应用安全工程的三阶段
图片来源:Joe Basirico
作者:Joe Basirico
发布日期:2020年11月20日
阅读时间:3分钟
系列文章
- 引言(当前位置)
- 意识阶段
- 赋能阶段(即将发布)
- 执行阶段(即将发布)
为了与应用开发团队高效协作,应用安全(AppSec)团队应当遵循三个阶段的思路:意识(Awareness)、赋能(Enablement) 和 执行(Enforcement)。本月我将为每个阶段撰写一篇文章,重点探讨应用安全这一关键领域,并聚焦于构建软件过程中的不同角色:开发人员(DevOps)、测试人员和架构师。
1. 意识(Awareness)
意识培训旨在让团队理解安全的重要性,并知道何时需要寻求安全支持。应用安全意识可以从一系列讲座开始,但最有效的意识培养方式是实践培训。让团队发现、修复或讨论漏洞和威胁场景,对于培养他们在何时需要考虑安全的意识至关重要。此阶段培训的目标不是立即让团队具备发现或修复漏洞的能力,而是建立对影响和风险的认识。一个成功的意识计划应提供可借鉴的经验,使团队成员在构建或测试时能自然而然地想到安全问题。你希望他们能够识别出何时该说:“等等,这涉及安全问题,我最好联系安全团队!”
2. 赋能(Enablement)
赋能通过自动化和专家知识让团队更容易实现安全。安全团队需要赢得组织其他部门的信任,并通过理解他们的痛点,以易于接受和采用的方式改进流程。这可能意味着在Dev/Sec/Ops流水线中集成工具、构建更好的库、框架或默认设置、编写安全单元测试,或让测试人员能够在测试套件中执行安全测试。此阶段最重要的是帮助构建软件,而不是拖慢开发速度。安全团队的存在不是为了强制推行其意志,而是为了帮助团队实现目标。我称之为“落入成功之坑”(falling into a pit of success)——让做安全的事情比不安全的事情更容易。
3. 执行(Enforcement)
执行是安全的最后防线,体现了深度防御(defense in depth)策略。传统上,大多数安全计划从这里开始,但为了有效,安全团队需要更早地赢得人心。在成熟模型中,大多数安全活动在安全团队接触软件之前就已执行,问题也已发现。执行的存在是为了双重检查流程是否被遵循,并捕捉那些漏网之鱼。这里也通常是进行审计、合规性和监管检查的地方。
有时,安全团队可能会觉得自己是最后一道防线,与准备部署不安全软件以发布功能的开发团队对抗。然而,我们都在构建安全软件和与客户建立信任的业务中。公司的每个人都在尽力平衡高质量软件的多个方面。理解安全如何融入整体流程,以及如何在不拖慢开发和部署的情况下构建安全软件,对任何公司的成功都至关重要。合作模式总是比对抗模式更有效。
系列文章
- 引言(当前位置)
- 意识阶段
- 赋能阶段(即将发布)
- 执行阶段(即将发布)
请订阅我们的新闻通讯。每月我们会发送一份新闻摘要和最近几篇文章的链接。不要错过!
相关阅读
分享与讨论
- 在 HackerNews 上讨论
- 在 Twitter 上分享
归档分类:安全团队、领导力、CISO、培训、指导、应用安全工程
Joe Basirico & Jason Taylor © 2023