创,转载请保留链接: http://www.gosugoon.com/xinwendongtai/gongsidongtai/39.html