10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

Marisa Fagen 访谈:安全卫士

  • 2018-03-27
  • 本文字数:1712 字

    阅读完需:约 6 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018-03-27 19:001485
用户头像

发布了 1008 篇内容, 共 431.0 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

SpringCloud Gateway详解与配置

小黄鸭技术

Gateway 9月月更

小间距LED显示屏更受欢迎

Dylan

LED显示屏 led显示屏厂家

什么是跨域,后端工程师如何处理跨域

C++后台开发

后台开发 后端开发 跨域 C++开发 后端开发工程师

关于进阶这件事,这位 Python 大佬有话说

图灵社区

Python 程序员 进阶 计算机

软件测试 | 测试开发 | 测试面试题集锦(六)| 软素质篇与反问面试官篇(附答案)

测吧(北京)科技有限公司

测试

深入浅出带你走进Redis!

Java-fenn

Java

关于进阶这件事,这位Python大佬有话说

图灵教育

Python 程序员 进阶 计算机

智慧楼宇:东京建物引入“ZETA+AI”物联监测方案,实现楼宇预测性维护

ZETA开发者

人工智能 AWS 预测性维护 设备预测性维护 ZETA

可观测性的常见用例|Techtarget

观测云

运维智能化的三大关键技术

穿过生命散发芬芳

9月月更 运维智能化

Js 异步处理演进,Callback=>Promise=>Observer

掘金安东尼

前端 异步 函数式 9月月更

软件测试 | 测试开发 | 测试开发基础 | 计算机网络篇(二):物理层与数据链路层

测吧(北京)科技有限公司

测试

Go 语言官方依赖注入工具 Wire 使用指北

Java-fenn

Java

Wallys/QCN9024/QCN9074/QCN6024 802.11ax 4x4 MU-MIMO 6GHz wifi6E//AR9582 2x 2 900M 802.11an

wallys-wifi6

QCN9074 QCN9024 QCN6024

工作笔记之 SELECT 语句在 SAP ABAP 中的用法总结(上)

宇宙之一粟

数据库 SAP abap select 9月月更

软件测试 | 测试开发 | 聊聊后端Web开发框架(Python)的简单使用

测吧(北京)科技有限公司

测试

日系“怎样”系列新版升级,一本书讲透程序运行的方方面面

图灵教育

Python 程序员 C语言 计算机

揭秘 Jetpack Compose 快照系统 | 开发者说·DTalk

Java-fenn

Java

【建议收藏】17个XML布局小技巧

Java-fenn

Java

云渲染快吗?云渲染平台具体怎么用??

Renderbus瑞云渲染农场

云渲染 Renderbus瑞云渲染 云渲染平台

软件测试 | 测试开发 | JMeter 插件 Ultimate Thread Group 完成梯度递增场景的压测

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | 测试平台开发-前端开发之数据展示与分析

测吧(北京)科技有限公司

测试

k8s 中 Pod 的深入了解

Java-fenn

Java

怎样体面地讲道理?

图灵教育

写作 表达 逻辑

软件测试 | 测试开发 | 版本控制神器GitHub的基本使用与踩坑,教你一铲子填平!

测吧(北京)科技有限公司

测试

大咖说·实在智能|RPA上云加速电商数字员工时代的到来

大咖说

RPA 全域生参

软件测试 | 测试开发 | 该如何测客户端专项测试?

测吧(北京)科技有限公司

测试

图解 Kafka 源码实现机制之客户端缓存架构

Java-fenn

Java

人人都用 Bootstrap 的年代过去了,如今我很难向开发者们推荐 Bootstrap 5

Java-fenn

Java 编程 程序员

Lath(纯前端容器)打造页面间的无缝平滑连接体验

Java-fenn

Java

GoLand 插件推荐

非晓为骁

插件 goland goland插件

Marisa Fagen访谈:安全卫士_安全_Rafiq Gemmail_InfoQ精选文章