泰雷兹如何实现开发者驱动的安全性
背景
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及设备和设备。Viswanath S. Chirravuri 是泰雷兹的软件安全技术总监。Viswanath,又称 Vis,他的职业生涯最初是作为一名程序员开始的。他现在是泰雷兹的高级安全负责人,在安全行业拥有超过18年的经验,并拥有30多项认证,包括CISSP、PMP和GSE。他已经在超过18个国家培养了3,000多名软件专业人员。此外,Vis在国际网络安全锦标赛(例如Netwars)中赢得了超过10枚SANS挑战币,并且是GIAC顾问委员会的活跃成员。我们与 Vis 进行了交谈,了解他如何协调人员、流程和技术,在泰雷兹成功开发安全代码学习计划。
情况
当Vis开始在泰雷兹工作时,他指导各业务部门研究通过笔试发现的漏洞的来源,以此作为减少科技债务积压的可能解决方案。应用程序安全团队使用了与他们合作的7家不同供应商来巩固其安全态势——从IAST/DAST工具到笔试工具。Vis希望了解市场趋势并以可扩展的方式管理威胁,通过流程和技术之间的强大整合来制定缓解策略。这意味着从纯粹的基于工具的方法转向具有强大学习成分的策略。他注意到许多开发人员没有安全背景或安全技能。他最初的方法是就OWASP Top 10等主题为开发人员提供基于课堂的培训,但他很快意识到,面对面授课所需的全部差旅以及需要接触全球成千上万的开发人员,这种培训规模无法扩大。维斯指出:
“安全与发展之间的比例总是不平衡的。即使我的安全性与开发者的比例为 1:1,我也无法让他们一直参与进来。让我们的开发人员及时了解新的攻击载体、最佳实践、新语言和新发现的漏洞,这意味着我们需要能够促进开发人员的自我学习,让他们能够按照自己的节奏前进。如果他们需要帮助,我可以帮助他们,但我意识到我不能成为教他们如何修复他们发现的每一个漏洞的人。”
最初,开发经理认识到,有这么多开发人员是从头开始的,因此对开发人员需要花在安全代码学习上的时间进行反对。Vis 需要控制这样的看法,即承诺安全代码学习可能会干扰软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法来正确激励组织花时间进行安全代码的敏捷学习。Vis采取以人为本的态度从源头解决漏洞, “人们经常说安全占用了开发时间。对我来说,如果你开发了一些不安全的东西,那么一开始就是在浪费时间。您应该始终开发安全的软件,从而节省自己修复本来可以轻松避免的漏洞的时间。我们都应该有一个共同的目标,那就是发布可靠的代码。”
行动
Vis有两个主要目标:保护他们的软件和提高泰雷兹开发团队的安全意识。实施一项允许开发人员独立并按照自己的节奏进行培训的计划至关重要。Vis的战略是随着时间的推移建立一个安全社区,努力将安全编码与公司政策联系起来,并制定组织中安全代码学习的要求。通过鼓励一种将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励倍增效应。涌现出对安全充满热情的安全倡导者,这是他们日常工作的一部分,这有助于在整个组织中传播对安全编码实践的认识。Vis对十几家安全培训供应商进行了评估,并于2019年成为SCW的客户。对于泰雷兹来说,如果供应商能够涵盖其环境中的所有编程语言和框架,而不是零敲碎打的解决方案,这是一个巨大的好处。Vis 依靠 Secure Code Warrior 的大量内容为安全计划中的开发人员提供培训和自定进度的学习机会:
“OWASP 前十名不仅仅是你需要知道的十件事。OWASP 涵盖的漏洞的深度和多样性,加上编程语言的数量之多,可能会让人不知所措——我们在这些问题上面临的广泛挑战和报道是选择 SCW 的关键因素。他们总是在添加新东西。深度、主题的多样性、最新的内容以及对安全代码设计原则的关注确实使SCW与众不同。有了他们,这不是一次性培训,相反,我们获得了建立持续计划的机会。”
Vis 和他的团队设计了安全代码学习计划的四个层次的推出,每个工程职位都有不同的里程碑:
重要的是,SCW 成为漏洞修复的真实来源。Vis没有依赖可能导致你进行故障排除的谷歌搜索,而是发布了AppSec团队的指南和SCW内容库中的指南,这样开发人员就可以参考可信的真实来源来修复代码中的漏洞。根据维斯的说法:
“开发人员不应自由决定如何修复漏洞,也不应在此过程中可能引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种确保交付安全软件的开发人员得到认可的方法。我们要求他们达到一定程度的安全编码,我们可以通过他们解决且不会重新引入的漏洞来跟踪这一点。这样,他们所做的辛勤工作就会得到公司的认可和重视。”
