如何成为一名出色的 DevSecOps 工程师
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
世界开始走过瀑布、敏捷和现在的 DevOps,那么下一个解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
就像技术本身一样,用于开发代码的工具、技术和最佳流程也在迅速发展。我们人类对更多软件、更多功能、更多功能有着无限的需求... 我们希望它比以往任何时候都更快、更有定性,最重要的是:安全。就在几年前,敏捷开发是下一件大事,它被用来将大量工作分解成小块,并能够快速适应来自客户的快速反馈周期。在此之前,瀑布法是山中之王。
尽管许多人和组织正在从 Waterfall 转向敏捷——但说实话,并不是每个人都这样做了——他们已经遇到了一个新问题:开发团队及其运营同行仍在各自为战。在这种环境中,以敏捷方式工作的小团队如何兑现更快部署和更快交付的承诺?
开发运营,这个绰号是开发和运营的结合,旨在在创建新软件时合并开发人员和运营团队的职能。从本质上讲,这是为了帮助开发人员掌握将产品投入生产的所有权,而不是将其交给运营团队并让他们承担责任。
当然,它们可以更快地发货,甚至每天发货几次,这似乎是敏捷的玩家。但是,DevOps仍在组建一支由工程师和运营人员组成的庞大混合团队,这在现实中可能不那么敏捷。归根结底,最好将 DevOps 视为敏捷的演变,因为这些方法在许多方面相似,而且差异互补。DevOps 促进自动化、持续的集成和部署管道,这对于实现频繁发布至关重要,但在团队层面还不够——这就是敏捷介入的地方。敏捷使团队,尤其是小型团队,能够跟上这些快速发布和不断变化的需求,同时保持任务和协作。当然,这似乎很理想——而且这个过程可以使团队按计划实现最终目标——但它本身并非没有问题。
使用 DevOps 最佳实践开发的软件仍然有可能在第一场 boss 争夺战中跌跌撞撞:安全团队。当Traditional/Waterfall AppSec专家使用工具或复杂的人工审查来检查代码时,他们通常会发现不可接受的风险和漏洞,然后必须在事后进行修复。在已完成的应用程序中改造安全补丁的过程既不快速也不容易... 而且对组织来说要昂贵得多。
那么,如果世界正在过去 Waterfall、Agile 和现在的 DevOps,那么解决方案是什么?作为一名开发人员,你在跟上这些方法变化方面扮演什么角色?
开发技术处于不断演变的状态,但值得庆幸的是,这种变化并不大。组织只需要在 “开发运营” 中加入 “安全”... 因此,DevSecOps诞生了。DevSecOps的主要目标是打破壁垒,开放开发、运营以及最后但并非最不重要的安全团队之间的合作。DevSecOps 已成为一种软件工程策略,也是一种倡导在整个软件开发生命周期中实现安全自动化和监控的文化。
这似乎是又一个组织层面的过程,对于需要构建大量功能的开发人员来说,可能是 “厨师太多了”。但是,DevSecOps 方法为具有安全意识的开发人员提供了真正大放异彩的机会。
DevSecOps 的光明未来
那么,为什么程序员想要成为一名 DevSecOps 工程师呢?也许你有一定的 DevOps(甚至敏捷)经验,但想迈出下一步精通 DevSecOps。首先,很高兴知道这是一个非常明智的举动,而不仅仅是为了保护世界免受代价高昂的网络攻击。专家这样说 的需求 才华横溢的网络安全人员正在飞速发展,而且看不到尽头。那些精通DevSecOps的人可以期待一个漫长而有利可图的职业生涯。
DevSecOps 工程师的工作安全更加有保障,因为与传统的网络安全策略(例如使用一系列基于软件的工具进行漏洞扫描)不同,DevSecOps 需要知道如何在编码时实现安全的人员。正如Booz、艾伦和汉密尔顿的分析师在他们的博客中指出的那样 采用 DevSecOps 的 5 个神话, 组织想要甚至需要 DevSecOps,但根本买不到。DevSecOps 是一种允许跨职能团队在整个软件开发生命周期中整合技术和协作的方法,这需要熟练的人才、变更管理和多个利益相关者的持续承诺。
根据Booz、Allen和Hamilton的说法,公司可以购买应用程序和工具来帮助解决DevSecOps的某些方面,例如发布管理软件,“但实际上是你的交付团队使之成为现实。”他们推动了 DevSecOps 提供的持续改进及其文化和模式转变。
组织不能 “购买” 可行的DevSecOps计划;必须使用一系列工具、内部知识和指导来构建和维护该计划,以提升安全文化,同时也要具有商业意义。这并不容易,但远非不可能。
如何在 DevSecOps 运动中大放异彩
成为 DevSecOps 工程师之路的第一步是意识到它既是一种文化,也是一组技术。它需要有意愿将安全性作为你创建的每一个代码的一部分,并希望通过在编写代码时积极寻找安全漏洞和漏洞,在它们投入生产之前很久就对其进行修复,从而主动保护你的组织。大多数 DevSecOps 工程师都非常重视自己的职业和技能。DevSecOps 专业组织甚至 有一份宣言 陈述他们的信念。
这份宣言有点严厉,因为宣言很少是轻描淡写的。但核心是所有优秀的 DevSecOps 工程师都应该学会接受的几个事实,例如:
- 意识到应用程序安全团队是你的盟友。在大多数组织中,AppSec专家与开发人员存在分歧,因为他们总是将完成的代码发回以进行更多工作。AppSec 团队通常也不太喜欢开发人员,因为他们可能会通过引入常见的安全漏洞来延迟已完成的代码投入生产。但是,聪明的DevSecOps工程师将意识到,安全团队的目标最终与开发人员和编码人员相同。你不必是最好的朋友,但是建立冷静和协作的工作关系对成功至关重要。
- 练习和完善您的安全编码技术。 如果你能找到在应用程序仍在构建过程中易受攻击的方法,那么填补这些漏洞可以阻止未来的黑客前进。当然,这既需要了解漏洞,也需要帮助修复漏洞的工具。这个 安全代码勇士博客 页面可以让您深入了解您将遇到的最常见和最危险的漏洞,以及测试知识的实用建议和挑战。最重要的方面是将安全放在首位,腾出时间进行小规模的培训,帮助你在现有知识的基础上再接再厉。开发人员与安全的互动通常并不引人注目,甚至是负面的,但是提高安全技能是一个很好的职业转变,而且不一定是一件繁琐的事情。
- 记住:DevSecOps 超级巨星为组织中积极的安全文化做出了贡献。 与其专注于过去的目标,例如不管其固有问题如何快速交付应用程序,不如将发现和修复代码开发中的漏洞作为重中之重。必须将安全视为每个人的工作,每个人都应该分享每次部署有效且高度安全的应用程序所带来的赞美和回报。
您可以从头开始倡导安全编码和安全最佳实践,推荐培训解决方案,并确保在全力以赴的快节奏的 DevSecOps 世界中没有程序员掉队,从而帮助您的组织培养令人难以置信的安全文化。唯一的好代码是安全代码,而熟练、具有安全意识的开发人员是拼图的重要组成部分。个人和职业奖励当然值得付出努力,而且随着每年有数十亿个人数据记录被泄露(而且还在增长),我们需要你。在前线占据一席之地,帮助抵御数字世界中的坏人。
马蒂亚斯·马杜博士是该公司的首席技术官兼联合创始人 安全代码勇士。他是一名安全专家、长期开发人员和Fortnite瘾君子。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
