如何幫助開發(fā)人員編寫安全代碼

這個(gè)世界上有很多人有時(shí)不喜歡對(duì)方：葉和卡納迪恩的粉絲，哈特菲爾德和麥克柯伊斯，安全團(tuán)隊(duì)和開發(fā)人員。

“我在很多商店都見過這種情況，”加拿大微軟公司(Micros of t Canada)駐渥太華的高級(jí)云開發(fā)人員坦尼婭？

她在本周在多倫多舉行的SECTOR會(huì)議上對(duì)Infosec專業(yè)人士說，這不一定是這樣。

她認(rèn)為，最大的原因之一是，安全團(tuán)隊(duì)成員可能對(duì)提交的代碼不夠安全的開發(fā)人員不友好/粗魯/切割。

Janca認(rèn)為，解決公司創(chuàng)建不安全代碼的根本問題將通過兩種方式來解決：如果開發(fā)團(tuán)隊(duì)和SEC團(tuán)隊(duì)都得到流程、培訓(xùn)和資源的支持，這樣他們就可以自信地完成工作；以及改變公司的文化。

網(wǎng)絡(luò)安全行業(yè)正在浪費(fèi)機(jī)會(huì)，使計(jì)算更安全的時(shí)代，越來越多的...

隨著基于互聯(lián)網(wǎng)的平臺(tái)的更新，越來越多的組織每年都在向云端移動(dòng)來托管和交付應(yīng)用程序。

現(xiàn)在，Janca是一個(gè)紫色團(tuán)隊(duì)的成員，是開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWSAP)渥太華分會(huì)的負(fù)責(zé)人，也是渥太華網(wǎng)絡(luò)女士的聯(lián)合創(chuàng)始人，她自稱是應(yīng)用程序安全傳道者。

但在她職業(yè)生涯的早期，她是一個(gè)軟件開發(fā)人員，她知道從安全團(tuán)隊(duì)中感受到蔑視是什么感覺。 當(dāng)一名安全小組成員第一次對(duì)她的代碼進(jìn)行自動(dòng)漏洞評(píng)估時(shí)，他在這里提交了一份“可能是用另一種語(yǔ)言寫的”的清單，并被告知，“你的應(yīng)用程序是垃圾的，修復(fù)這些東西?！背吮桓嬷澳銘?yīng)該知道”和“如果你是一個(gè)好的開發(fā)人員，在第一個(gè)地方就不應(yīng)該有什么要修復(fù)的。

“我學(xué)會(huì)了不惜一切代價(jià)避開安全小組，”她回憶道。 (最后她意識(shí)到那家伙也不知道怎么看報(bào)告。

但這讓她想起了為什么人們不相處。 她發(fā)現(xiàn)，學(xué)術(shù)研究表明，大多數(shù)不良行為來自于一個(gè)感到不安全的人，然后以實(shí)物作出反應(yīng)。 因此，開發(fā)人員忽略規(guī)則并滾動(dòng)自己的密碼，或者沒有時(shí)間進(jìn)行安全測(cè)試，安全團(tuán)隊(duì)通過向NIST網(wǎng)站發(fā)送鏈接來回答問題。

“這不是我們最終使用不安全軟件的唯一原因，但這也是我認(rèn)為的主要原因之一。

解決這個(gè)問題意味著改變兩個(gè)群體的文化。 她提出了五種方法：

1-不再指責(zé)；死后無可指責(zé)；

盡一切可能幫助挽回面子；

3-如果可能的話，安全小組和開發(fā)人員可以合用。 如果他們?cè)诓煌臉菍?在建筑物的兩端/在不同的建筑物中，這是沒有幫助的；

4-不再舉行信息技術(shù)會(huì)議，主旨發(fā)言人抱怨安全狀況，說：“我們完蛋了?！蔽覀冎烙袉栴}，提供解決辦法；

做一個(gè)真正的領(lǐng)導(dǎo)者。 不要對(duì)人說負(fù)面的話，他們會(huì)被重復(fù)的。 相反，說“那不酷”，或者問是什么讓這個(gè)錯(cuò)誤發(fā)生。 也許員工需要額外的培訓(xùn)。

根據(jù)一個(gè)新的結(jié)果，表現(xiàn)最好的組織將已經(jīng)實(shí)現(xiàn)其大部分業(yè)務(wù)的自動(dòng)化。

一項(xiàng)新的調(diào)查表明，安全，而不是速度，正在成為2017年DevOps團(tuán)隊(duì)的首要問題。

關(guān)于更深入的改革，她提出了以下建議：

改進(jìn)程序

首先，創(chuàng)建應(yīng)用程序安全團(tuán)隊(duì)/人員。 他們知道如何在代碼中找到安全問題。

“如果你沒有一個(gè)專門從事安全的人——即使他們是開發(fā)團(tuán)隊(duì)成員——這就是你沒有安全軟件的首要原因。

更早地啟動(dòng)安全——就像項(xiàng)目開始時(shí)一樣，它將貫穿整個(gè)開發(fā)生命周期；

將安全活動(dòng)分解成更小的部分，特別是如果您正在進(jìn)行敏捷開發(fā)和快速工作。 因此，例如，做一個(gè)沖刺，只針對(duì)跨站點(diǎn)腳本問題。 下次沖刺尋找注射問題等.. “隨著開發(fā)人員改變他們做軟件的方式，我們需要進(jìn)行調(diào)整。

培訓(xùn)開發(fā)人員編寫安全代碼，包括理解威脅建模；

告訴開發(fā)人員，向安全團(tuán)隊(duì)征求意見并不可恥；

-管理人員應(yīng)為每個(gè)處理代碼的人提供安全培訓(xùn)；

鼓勵(lì)開發(fā)人員加入開發(fā)人員教育團(tuán)體，包括OWASP。 確保他們熟悉OWSAP前10個(gè)漏洞；

提供午餐和學(xué)習(xí)；

開發(fā)人員參加了Infosec團(tuán)隊(duì)的安全事件。 “事故反應(yīng)就像裂縫，”她堅(jiān)持說。

首先，為開發(fā)人員必須遵循的代碼創(chuàng)建一個(gè)可以理解的安全標(biāo)準(zhǔn)。 (例如，每個(gè)網(wǎng)站都必須使用https，對(duì)所有軟件進(jìn)行漏洞掃描，然后才能啟用)；

提供開發(fā)人員安全掃描工具。 有些是免費(fèi)的，另一些則不花很多錢；

在一個(gè)名為DevSlops的項(xiàng)目中，每個(gè)星期天下午1點(diǎn)，東部Janca和一個(gè)小組的直播流，在混合器、Twitch和YouTube上播放帶有提示的廣播。

她結(jié)束了她的演講，讓infosec專業(yè)人士的聽眾舉起他們的右手發(fā)誓：“我保證讓開發(fā)人員能夠一起創(chuàng)建安全的軟件。”

總比罵別人好。