结果
Vis和他的团队每月发布一份安全代码简报,在那里他们可以认出公司中最优秀的学习者。他们使用 SCW 来查看评估分数、锦标赛参与情况以及为扩大成就而进行的挑战。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞的总数。在实施SCW之后,他注意到趋势线呈下降趋势。这些漏洞不会在源代码级别重新引入。Vis 是这样说的:
“我们向管理层提交的关键绩效指标反映了我们做出的明智选择。我们为自己的安全代码培训而感到自豪,这为我们的客户带来了商业信心。我们因其全面的安全代码培训计划而获得认可,并受到客户和同行的尊重。当你有这样的计划时,它会为你的公司增加很多价值。”
关键要点
Vis 认识到,人员、流程和技术在任何安全计划中都可以发挥作用。通过专注于软件的安全性、开发人员知识和合规性要求,可以将敏捷学习整合到安全代码程序中,从而随着时间的推移减少源代码中的漏洞。Vis向该领域的专业人员提供这些建议,希望在开发人员团队中培养安全技能。
背景
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及设备和设备。Viswanath S. Chirravuri 是泰雷兹的软件安全技术总监。Viswanath,又称 Vis,他的职业生涯最初是作为一名程序员开始的。他现在是泰雷兹的高级安全负责人,在安全行业拥有超过18年的经验,并拥有30多项认证,包括CISSP、PMP和GSE。他已经在超过18个国家培养了3,000多名软件专业人员。此外,Vis在国际网络安全锦标赛(例如Netwars)中赢得了超过10枚SANS挑战币,并且是GIAC顾问委员会的活跃成员。我们与 Vis 进行了交谈,了解他如何协调人员、流程和技术,在泰雷兹成功开发安全代码学习计划。
情况
当Vis开始在泰雷兹工作时,他指导各业务部门研究通过笔试发现的漏洞的来源,以此作为减少科技债务积压的可能解决方案。应用程序安全团队使用了与他们合作的7家不同供应商来巩固其安全态势——从IAST/DAST工具到笔试工具。Vis希望了解市场趋势并以可扩展的方式管理威胁,通过流程和技术之间的强大整合来制定缓解策略。这意味着从纯粹的基于工具的方法转向具有强大学习成分的策略。他注意到许多开发人员没有安全背景或安全技能。他最初的方法是就OWASP Top 10等主题为开发人员提供基于课堂的培训,但他很快意识到,面对面授课所需的全部差旅以及需要接触全球成千上万的开发人员,这种培训规模无法扩大。维斯指出:
“安全与发展之间的比例总是不平衡的。即使我的安全性与开发者的比例为 1:1,我也无法让他们一直参与进来。让我们的开发人员及时了解新的攻击载体、最佳实践、新语言和新发现的漏洞,这意味着我们需要能够促进开发人员的自我学习,让他们能够按照自己的节奏前进。如果他们需要帮助,我可以帮助他们,但我意识到我不能成为教他们如何修复他们发现的每一个漏洞的人。”
最初,开发经理认识到,有这么多开发人员是从头开始的,因此对开发人员需要花在安全代码学习上的时间进行反对。Vis 需要控制这样的看法,即承诺安全代码学习可能会干扰软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法来正确激励组织花时间进行安全代码的敏捷学习。Vis采取以人为本的态度从源头解决漏洞, “人们经常说安全占用了开发时间。对我来说,如果你开发了一些不安全的东西,那么一开始就是在浪费时间。您应该始终开发安全的软件,从而节省自己修复本来可以轻松避免的漏洞的时间。我们都应该有一个共同的目标,那就是发布可靠的代码。”
行动
Vis有两个主要目标:保护他们的软件和提高泰雷兹开发团队的安全意识。实施一项允许开发人员独立并按照自己的节奏进行培训的计划至关重要。Vis的战略是随着时间的推移建立一个安全社区,努力将安全编码与公司政策联系起来,并制定组织中安全代码学习的要求。通过鼓励一种将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励倍增效应。涌现出对安全充满热情的安全倡导者,这是他们日常工作的一部分,这有助于在整个组织中传播对安全编码实践的认识。Vis对十几家安全培训供应商进行了评估,并于2019年成为SCW的客户。对于泰雷兹来说,如果供应商能够涵盖其环境中的所有编程语言和框架,而不是零敲碎打的解决方案,这是一个巨大的好处。Vis 依靠 Secure Code Warrior 的大量内容为安全计划中的开发人员提供培训和自定进度的学习机会:
