将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习:第 1 部分-AppSec
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
