-
-
[分享]如何打破Sec、 Dev和Ops之间的孤岛?
-
发表于: 2021-10-22 10:40 5717
-
在多数企业里,软件安全只是检测部门的职责,但随着对网络安全要求的提高,软件安全应该是整个团队都应有的觉悟。
太多的软件开发团队、高管和用户认为安全只是工具、密码学、编码、应用程序和各种硬件设备。但实际上,这也是一种心态。简而言之,团队必须认真考虑安全文化才能构建真正安全的软件。
没有什么比应用程序安全性更重要的了。开发人员必须将风险、威胁和安全规则内部化。但如果他们在不理解的情况下同意这些规则背后的基本原理,他们很可能会遵守法律条文而不是发自内心的去做安全这件事。
1.安全人人有责
开发人员可能是维护安全的最关键参与者,这仅仅是因为广泛使用的应用程序内部的安全漏洞可能会造成广泛的破坏。然而,安全需要被纳入软件开发生命周期的每一个阶段,并由参与其中的每个人参与。
企业需要打破sec dev和ops之间的孤岛。简而言之,让每个人都了解所有参与者都在以自己的方式努力帮助公司蓬勃发展。
2. 听取参与 SDLC 的人的意见
当企业要求每个人都参与软件的安全性时,它必须接受这个庞大而多样的组织提供的关于SDLC安全性过程的输入和反馈。特别是,如果这个反馈使得软件获得了一个改进的机会,帮助开发人员在尽可能不费力的情况下使软件更加安全。
在可行的情况下,利用静态代码安全检测等自动化工具在遭到网络攻击之前发现和消除问题。以最小化误报和漏报的方式这样做,因为这两者会使开发人员失去对工具的信任和在安全上的价值。使用实时、交互式报告结果的工具,而不是冗长的扫描时间,长扫描时间会降低开发效率。此外,请确保系统不会提供快速过时的静态信息。
3. 将培训方面纳入安全计划
首先,安全工具必须尽可能经常和具体地提供补救建议。更重要的是,代码安全检测应提供完全可见性,不仅针对实际问题,而且针对潜在问题。
其次,投资于高质量的开发人员教育,重点是构建安全软件的实际方面。这不一定是昂贵的或耗费时间的,因为有大量免费资源可用。建议可以通过OWASP,推动应用安全领域的主要非营利组织,定期发布的材料来了解网络安全的相关信息。
4.没有安全就没有质量
如果软件提供未经授权的访问、泄露敏感数据或与企业中的其他应用程序冲突,如何才能认为软件是高质量的?
高质量等于高安全性。不要将出色的功能与出色的软件混淆,这一点至关重要。优秀的软件几乎总是会提供出色的功能和易用性,但如果它带来安全漏洞、停机、诉讼和取证调查,那么它在现实中将多糟糕?
5. 获得高层的支持和参与
各级管理人员都需要了解组织的安全目标并熟悉安全软件流程的投资回报率。这些是 CFO和CEO以及董事会成员所接受的概念。无论软件是供内部和合作伙伴使用,还是最终产品要对外销售,使用他们的语言始终是最好的沟通方式。
安全代码意味着更快的上市时间、更顺畅的销售流程、更快乐的最终用户客户等等。
静态代码安全检测等自动化工具允许开发人员和运营团队将更多时间合精力用于构建应用程序中更有趣的部分,这等于在做好安全的同时提高了开发效率。
参读链接:
https://hdivsecurity.com/bornsecure/five-steps-to-build-a-secure-software-development-culture/
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课