“OWASP 前十名不仅仅是你需要知道的十件事。OWASP 涵盖的漏洞的深度和多样性,加上编程语言的数量之多,可能会让人不知所措——我们在这些问题上面临的广泛挑战和报道是选择 SCW 的关键因素。他们总是在添加新东西。深度、主题的多样性、最新的内容以及对安全代码设计原则的关注确实使SCW与众不同。有了他们,这不是一次性培训,相反,我们获得了建立持续计划的机会。”
Vis 和他的团队设计了安全代码学习计划的四个层次的推出,每个工程职位都有不同的里程碑:
重要的是,SCW 成为漏洞修复的真实来源。Vis没有依赖可能导致你进行故障排除的谷歌搜索,而是发布了AppSec团队的指南和SCW内容库中的指南,这样开发人员就可以参考可信的真实来源来修复代码中的漏洞。根据维斯的说法:
“开发人员不应自由决定如何修复漏洞,也不应在此过程中可能引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种确保交付安全软件的开发人员得到认可的方法。我们要求他们达到一定程度的安全编码,我们可以通过他们解决且不会重新引入的漏洞来跟踪这一点。这样,他们所做的辛勤工作就会得到公司的认可和重视。”
结果
Vis和他的团队每月发布一份安全代码简报,在那里他们可以认出公司中最优秀的学习者。他们使用 SCW 来查看评估分数、锦标赛参与情况以及为扩大成就而进行的挑战。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞的总数。在实施SCW之后,他注意到趋势线呈下降趋势。这些漏洞不会在源代码级别重新引入。Vis 是这样说的:
“我们向管理层提交的关键绩效指标反映了我们做出的明智选择。我们为自己的安全代码培训而感到自豪,这为我们的客户带来了商业信心。我们因其全面的安全代码培训计划而获得认可,并受到客户和同行的尊重。当你有这样的计划时,它会为你的公司增加很多价值。”
关键要点
Vis 认识到,人员、流程和技术在任何安全计划中都可以发挥作用。通过专注于软件的安全性、开发人员知识和合规性要求,可以将敏捷学习整合到安全代码程序中,从而随着时间的推移减少源代码中的漏洞。Vis向该领域的专业人员提供这些建议,希望在开发人员团队中培养安全技能。
背景
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及设备和设备。Viswanath S. Chirravuri 是泰雷兹的软件安全技术总监。Viswanath,又称 Vis,他的职业生涯最初是作为一名程序员开始的。他现在是泰雷兹的高级安全负责人,在安全行业拥有超过18年的经验,并拥有30多项认证,包括CISSP、PMP和GSE。他已经在超过18个国家培养了3,000多名软件专业人员。此外,Vis在国际网络安全锦标赛(例如Netwars)中赢得了超过10枚SANS挑战币,并且是GIAC顾问委员会的活跃成员。我们与 Vis 进行了交谈,了解他如何协调人员、流程和技术,在泰雷兹成功开发安全代码学习计划。
情况
当Vis开始在泰雷兹工作时,他指导各业务部门研究通过笔试发现的漏洞的来源,以此作为减少科技债务积压的可能解决方案。应用程序安全团队使用了与他们合作的7家不同供应商来巩固其安全态势——从IAST/DAST工具到笔试工具。Vis希望了解市场趋势并以可扩展的方式管理威胁,通过流程和技术之间的强大整合来制定缓解策略。这意味着从纯粹的基于工具的方法转向具有强大学习成分的策略。他注意到许多开发人员没有安全背景或安全技能。他最初的方法是就OWASP Top 10等主题为开发人员提供基于课堂的培训,但他很快意识到,面对面授课所需的全部差旅以及需要接触全球成千上万的开发人员,这种培训规模无法扩大。维斯指出:
“安全与发展之间的比例总是不平衡的。即使我的安全性与开发者的比例为 1:1,我也无法让他们一直参与进来。让我们的开发人员及时了解新的攻击载体、最佳实践、新语言和新发现的漏洞,这意味着我们需要能够促进开发人员的自我学习,让他们能够按照自己的节奏前进。如果他们需要帮助,我可以帮助他们,但我意识到我不能成为教他们如何修复他们发现的每一个漏洞的人。”
最初,开发经理认识到,有这么多开发人员是从头开始的,因此对开发人员需要花在安全代码学习上的时间进行反对。Vis 需要控制这样的看法,即承诺安全代码学习可能会干扰软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法来正确激励组织花时间进行安全代码的敏捷学习。Vis采取以人为本的态度从源头解决漏洞, “人们经常说安全占用了开发时间。对我来说,如果你开发了一些不安全的东西,那么一开始就是在浪费时间。您应该始终开发安全的软件,从而节省自己修复本来可以轻松避免的漏洞的时间。我们都应该有一个共同的目标,那就是发布可靠的代码。”
