写点什么

Marisa Fagen 访谈:安全卫士

  • 2018-03-27
  • 本文字数:1712 字

    阅读完需:约 6 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018-03-27 19:001087
用户头像

发布了 1008 篇内容, 共 389.4 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

mac空间不足怎么办 mac内存满了怎么清理

阿拉灯神丁

MacBook CleanMyMac X mac‘ 电脑软件 杀毒软件

掌握在测试中精确模拟用户行为的艺术:技术和工具

测吧(北京)科技有限公司

测试

基于ELF 1S开发板完成的物联网开源

梦笔生花

项目 系统 开发板

5款.NET开源、免费、功能强大的图表库

EquatorCoco

.net 图表库

软件测试 | 平衡规模:测试中经济有效的硬件和软件解决方案策略

测吧(北京)科技有限公司

测试

软件测试 | 性能测试优化中无缝跨团队协作的策略

测吧(北京)科技有限公司

测试

线程安全使用 HashMap 的四种技巧

不在线第一只蜗牛

安全 线程

Web3 游戏周报(5.12 - 5.18)

Footprint Analytics

链游

蓝易云 - linux系统升级ssh

百度搜索:蓝易云

云计算 Linux 运维 Shell SSH

蓝易云 - 如何配置Outlook的SMTP信息?

百度搜索:蓝易云

运维 服务器 云服务器 SMTP outlook

程序员都应该了解的7款API接口平台

幂简集成

API API接口平台 API市场

1688商品评论数据接口:电商数据分析新工具

tbapi

1688API接口 1688商品评论接口

Gen AI 连接非结构化数据,Unstructured Data Meetup 第二场官宣杭州!

Zilliz

非结构化数据 Milvus Zilliz AIGC GenAI

实时消息获取技术方案对比

南城FE

前端 后端 实时消息

蓝易云 - 解决linux系统ssh无法远程,xshell连接慢

百度搜索:蓝易云

云计算 Linux 运维 SSH xshell

蓝易云 - 香港云服务器哪家便宜2024

百度搜索:蓝易云

云计算 运维 云服务器 香港服务器 高防服务器

蓝易云 - DNS有什么作用

百度搜索:蓝易云

云计算 Linux 运维 IP DNS

软件测试 | 分析和处理海量测试数据集的策略

测吧(北京)科技有限公司

测试

云推流与云串流革新领域:深度解析技术应用场景

点量实时云渲染

智慧城市 3D 数字孪生 实时云渲染 时实渲染

观测云:以用户为中心的可观测性解决方案

可观测技术

可观测性

华为云CodeArts 12大安全防护机制,端到端全面保障软件供应链安全!

华为云开发者联盟

安全 华为云 华为云开发者联盟 华为云CodeArts 企业号2024年5月PK榜

汇洲财富携手AI技术,打造未来金融投资新高地

科技热闻

汇洲财富引领金融科技创新,AI智能投顾服务震撼上线

科技热闻

Marisa Fagen访谈:安全卫士_安全_Rafiq Gemmail_InfoQ精选文章