如何成为一名出色的 DevSecOps 工程师
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
世界开始走过瀑布、敏捷和现在的 DevOps,那么下一个解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
