安全研发如何 无痛分娩
发布时间:2022-07-12 09:34:25 所属栏目:安全 来源:互联网
导读:安全部门处境尴尬,受制于业务上线的需求,安全往往需要为业务让路,在实际执行过程中处于弱势,出问题时安全部门又需要救火和背锅。但从上文视频会议软件的案例中,我们也可以看到,安全对业务的重要性。无论是对业务的贡献,还是合规要求,甚至是更实际的
|
安全部门处境尴尬,受制于业务上线的需求,安全往往需要为业务让路,在实际执行过程中处于弱势,出问题时安全部门又需要救火和背锅。但从上文视频会议软件的案例中,我们也可以看到,安全对业务的重要性。无论是对业务的贡献,还是合规要求,甚至是更实际的——安全人员自身的绩效,都应该开展安全开发体系建设的工作。 安全赋能,合作共赢 无论是人力紧缺的小型安全团队,还是人力充足的成熟安全团队,要解决上面讲到的这些难处,最有效的方法莫过于赋能。但赋能也要讲究方式方法,不然可能适得其反。 1. 合理的体系 合理高效的管理体系是确保开发安全管控的前提,安全开发管理体系需要定义安全介入的时机和每个角色需要执行的安全动作(安全工作和输出物),确保安全开发管控流程执行到位。但是这就对以前的流程产生了侵入,在设计体系时,应尽量避免产生新的制度和流程,采用对现有制度和流程修订优化的方式,降低执行的门槛。 2. 常态化培训 对于缺乏安全经验的产品、开发等人员,应提供必要的安全培训(体系、意识、技能)的支持,以帮助相关人员提升安全能力,完成相关安全工作。对不同人员需要提供的培训内容也不太一样,下表是培训内容的一些参考: 3. 合作的态度 安全开发体系的制定和落地推广离不开产品、开发、测试等部门和人员的认可、参与,安全团队不能让大家认为安全部门是在加码任务,设置卡点,要以合作的姿态开展工作,前期应以提供帮助解决安全问题为重。 在后续的安全开发体系落地过程中,开发部门非常配合。在20多个试点项目中,发现并修复了近千个逻辑越权漏洞和数百个SQL注入漏洞,隐私数据的安全情况也得到大大改善。 4. 高效的安全工具 正如前面讲到的例子,IAST可以帮助开发人员排查修复漏洞,其根本意义在于安全工具可以给安全能力相对较弱的人员提供安全赋能。选择使用门槛低且检测效率高的安全工具,可以在很短的时间内落实相关环节的安全工作。另一方面,在使用优良的安全工具过程中,相关人员对安全知识的掌握和认知也会得到极大的提升。 5. 知识库支持 知识库主要是用于提升人员的安全能力和效率,例如,一般的产品经理并不具备威胁建模的能力,需要提供威胁建模知识库,知识库会给出具体业务场景下的安全威胁和对应的安全要求,帮助产品经理快速准确的完成威胁建模的工作。优秀的知识库都需要长期积累,平时需要由安全部门维护更新,沉淀项目中积累的问题,持续提升赋能效果。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号