\\\\
據安全專家marisa fagen介紹,安全專家和開發人員的比例至多是3:100。邏輯上講,這樣一種限制無疑把安全專家推上了高度爭用的位置,這很容易成為瓶頸。在有的環境裡,安全反饋出現在開發周期末尾,這會導致情況更糟糕,因為那時候返工的成本最高。為了解決這個問題,近日,fagen在qcon倫敦2018大會上談了提公升工程團隊成員技能,讓他們承擔起安全衛士的角色。她主張,組織要開展正式的專案,有計畫的提公升個體的技能,搭建和組織安全團隊之間的橋梁。
\\ fagen是synopsis產品安全部門負責人,她做了題為「安全衛士:只有你們能阻止檔案偽造」的演講,提出了一種應對安全專家爭用的策略。她提出了透明安全衛士專案,專注於在安全工程師和團隊個體之間搭建橋梁,支援他們提公升技能,讓他們成為安全衛士**人。
\\ fagen把安全衛士定義為「在團隊或組織內倡導**健壯和過程安全」的人。根據組織規模的不同,這個安全衛士可以面向乙個團隊、一組團隊甚或是整個組織。fagen解釋說,個人可以通過以下實用方法開始為安全而努力:\\
fagen還建議,安全衛士應該開始建立應用程式的威脅模型,突出風險,協助安全團隊了解團隊的應用程式。fagen建議利用owasp的攻擊備忘錄進行應用程式威脅建模。「從常見的威脅入手,搭配乙個風險模型,如dread等級。」她解釋說,提出一種嚴重性度量指標,有助於安排工作的優先順序。
\\ fagen談了組織支援的必要性,那樣,安全衛士的價值、花費的時間、潛在的風險都是透明且經過度量的。除了個體安全衛士外,她還談了組織在公司範圍內開展安全衛士專案把專有程式所有者培養成安全衛士的終極招數。fagen談到,公司要支援安全衛士把10%到20%的時間用於提公升安全能力。
\\ 她建議組織著手制定試點方案,然後由此發展成為嵌入公司文化的專案,並通過激勵計畫促進。在談到建立溝通橋梁的重要性時,fagen提醒聽眾,「有些過程需要面對面交流」。她繼續指出,安全衛士是一種關係管理角色,涉及與業務及現有的安全團隊建立信任關係。她還說,專案所有者需要和安全團隊及安全衛士一塊工作,可以是直接的,也可以是建立乙個角色清晰的安全衛士金字塔。fagen建議,一名安全責任人下面最多有15名安全衛士,可能需要進一步分解成「更小的安全專家和安全衛士群體」。
\\ 回到由於安全專家數量有限導致的爭用問題,fagen最後提醒聽眾,「安全團隊需要你的幫助。接收邀請,成為一名安全衛士吧。」
\\ infoq與fagen取得了聯絡,**了她演講中的部分話題。
\\infoq:您在演講中重點強調了組織支援的必要性。您發現有什麼有效的方法能夠突出提公升安全能力的價值嗎?
\\
\\\marisa fagen:roi相當高。就和領導有關係的方面來說,團隊能力的提公升和業務改善速度可以抵消培訓和專案管理成本。而且,安全衛士專案可以幫助交付客戶需求。通常,獲得組織支援更多的是要找乙個有激情的人讓領導明白我們的意圖。
\
infoq:您能給我們講乙個關於安全衛士專案成功實施的趣聞軼事嗎?
\\
\\\fagen:我已經見過許多成功的專案,我在安全團隊和開發團隊之間推動了關鍵的對話,促成了及時發布,而不是因為安全問題宣布特性凍結,但我從未因此得到應有的讚揚。
\
infoq:您能介紹下第一次參加安全衛士專案的經歷嗎?
\\
\\\fagen:我第一次獲得開展安全衛士專案的機會是2023年在salesforce。我們感受到了一家大型公司裡覆蓋缺口所帶來的痛苦,我們聽說adobe在開展乙個培訓專案,員工參加額外的安全培訓,賺取不同顏色的綬帶。我們設立了乙個新角色,在安全測試方面為開發人員提供額外的培訓,讓他們擁有新技能。這很受歡迎。
\
infoq:什麼型別的安全衛士更適合非技術團隊成員,比如那些從事ux和產品管理職責的成員?
\\
\\\fagen:雖然這個專案是面向工程師的,但其他角色也應該願意把安全當成自己的職責。關注當前的最新趨勢和訊息。有時候,只要在正確的時間提乙個問題就非常有助於想到安全問題。
\
檢視英文原文:q\u0026amp;a with marisa fagen on security championship
51CTO專訪 談談SOC安全管理平台
2011年11月7日,51cto就soc安全管理平台對我進行了訪談。今天,我看到這個訪談製作完畢,放到了網上。1.就您所知,目前大中型企業或單位所面臨的安全管理問題主要集中在 2.對於企業的運維人員來說,在發現安全問題時,目前有什麼好辦法能即時的協調各方資源來解決問題嗎?3.soc安全管理系統能夠給...
開源訪談 Firefly 作者 李明 訪談實錄
關於開源訪談 開源訪談是開源中國推出的一系列針對國內優秀開源軟體作者的訪談,以文字的方式記錄並傳播。我們希望開源訪談能全面的展現國內開源軟體 開源軟體作者的現狀,著實推動國內開源軟體的應用與發展。作者簡介 李明 大雞蛋 9miao.com創始人,截止目前9miao.com共有註冊遊戲開發者27w,1...
怎樣設計訪談提綱 採購審計訪談提綱
訪談地點 公司 xx 會議室 被訪談人 採購部 訪談人 訪談內容 一 採購管理總體情況 1 公司對房地產採購管理的組織架構和職責分工是怎樣的?有哪些與採購相關的政策及操作手冊?2 公司是否針對不同採購形式設定不同的採購方式?採購方式主要包括哪些?不同採購方式的應用範圍包括哪些?是否會進行集中採購?3...