行动
Vis有两个主要目标:保护他们的软件和提高泰雷兹开发团队的安全意识。实施一项允许开发人员独立并按照自己的节奏进行培训的计划至关重要。Vis的战略是随着时间的推移建立一个安全社区,努力将安全编码与公司政策联系起来,并制定组织中安全代码学习的要求。通过鼓励一种将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励倍增效应。涌现出对安全充满热情的安全倡导者,这是他们日常工作的一部分,这有助于在整个组织中传播对安全编码实践的认识。Vis对十几家安全培训供应商进行了评估,并于2019年成为SCW的客户。对于泰雷兹来说,如果供应商能够涵盖其环境中的所有编程语言和框架,而不是零敲碎打的解决方案,这是一个巨大的好处。Vis 依靠 Secure Code Warrior 的大量内容为安全计划中的开发人员提供培训和自定进度的学习机会:
“OWASP 前十名不仅仅是你需要知道的十件事。OWASP 涵盖的漏洞的深度和多样性,加上编程语言的数量之多,可能会让人不知所措——我们在这些问题上面临的广泛挑战和报道是选择 SCW 的关键因素。他们总是在添加新东西。深度、主题的多样性、最新的内容以及对安全代码设计原则的关注确实使SCW与众不同。有了他们,这不是一次性培训,相反,我们获得了建立持续计划的机会。”
Vis 和他的团队设计了安全代码学习计划的四个层次的推出,每个工程职位都有不同的里程碑:
重要的是,SCW 成为漏洞修复的真实来源。Vis没有依赖可能导致你进行故障排除的谷歌搜索,而是发布了AppSec团队的指南和SCW内容库中的指南,这样开发人员就可以参考可信的真实来源来修复代码中的漏洞。根据维斯的说法:
“开发人员不应自由决定如何修复漏洞,也不应在此过程中可能引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种确保交付安全软件的开发人员得到认可的方法。我们要求他们达到一定程度的安全编码,我们可以通过他们解决且不会重新引入的漏洞来跟踪这一点。这样,他们所做的辛勤工作就会得到公司的认可和重视。”
结果
Vis和他的团队每月发布一份安全代码简报,在那里他们可以认出公司中最优秀的学习者。他们使用 SCW 来查看评估分数、锦标赛参与情况以及为扩大成就而进行的挑战。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞的总数。在实施SCW之后,他注意到趋势线呈下降趋势。这些漏洞不会在源代码级别重新引入。Vis 是这样说的:
“我们向管理层提交的关键绩效指标反映了我们做出的明智选择。我们为自己的安全代码培训而感到自豪,这为我们的客户带来了商业信心。我们因其全面的安全代码培训计划而获得认可,并受到客户和同行的尊重。当你有这样的计划时,它会为你的公司增加很多价值。”
关键要点
Vis 认识到,人员、流程和技术在任何安全计划中都可以发挥作用。通过专注于软件的安全性、开发人员知识和合规性要求,可以将敏捷学习整合到安全代码程序中,从而随着时间的推移减少源代码中的漏洞。Vis向该领域的专业人员提供这些建议,希望在开发人员团队中培养安全技能。
背景
泰雷兹集团是一家法国跨国公司,为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及设备和设备。Viswanath S. Chirravuri 是泰雷兹的软件安全技术总监。Viswanath,又称 Vis,他的职业生涯最初是作为一名程序员开始的。他现在是泰雷兹的高级安全负责人,在安全行业拥有超过18年的经验,并拥有30多项认证,包括CISSP、PMP和GSE。他已经在超过18个国家培养了3,000多名软件专业人员。此外,Vis在国际网络安全锦标赛(例如Netwars)中赢得了超过10枚SANS挑战币,并且是GIAC顾问委员会的活跃成员。我们与 Vis 进行了交谈,了解他如何协调人员、流程和技术,在泰雷兹成功开发安全代码学习计划。
情况
当Vis开始在泰雷兹工作时,他指导各业务部门研究通过笔试发现的漏洞的来源,以此作为减少科技债务积压的可能解决方案。应用程序安全团队使用了与他们合作的7家不同供应商来巩固其安全态势——从IAST/DAST工具到笔试工具。Vis希望了解市场趋势并以可扩展的方式管理威胁,通过流程和技术之间的强大整合来制定缓解策略。这意味着从纯粹的基于工具的方法转向具有强大学习成分的策略。他注意到许多开发人员没有安全背景或安全技能。他最初的方法是就OWASP Top 10等主题为开发人员提供基于课堂的培训,但他很快意识到,面对面授课所需的全部差旅以及需要接触全球成千上万的开发人员,这种培训规模无法扩大。维斯指出:
