想象这样一幅图景.
你是一个拥有相似技能的开发团队中的摇滚明星, butt-kicking, 零缺陷编写编码忍者. 您的团队在过去的几个月里一直在编写代码, 结尾故事和史诗, 建设下一代, 令人惊叹的, 为您的商业客户提供颠覆行业的功能. 你离发布还有几天的时间,你把你的孩子交给安全团队进行测试.
和 BAM.
你会收到一份二三十页长的安全评估报告. 你的应用充满了安全漏洞. 你曾经的美丽, 纯粹而完美的应用爱子已经蜕变成了尖叫, 份混乱并带有恐吓打击之意的, 在公共场合发脾气的小孩急需小睡一会儿.
从k
你现在发现自己陷入了两难的境地. 您是否会按时发布带有已知安全缺陷的应用程序,并冒着公司安全状况和声誉的风险? 还是你打补丁?, 重新测试, 并发布一个加固的应用程序, 但是超过了你最初承诺的日期, 增加项目成本并冒着损失澳门赌场官方下载资金的风险?
不难看出为什么开发人员将信息安全视为实现其目标和项目目标的障碍. 这是“我们”对“他们”,好人对坏人. 事实上, 信息安全通常被视为通往项目完成的应许之地的绊脚石.
不应该是这样的. 不应该是“我们对抗他们”,而应该是“我们一起”.”
让我们通过检查开发人员希望从其信息安全团队获得的六件事来了解如何避免这种情况:
1. 赋权
No, 我指的不是直接访问生产数据库服务器的能力——我指的是DevOps团队想要在安全方面拥有强大的能力 他们自己. 安全团队仍然需要在安全方面表现出色, 但是开发人员不想要来自善意的安全人员的指导和唠叨.
为了解决这个问题,安全专业人员可以通过以下方式授权他们的DevOps团队:
- 提供安全培训,给他们学习的机会.
- 建立一个强大的, 在你的公司里欢迎鼓励建立关系的安全文化, 问问题,用积极的标准衡量.
- 给予他们所有权,以便他们希望减少安全漏洞的数量,并支持必要的补救或缓解策略.
- 别挡他们的路——不要事无巨细地管理他们! 给他们成功所需的工具,并相信他们会做正确的事情.
2. 工具 & 集成
开发人员 爱 工具和集成,特别是如果它们易于使用并与现有技术堆栈一起工作. 如果这个工具是开源或免费的,那就加分了! 开发人员和其他人一样,在工作时希望尽可能少的麻烦.
当DevOps团队需要一个新的安全工具时, 它为安全团队提供了一个完美的机会,通过以下步骤将他们与他们的关系提升到一个新的水平:
- 市场上可用的研究工具和集成, 比较总拥有成本, 主要功能, 以及其他的利弊.
- 将可用性放在首位——确保您的推荐易于使用,并且不会在构建周期中增加太多时间.
3. 例子
开发人员需要大量的示例! 你需要向他们展示好的代码是什么样的, 除了镜像代码片段, 考虑提供:
- 安全单元测试,
- 库,
- 过滤器和正则表达式模式.
和他们呆在一起! 除了简单地让他们在你给他们的基础上发展,你应该这样做 鼓励 他们必须这样做. 为他们的操作提供基础,并对信息进行索引,以便其他开发人员可以轻松地找到和访问它.
4. 特异性
要具体 当给出安全需求或解决安全错误或漏洞时. 不要让他们自己从过于技术性的措辞中剖析意思——指出包装, 类, 该方法, 代码行和漏洞. 告诉他们如果漏洞没有被修补,具体的风险是什么, 不要害怕分享过去类似情况下可能发生或已经发生的故事,为他们提供背景.
5. 执行他们自己的安全评估
我知道,我知道,这听起来像是违反直觉的利益冲突. 但请听我说:开发人员希望安全与他们所做的任何事情无缝衔接,对吧? 因此,内置安全性对于它们的开发生命周期是必要的.
这里有一些关于如何做到这一点的想法:
- 为开发人员提供安全备忘单和检查清单,以帮助他们尽快发现任何漏洞.
- 将安全任务自动添加到技术故事中,以帮助开发人员记住执行这些任务.
如果你在他们的世界里, 他们使用同样的工具,说同样的语言, 这将真正有助于缩小团队之间的分歧,并促进对您要求他们澳门赌场官方软件的共同理解.
6. 信任
我们都是专业人士,就像其他人一样,开发者希望得到信任. 他们知道如何做好自己的工作, 您希望信任开发人员将安全性构建到他们的应用程序中. 给他们足够的空间去做!
信任是需要时间来建立的,所以不要着急. 不要害怕向DevOps团队提出具体的问题,并鼓励他们向安全团队提出同样的问题. 从长远来看,建立这种交流环境对每个人都是有益的.
安全是为澳门赌场官方下载提供的服务,而不是唠叨的姻亲. 在开发人员和安全团队之间建立必要的关系时,信任DevOps团队在安全方面做得很好是必不可少的一步.
编者按有关这个主题的进一步见解,请观看Buckwalter关于这个主题的完整演讲 在这里.
