应用安全工程的三大阶段
图片来源:Joe Basirico
作者:Joe Basirico
发布日期:2020年11月20日
阅读时间:3分钟
本文是系列文章的一部分:
- 引言(当前文章)
- 意识阶段
- 赋能阶段(即将发布)
- 执行阶段(即将发布)
为了使应用安全(AppSec)团队与开发团队有效协作,他们应当从三个阶段来思考:意识、赋能和执行。本月我将为每个阶段撰写一篇文章。这些文章的重点将放在应用安全这一关键领域,并聚焦于构建软件过程中涉及的角色:开发人员(DevOps)、测试人员和架构师。
意识阶段
意识培训旨在让团队理解安全的重要性,并知道何时需要寻求安全支持。应用安全意识可以从一系列讲座开始,但最好的意识培训是实践性的。让团队发现、修复或讨论漏洞和威胁场景,对于培养他们在何时考虑安全的意识至关重要。这种培训的目标不是让团队立即具备发现或修复漏洞的能力,而是建立对影响和风险的认识。一个成功的意识计划将提供经验,使团队在构建或测试时能够自然而然地想到安全问题。你希望他们能够识别何时该说:“等等,这有安全 implications,我最好联系安全团队!”
赋能阶段
赋能通过自动化和专家知识使安全对团队更加容易。你的安全团队需要通过理解其他团队的痛点,并以易于接受和采用的方式解决这些问题,来建立组织其他部分的信任并改进流程。这可能意味着在Dev/Sec/Ops流水线中集成工具、构建更好的库、框架或默认设置、构建安全单元测试,或者使测试人员能够在他们的测试套件中执行安全测试。这一阶段最重要的部分是帮助构建软件,而不是减慢速度。安全团队的存在不是为了强制执行其意志,而是为了帮助其他团队实现目标。我称之为“落入成功的陷阱”。让做安全的事情比不安全的事情更容易。
执行阶段
执行是安全的最后一道防线。这是深度防御。传统上,大多数安全计划从这里开始,但为了有效,安全团队需要更早地赢得 hearts and minds。在成熟模型中,大多数安全活动是在安全团队接触软件之前执行和发现问题。执行的存在是为了双重检查程序是否被遵循,并捕捉那些漏网之鱼。这里也通常是进行审计、合规性和监管检查的地方。
有时,安全团队会感觉自己是最后的堡垒,与准备部署不安全软件以推出功能的开发团队对抗。然而,我们都在构建安全软件和与客户建立信任的业务中。公司的每个人都在尽力平衡高质量软件的多个方面。理解安全如何融入整体流程,以及如何在不减慢开发和部署速度的情况下构建安全软件,对任何公司的成功都至关重要。合作模式总是比对抗模式更有效。
本文是系列文章的一部分:
- 引言(当前文章)
- 意识阶段
- 赋能阶段(即将发布)
- 执行阶段(即将发布)
请订阅我们的新闻通讯。每月我们会发送一份新闻摘要和最近几篇文章的链接。不要错过!
另请参阅
- 如何扩展应用安全计划 - 第二部分
- 如何扩展应用安全计划 - 第一部分
- 构建500人的安全团队
- 旅行者的技术学习方法
- 始终以人为本
分享与讨论
- 在 HackerNews 上讨论
- 在 Twitter 上分享
归档于
安全团队、领导力、CISO、培训、指导、应用安全工程
Joe Basirico & Jason Taylor © 2023