“安全与发展之间的比例总是不平衡的。即使我的安全性与开发者的比例为 1:1,我也无法让他们一直参与进来。让我们的开发人员及时了解新的攻击载体、最佳实践、新语言和新发现的漏洞,这意味着我们需要能够促进开发人员的自我学习,让他们能够按照自己的节奏前进。如果他们需要帮助,我可以帮助他们,但我意识到我不能成为教他们如何修复他们发现的每一个漏洞的人。”
最初,开发经理认识到,有这么多开发人员是从头开始的,因此对开发人员需要花在安全代码学习上的时间进行反对。Vis 需要控制这样的看法,即承诺安全代码学习可能会干扰软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法来正确激励组织花时间进行安全代码的敏捷学习。Vis采取以人为本的态度从源头解决漏洞, “人们经常说安全占用了开发时间。对我来说,如果你开发了一些不安全的东西,那么一开始就是在浪费时间。您应该始终开发安全的软件,从而节省自己修复本来可以轻松避免的漏洞的时间。我们都应该有一个共同的目标,那就是发布可靠的代码。”
行动
Vis有两个主要目标:保护他们的软件和提高泰雷兹开发团队的安全意识。实施一项允许开发人员独立并按照自己的节奏进行培训的计划至关重要。Vis的战略是随着时间的推移建立一个安全社区,努力将安全编码与公司政策联系起来,并制定组织中安全代码学习的要求。通过鼓励一种将开发人员、测试人员、架构师和工程师联系起来的社区文化,他看到了激励倍增效应。涌现出对安全充满热情的安全倡导者,这是他们日常工作的一部分,这有助于在整个组织中传播对安全编码实践的认识。Vis对十几家安全培训供应商进行了评估,并于2019年成为SCW的客户。对于泰雷兹来说,如果供应商能够涵盖其环境中的所有编程语言和框架,而不是零敲碎打的解决方案,这是一个巨大的好处。Vis 依靠 Secure Code Warrior 的大量内容为安全计划中的开发人员提供培训和自定进度的学习机会:
“OWASP 前十名不仅仅是你需要知道的十件事。OWASP 涵盖的漏洞的深度和多样性,加上编程语言的数量之多,可能会让人不知所措——我们在这些问题上面临的广泛挑战和报道是选择 SCW 的关键因素。他们总是在添加新东西。深度、主题的多样性、最新的内容以及对安全代码设计原则的关注确实使SCW与众不同。有了他们,这不是一次性培训,相反,我们获得了建立持续计划的机会。”
Vis 和他的团队设计了安全代码学习计划的四个层次的推出,每个工程职位都有不同的里程碑:
重要的是,SCW 成为漏洞修复的真实来源。Vis没有依赖可能导致你进行故障排除的谷歌搜索,而是发布了AppSec团队的指南和SCW内容库中的指南,这样开发人员就可以参考可信的真实来源来修复代码中的漏洞。根据维斯的说法:
“开发人员不应自由决定如何修复漏洞,也不应在此过程中可能引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中,以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种确保交付安全软件的开发人员得到认可的方法。我们要求他们达到一定程度的安全编码,我们可以通过他们解决且不会重新引入的漏洞来跟踪这一点。这样,他们所做的辛勤工作就会得到公司的认可和重视。”
结果
Vis和他的团队每月发布一份安全代码简报,在那里他们可以认出公司中最优秀的学习者。他们使用 SCW 来查看评估分数、锦标赛参与情况以及为扩大成就而进行的挑战。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞的总数。在实施SCW之后,他注意到趋势线呈下降趋势。这些漏洞不会在源代码级别重新引入。Vis 是这样说的:
“我们向管理层提交的关键绩效指标反映了我们做出的明智选择。我们为自己的安全代码培训而感到自豪,这为我们的客户带来了商业信心。我们因其全面的安全代码培训计划而获得认可,并受到客户和同行的尊重。当你有这样的计划时,它会为你的公司增加很多价值。”
关键要点
Vis 认识到,人员、流程和技术在任何安全计划中都可以发挥作用。通过专注于软件的安全性、开发人员知识和合规性要求,可以将敏捷学习整合到安全代码程序中,从而随着时间的推移减少源代码中的漏洞。Vis向该领域的专业人员提供这些建议,希望在开发人员团队中培养安全技能。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
