提升开发者安全的七大可行实践
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
同理心即理解其他人内心感受的能力可能是将安全成功转移到开发世界的秘方。Snyk 公司的联合创始人兼总裁 Guy Podjarny 通过无数次采访发现,嘉宾一直都在谈论同理心、理解以及行动力是以开发者为先的安全文化获得成功的最大要素。
这些业内嘉宾提出的建议可总结为七大实践,相关企业可借此顺利提升开发者为先的安全旅途体验。
1、面对面交流
为了真正地将安全和开发结合起来,双方的积极参与起着重要作用。耐克公司的“代码医生”兼开发者倡导者 Jet Anderson 认为,参与不仅会提升同理心、加强相互理解,而且有助于构建对成功实施文化变化至关重要的关系。Jet 解释了自己为何会尽力参加开发团队的站立会议和社区聚会。Jet 表示,“我去参加社区聚会,谈论他们感兴趣的话题等等。我认为社区不仅是找到开发者的地方,而且也是需要实行文化变化的地方,对吗?你必须具有开发思维的安全专业人员,才能找到具有安全思维的开发专业人员。”
思科安全和信任组织机构的安全架构师 Amanda Honea-Frias 在工作中努力践行同理心。她解释了投入时间和开发人员相处的重要性,“直接对接、一起吃午饭一起学习、一起工作、认真倾听、建立关系、一起出去喝咖啡、真正和他们当同龄人相处,而不是割裂安全和开发。”所有的这些努力都会得到回报。
2、将安全融入开发
Twilio 公司的产品安全团队精力 Yashvier Kosaraju 表示,将安全融入开发中很重要,“我看重的是对安全的热情而非具体的技能,你能够写代码的更广泛的要求。虽然不一定是生产级别的代码,但我们招聘的主要标准是和开发人员工作的同理心。我希望有人能够和他们合作,给他们需要达成的需求。我们可以提高个体的技能,但无法真正提升他们的同理心。所以我在书中谈到的第一点就是同理心。”
Datadog 公司的产品安全总监 Douglas DePerry 表示该公司的战略类似,“文化是 Datadog 公司的重要组成部分,它告诉我们如何做事情、如何对待他人以及如何与他人合作。”为此,Douglas 将安全专业人员融入到开发团队,以促进相互理解,“我们可以更好地了解这个特定团队如何工作,可以通过修复一些 bug 为他们提供一些价值,或者只是坐在那里提问并交流。”
3、找到冠军
虽然安全冠军计划的好处人尽皆知,但培生公司的DevSecOps 负责人 Nick Vinson 指出,让事情持续鲜活有趣很重要,“因为我们一直在对安全冠军计划开展常规培训和攻击演示,但我们发现大家对安全冠军的热情快速提升,而且开发人员也越来越愿意将自己提名为安全冠军。”安全冠军越多,Nick 的团队就越能更好地管理开发视角。他指出,“我们拥有的安全冠军越多,就会得到越多的开发反馈。这样我们所做的安全能力和测试功能就会得到改进。”
4、理解代码
InVision 公司的安全工程师 Sara Dunnack 在提到优化团队沟通时表示,安全专业人员需要了解自己所保护的代码库,否则就不具备可信度。她指出,“团队中的每个人都是真正的开发者第一、安全第二,显然安全很强大,但也需要深入代码。我认为这是很多安全人可能没想到的最大事情,尤其系统管理员更甚。你需要埋头代码并真正地帮助开发人员、展示给他们具体哪一行代码有问题。”
5、 有耐心
“不是我们和他们,而是我们一起。“Cybercom 公司的首席安全官 Siren Hofvander 表示,她坚决反对这种观点:认为安全仅仅针对”知情的人“,仅凭同理心就会大大改进企业安全态势。她认为安全团队的作用是正确接近开发人员并接受需要时间的事实。她指出,”因为作为一种支持功能,我们必须一直在场。开发团队可能要花三个月才能放下戒备,真正地接受我们,但一旦实现这一点就可以年复一年地和开发团队建立积极的关系。“
6、 站在同一层面
Jet 还表示安全和开发社区必须站在同一高度,“如果我们没有刻意获得他们的知识并给予他们所需的深层技术知识,那么我们就没有增加价值。“
7、衡量成功
文化创建的成功与否真的可以衡量吗?思科公司的 Amanda Honea-Frias 认为可以。她通过清晰的规划触及同理心和文化构建,因此她自然要评估效果。她表示调查不仅衡量了成功与否还提供了持续受到反馈的另一种方法。她表示,“基本上我们关注的是保持渠道畅通,发送调查问卷是其中之一。任何你能够获得反馈的方法都可以,或者直接和开发人员聊他们想要什么而不是我们想要什么。”
推荐阅读
为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架
原文链接
https://snyk.io/blog/steps-to-improve-developer-security/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
提升开发者安全的七大可行实践相关推荐
- 高德在提升定位精度方面的探索和实践
2019杭州云栖大会上,高德地图技术团队向与会者分享了包括视觉与机器智能.路线规划.场景化/精细化定位时空数据应用.亿级流量架构演进等多个出行技术领域的热门话题.现场火爆,听众反响强烈.我们把其中的优 ...
