写点什么

Marisa Fagen 访谈:安全卫士

2018 年 3 月 27 日

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018 年 3 月 27 日 19:00558
用户头像

发布了 1008 篇内容, 共 308.4 次阅读, 收获喜欢 273 次。

关注

评论

发布
暂无评论
发现更多内容

Flutter技术在会展云中大显身手

京东智联云开发者

flutter 跨平台 移动开发

为什么删除数据后,Redis内存占用依然很高?

Java架构师迁哥

Spock单元测试框架实战指南五 - void方法测试

Java老k

Java 单元测试 spock

LeetCode题解:45. 跳跃游戏 II,贪心从后向前,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

中国SaaS的病与痛?

ToB行业头条

话题讨论 | 聊聊那些年你重构过的代码?

xcbeyond

话题讨论

LeetCode题解:102. 二叉树的层序遍历,BFS,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

4项探索+4项实践,带你了解华为云视觉预训练研发技术

华为云开发者社区

AI 华为云 modelarts

密码学系列之:明文攻击和Bletchley Park

程序那些事

加密解密 密码学 程序那些事 明文攻击

如何使用 JuiceFS 在云上优化 Kylin 4.0 的存储性能?

苏锐

大数据 kylin 性能优化 JuiceFS

话题讨论 | 说说那些"Oh my god"的时刻

Kurtis Moxley

话题讨论

Java并发编程:进程、线程、并行与并发

码农架构

Java并发

四面阿里终于如愿拿到P7级offer【Java岗】,分享面经与面试资料

Crud的程序员

Java 程序员 java面试

区块链技术生态持续优化,五大趋势不容忽视

CECBC区块链专委会

区块链 场景应用

区块链打破数字医疗桎梏,赢数据未来新生

CECBC区块链专委会

区块链 医疗

Mock | 拦截ajax的两种实现方式

梁龙先森

Java 前端 前端进阶

只谈链不谈币,区块链会发展成什么样的方向?

CECBC区块链专委会

区块链

卧槽,牛皮了!某程序员苦刷这两份算法PDF47天,四面字节斩获心仪大厂offer!

Java架构之路

Java 程序员 架构 面试 编程语言

Norns.Urd 中的一些设计

八苦-瞿昙

C# 随笔 随笔杂谈 aop

GO 训练营第 3 周总结

Glowry

架构作业--大数据

Nick~毓

测试右移之日志收集与监控

BY林子

敏捷 软件测试

生产环境全链路压测建设历程第四篇 技术体系的发力

数列科技杨德华

话题讨论 | 对于懂得编程的人来说,编程对你来说有什么乐趣?编程大概是什么感觉?

xcbeyond

话题讨论

C++typename的由来和用法

良知犹存

c++

学习笔记3

Qx

最值得Deepin的思维模型“组合创新” | 技术人应知的创新思维模型 (3)

Alan

创新 思维模型 28天写作

小熊派开发实践丨小熊派+合宙Cat.1接入云服务器

华为云开发者社区

IoT 小熊派 实践

华为工程师:扔掉你手里的其他Netty资料吧,有这份足以

小Q

Java 学习 面试 Netty 网络

摄像机不智能,基本等于不讲武德

脑极体

架构词典:质量

lidaobing

架构 质量管理

Marisa Fagen访谈:安全卫士-InfoQ