QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Marisa Fagen 访谈:安全卫士

  • 2018-03-27
  • 本文字数:1712 字

    阅读完需:约 6 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据安全专家 Marisa Fagen 介绍,安全专家和开发人员的比例至多是 3:100。逻辑上讲,这样一种限制无疑把安全专家推上了高度争用的位置,这很容易成为瓶颈。在有的环境里,安全反馈出现在开发周期末尾,这会导致情况更糟糕,因为那时候返工的成本最高。为了解决这个问题,近日,Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能,让他们承担起安全卫士的角色。她主张,组织要开展正式的项目,有计划的提升个体的技能,搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人,她做了题为“安全卫士:只有你们能阻止文件伪造”的演讲,提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目,专注于在安全工程师和团队个体之间搭建桥梁,支持他们提升技能,让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同,这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说,个人可以通过以下实用方法开始为安全而努力:

  • 寻求额外的安全培训
  • 密切关注相关 CVE
  • 提出安全 Bug
  • 安全宣传
  • 向安全团队伸出橄榄枝并建立联系
  • 把安全反馈集成到 CI/CD 管道中

Fagen 还建议,安全卫士应该开始创建应用程序的威胁模型,突出风险,协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手,搭配一个风险模型,如DREAD 等级。”她解释说,提出一种严重性度量指标,有助于安排工作的优先级。

Fagen 谈了组织支持的必要性,那样,安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外,她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到,公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案,然后由此发展成为嵌入公司文化的项目,并通过激励计划促进。在谈到建立沟通桥梁的重要性时,Fagen 提醒听众,“有些过程需要面对面交流”。她继续指出,安全卫士是一种关系管理角色,涉及与业务及现有的安全团队建立信任关系。她还说,项目所有者需要和安全团队及安全卫士一块工作,可以是直接的,也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议,一名安全责任人下面最多有 15 名安全卫士,可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题,Fagen 最后提醒听众,“安全团队需要你的帮助。接收邀请,成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系,探讨了她演讲中的部分话题。

InfoQ:您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗?

Marisa Fagen:ROI 相当高。就和领导有关系的方面来说,团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且,安全卫士项目可以帮助交付客户需求。通常,获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ:您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗?

Fagen:我已经见过许多成功的项目,我在安全团队和开发团队之间推动了关键的对话,促成了及时发布,而不是因为安全问题宣布特性冻结,但我从未因此得到应有的赞扬。

InfoQ:您能介绍下第一次参加安全卫士项目的经历吗?

Fagen:我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦,我们听说 Adobe 在开展一个培训项目,员工参加额外的安全培训,赚取不同颜色的绶带。我们设立了一个新角色,在安全测试方面为开发人员提供额外的培训,让他们拥有新技能。这很受欢迎。

InfoQ:什么类型的安全卫士更适合非技术团队成员,比如那些从事 UX 和产品管理职责的成员?

Fagen:虽然这个项目是面向工程师的,但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候,只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月,InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文: Q&A With Marisa Fagen on Security Championship

2018-03-27 19:001261
用户头像

发布了 1008 篇内容, 共 407.6 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

满满干货|支付宝美女面试官的贴心锦囊

Lily

记一次生产环境大面积404问题!

冰河

nginx 网关

如何激励员工?—— 马斯洛需求理论

石云升

激励 28天写作 职场经验 管理经验 3月日更

《MySQL》系列 - select 查询语句到底是怎么执行的?

一个优秀的废人

MySQL 数据库 原理 sql查询

如何快速掌握 Kubernetes 网络

倪朋飞

学习方法 Kubernetes 云原生

中国唯一入选 Forrester 领导者象限,阿里云 Serverless 全球领先

Serverless Devs

阿里云 Serverless 云原生

常用的视频剪辑软件介绍,自媒体必备工具!

奈奈的杂社

“数字足迹”怕暴露,数字人民币如何守护你我隐私安全?

CECBC

数字货币

【Axure9百例】47.CSDN的列表样式

zhuchuanming

原型设计 Axure 交互原型

Java + opencv实现视频人脸检测

张音乐

OpenCV 人脸识别 视频

算法:求两个单向链表的最早公共交点

程序员架构进阶

算法 链表 28天写作 3月日更 算法解析

EGG NETWORK阿凡提超级公链  EFT流量通证信息完全公开源

币圈那点事

软件架构中的模块与组件

Simon

架构实战营

工作三年,小胖不知道 MySQL 日志是干嘛的。真的菜

一个优秀的废人

MySQL mysql事务 MySQL日志

高性能公链能为 DeFi 带来什么?

CECBC

区块链

OKR实践中的痛点(4):再谈老板的KR我的O

大叔杨

OKR 敏捷 绩效 敏捷绩效

Hudi on Flink 快速上手指南

Apache Flink

flink

微服务时代组件化和服务化的抉择

vivo互联网技术

微服务 组件化 服务化 服务调用

Java反射简析

Langer

Java java反射

Java + opencv 实现图片人脸检测

张音乐

Java AI OpenCV ffmpeg 人脸识别

从新手到专家:如何设计一套亿级消息量的分布式IM系统

JackJiang

架构设计 即时通讯 IM

FFmpeg应用篇

Changing Lin

3月日更

跨越数据的“叹息墙”:华为下一代数据湖与HPDA时代

脑极体

聊聊集群、分布式和微服务之间的异同点

架构精进之路

分布式 微服务 集群 3月日更

推动产业数字化 提升服务实体经济质效

CECBC

科技

Centos7下Docker安装&配置&镜像加速

happlyfox

学习 ,docker 3月日更

零信任提升组织的数字安全性

龙归科技

网络 数字时代 零信任

普元CTO焦烈焱:成长之路务必重视工程能力

EAWorld

程序员

go + ffmpeg + goav 实现拉流解码器

张音乐

音视频 ffmpeg Go 语言 goav

关于Vue权限路由思考

程序员海军

Vue 大前端 vue-router 权限认证 按钮权限

Redis - 主从模式

insight

redis 3月日更

Marisa Fagen访谈:安全卫士_安全_Rafiq Gemmail_InfoQ精选文章