QCon 演讲火热征集中,快来分享你的技术实践与洞见! 了解详情
写点什么

Marisa Fagen 访谈:安全卫士

  • 2018-03-27
  • 本文字数:1712 字

    阅读完需:约 6 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018-03-27 19:001137
用户头像

发布了 1008 篇内容, 共 395.5 次阅读, 收获喜欢 345 次。

关注

评论

发布
暂无评论
发现更多内容

公平的获得财富的机会,区块链通证经济是未来的必然趋势

CECBC

【架构实战营】毕业设计项目

wgl

架构实战营

架构训练营 模块六

Geek_16d2b8

架构训练营 模块六

【架构实战营】毕业总结

wgl

架构实战营

模块六作业

Geek_ec866b

架构训练营

一文搞懂I2C总线通信

不脱发的程序猿

嵌入式 通信协议 I2C协议

Salesforce服务可观测性设计模式

俞凡

微服务 可观测性 大厂实践 Salesforce

深度学习优化层技术

Clarke

架构训练营模块六

刘帅

电商系统微服务拆分

随欣所遇

架构训练营5期

Vuex在TSX中的改造方案:TS改造Vue2项目Vuex如何处置?

zhoulujun

Vue3 vue2 tsx vuex-class vuex-module-decorators

READS: Salesforce服务健康指标最佳实践

俞凡

微服务 最佳实践 可观测性 大厂实践 Salesforce

拆分电商系统为微服务

石小天

「架构实战营」

电商系统拆分为微服务

凌波微步

「架构实战营」

一文概述:云端常见的攻防及实践

穿过生命散发芬芳

3月月更

[Day1]-[广度搜索(BFS)] 二叉树最小高度

方勇(gopher)

LeetCode BFS 数据结构算法

电商系统微服务拆分

邹玉麒

「架构实战营」

另一个 effective go 中文版

蓬蒿

电商系统微服务拆分实践

IT屠狗辈

微服务 架构实战营 电商系统架构 架构拆分

「架构实战营」模块九《十万级到亿万级 IM 架构实战》作业

DaiChen

作业 「架构实战营」 模块九

模块九作业-设计电商秒杀系统

CH

架构实战营

如何保持知识与技能的先进性

长沙造纸农

学习方法 方法论 认知提升 学习笔记 技能提升

失眠的岁月,我们都交了哪些科技智商税?

脑极体

底什么是伪静态?为什么要做伪静态?

源字节1号

网站建设 SEO伪静态

「架构实战营」模块六 电商微服务框架设计

hxb

「架构实战营」

毕业总结

黄秀明

「架构实战营」

架构训练营第一期作业

Geek_bc9c8d

电商微服务架构拆分

Fingal

架构实战营

Web 3.0是什么?区块链热潮下2022年必懂的科技概念

CECBC

《直击本质》——读后上

圣迪

系统性思考 直击本质 金字塔原理 本质

JS中的函数参数默认值是如何写的?

Changing Lin

3月月更

Marisa Fagen访谈:安全卫士_安全_Rafiq Gemmail_InfoQ精选文章