- AI开发者大会之计算机视觉技术实践与应用:2020年7月3日《RPA+AI助力政企实现智能时代的人机协同》、《5G风口到来,边缘计算引领数据中心变革》、《数字化时代金融市场与AI算法如何结合?》
AI开发者大会之计算机视觉技术实践与应用:2020年7月3日<RPA+AI助力政企实现智能时代的人机协同>.<5G风口到来,边缘计算引领数据中心变革>.<数字化时代金融市 ...
- AI开发者大会之计算机视觉技术实践与应用:2020年7月3日《如何利用计算机视觉增加便利店连锁每日销售额》、《基于图像 / 视频的人脸和人体分析基础技术及其应用介绍》
AI开发者大会之计算机视觉技术实践与应用:2020年7月3日<如何利用计算机视觉增加便利店连锁每日销售额>.<基于图像 / 视频的人脸和人体分析基础技术及其应用介绍>.< ...
- 将Hexo同时部署在github和腾讯云开发者平台或Coding初级实践教程
写在前面的话 其实我也是这两天才接触到Hexo,之前是用的wordpress在阿里云上挂着.觉得Hexo好像更符合现在我的审美,so, do it! 嗯前面安装git和node.js我这边就省略掉了. ...
- OPPO广告联盟战略升级,全面提升开发者变现效率
当前,移动互联网正在面临用户体验.精细化运营.出海等方面的机会与挑战,与之相对应的,开发者的诉求愈加强烈:如何寻找用户体验与商业变现的平衡?如何借助平台的更多开放能力实现全链路增长?如何开拓海外新市场 ...
- 2022 App内测分发五大趋势:进一步提升开发者生产力
如今,App已经成为连接人与人.人与世界的基础,一个小小功能的改动都可能推动信息传递与生产效率的大幅增加.然而,随着信息化的发展愈发成熟,互联网的人口红利正在加速消逝,各App从疯狂拉新转向对存量用户 ...
- 提升Android开发效率的最佳实践
本文属于Android入门与最佳实践系列,有兴趣的可以围观笔者的前一篇关于Android实践建议的文章:2016里一些Android最佳实践列表--Opinionated 原文地址 软件工程师的工作效 ...
- 懒惰程序员的百宝箱:提升工作效率的七大神器
Perl之父Larry Wall曾在 Programming Perl 一书中提到: 程序员的三个美德是懒惰.不耐烦和傲慢. 懒惰,是程序员美德的第一要素.Larry Wall所说的"懒惰& ...
- 2021年夏季学期“清华大学大数据能力提升项目” 招募《大数据实践课》企业合作项目...
什么是大数据能力提升项目? 在全球大数据浪潮中,2014年清华大学大数据能力提升项目依托信息学院.经管学院.公管学院.社科学院.交叉信息研究院.五道口金融学院.深圳研究生院共7个学院协同共建,通过多学 ...
最新文章
- 计算机及Linux基础简介
- 约瑟夫环java链表_java使用链表实现约瑟夫环
- android 读取 网页,Android读取网页内容
- python jupyter安装_python之jupyter的安装
- 玩转Eureka+Ribbon系列之Ribbon的负载均衡策略
- java imap 标记已读,JavaMail通过IMAP和POP3接收未读以及设置已读邮件
- AUTOSAR从入门到精通100讲(二十二)-AUTOSAR通信篇—CANTP模块
- Go语言channel与select原理
- 100台CentOS7要升级OpenSSH怎么办?
- 蓝桥杯 ALGO-50 算法训练 数组查找及替换
- okHttp3连接池简单使用
- windows10看不到网络计算机,今天分析Win10看不到局域网电脑的详尽解决手段
- BiliBili2020校招笔试题
- 哪种投影仪好用?家用电视投影仪哪种好
- php只取时间的下士_php取当时的年月日时分秒毫秒
- TypeError: an integer is required (got type bytes)
- Latex 公式 语法 [维基百科]
- graphql 嵌套查询_了解GraphQL中的查询
- 如何搭建一个爬虫代理服务?
- 【win7死机也有可能是这个问题】
热门文章
- GI OPatch升级 The opatch Component check failed. This patch is not applicable for...
- 关于运维架构技术的理想化形态设想
- 一刀两断划分子网例子
- Remoting压缩信道的编程配置方式
- jxl操作excel样式设置
- (原創) 何谓可读性高的程序? (C/C++)
- Spring Boot快速注册服务脚本
- (cljs/run-at (JSVM. :all) 一次说白DataType、Record和Protocol) 1
- 如何使普通用户授权加入域的权限个数多于十个
- MySQL(MariaDB)的 SSL 加密复制