写点什么

Marisa Fagen 访谈:安全卫士

  • 2018-03-27
  • 本文字数:1712 字

    阅读完需:约 6 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018-03-27 19:001078
用户头像

发布了 1008 篇内容, 共 387.9 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

所谓生产力

ES_her0

3月日更

一口气面了腾讯两个部门!

我是程序员小贱

3月日更

TCP 三次握手与四次挥手

insight

TCP 3月日更

2021年Java春招高级面试指南(1到5年Java面试者必备)

比伯

Java 编程 架构 面试 程序人生

C++线程池ThreadPoolExecutor实现原理

Linux服务器开发

c++ 后端 线程池 Linux服务器开发 Linux后台开发

苹果笔记本充不进电的解决方案

石云升

电脑故障 28天写作 3月日更

远程协助软件向日葵分析

lenka

3月日更

《码农歌》

臧萌

加班

正则表达式的使用与匹配原理解析

Guanngxu

正则表达式

这些面试题你会吗?6年菜鸟开发面试字节跳动安卓研发岗,复习指南

欢喜学安卓

android 程序员 面试 移动开发

蚂蚁二面:MQ消费端遇到瓶颈除了横向扩容外还有其他解决办法?

中间件兴趣圈

面试 RocketMQ 消息中间件

初识Golang之调用方法

Kylin

3月日更 Go 语言

我在阿里实习做开源

apache/dubbo-go

微服务 程序人生 云原生 dubbo dubbogo

数据库备份真的很重要!很重要!很重要!

xiezhr

oracle sql MySQL 运维 数据备份

GitOps | 一种云原生的持续交付模型

xcbeyond

CI/CD gitops 3月日更

源码分析-Netty: 高性能之道

程序员架构进阶

Netty RPC 源码剖析 28天写作 3月日更

打通Jira与钉钉和企业微信不再难

跟YY哥学Jira

钉钉 Jira 企业微信 automation

十步输出设计文档

鲁米

设计实践

还有高仿项目吗

GitHub指北

好想做个女孩子,编程第一步,女装身上穿

GitHub指北

【LeetCode】逆波兰表达式求值Java题解

Albert

算法 LeetCode 28天写作 3月日更

MySQL如何选择主键

架构精进之路

MySQL 3月日更

配置引起事故复盘

风翱

3月日更

《Redis 核心技术与实战》学习笔记 05

escray

redis 学习 28天写作 3月日更 Redis 核心技术与实战

避免失控:谈谈人与人交往中的恶

boshi

职场 心理 七日更

一些人的某些目标

sadhu

生涯规划 职业规划 个人提升

寻找被遗忘的勇气(二十)

Changing Lin

3月日更

基于SpringCloud,支持安卓、IOS、包含前后端等等完整网约车项目

Java架构追梦

Java 架构 面试 SpringCloud 网约车项目

这份1307页Android面试全套真题解析,源码+原理+手写框架

欢喜学安卓

android 程序员 面试 移动开发

Wireshark数据包分析学习笔记Day17

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

分享18个常用的ECMAScript 6代码片段

devpoint

reduce URL参数解析 Form表单数据解析

Marisa Fagen访谈:安全卫士_安全_Rafiq Gemmail_InfoQ精选文章