将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习:第 1 部分-AppSec
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分,共分为两部分。在本章中,我们将详细介绍 AppSec 专家如何与开发经理密切合作,以增强开发人员的能力,加强 SSDLC 并从一般立法中获得具体成果。
“合规” 一词不是很令人兴奋。它是正式的、枯燥的、指令性的... 在语气上甚至还有一点限制。如果它有颜色,那将是米色。而且,好吧,这似乎与任何形式的创造环境或创新都不一致。
作为一名开发人员,我的 “合规” 经历通常意味着(纵向)通读一些指南或观看演示文稿,然后再回到编码功能领域,专注于创建客户会使用和喜爱的软件。每个人都保留当下力所能及的内容(并始终努力做正确的事情),但是合规指南,尤其是围绕安全最佳实践的准则,通常不是以开发人员为目标受众来制定的,而且任何必要的行动都可能不清楚。在这种情况下,仅仅按照当前的目标完成任务就太容易了。
问题是,安全软件开发不再是任何公司的 “好事”;它是(或应该)每个组织的头等大事... 如果它持有大量敏感的客户信息,那么该公司在网络攻击方面做出选择的时机已经成熟。开发人员是第一个亲身体验代码的人,因此,他们应该像团队其他成员一样参与任何安全合规措施。
但是,等等... 听我说。这并不意味着每个人都必须成为僵化、无创造力的开发和软件成果的奴隶。这意味着企业有机会和力量共同创建更高的代码标准。如此缓慢,世界正在迎头赶上这样一个事实,即迄今为止,开发人员还没有将安全作为优先事项的正确工具(孤立的安全专家无法单独承担责任)。但是,随着该行业朝着以安全为共同责任的DevSecOps未来迈进,一旦为成功做好准备,它们可以帮助阻止反复出现的漏洞流动。
PCI-DSS指南涵盖了信用卡支付网关的在线安全合规性——我们大多数人经常使用这种服务。这些指导方针适用于全球,实际上 详细概述了开发人员必须采取哪些措施来使标准符合其要求,旁边 几份合规文件 跨电子商务业务的各个方面。
数据泄露是企业承受不起的可怕的、破坏声誉的风险,而网络安全风险投资公司则预示着零日泄露将达到这些风险 2021 年每天一个,这是软件交付过程中的每个人都可以帮助解决的问题。
让我们分解一下 PCI-DSS 的建议,以及它们如何在整个团队中发挥作用:
嘿,AppSec 和合规团队:并非所有开发人员培训都是一样的
大型(甚至小型)组织的开发人员在接受的工作培训中很少有大量的意见。为了留住明星员工,一些公司确实提供了全面的计划,但这些计划仍然不太常见。安全培训的需求提供了一个很好的机会,不仅可以启动组织合规性而不会让所有人流下眼泪,还可以开始与开发团队建立冷淡的关系。
在PCI合规性方面,你可以看到,他们的指导方针对任何运行支付网关的软件的预期结果都非常具体;除其他目标外,他们希望强化应用程序(对于阻止恶意软件至关重要) 代码注入 或篡改)、最低权限控制和对常见漏洞的全面认识... 至少。所有处理持卡人数据的人员都必须接受充分的培训,对于开发人员来说,这种培训可以决定他们从流程一开始就成功编写安全代码的成败。
官方的 维护 PCI-DSS 合规性的最佳实践 文档详细介绍了有关安全意识、开发人员需求和相应培训的一些直接概念,例如:
版权所有 © 2006-2020 PCI 安全标准委员会,有限责任公司。版权所有。
这可以深入了解为开发人员提供必要技能所需的具体、深入的培训,但仍然没有指出任何特定类型的教育解决方案比其他类型的教育解决方案更有效。《PCI-DSS开发人员指南》变得更加直接,将OWASP前十名确定为学习发现和修复最常见漏洞以及一些认证计划的一项基准。
但是... 问题在这里。毫无疑问,您会从各种工作场所培训和合规计划中了解到,它们的质量和未来的成功可能有很大差异。对于开发人员而言,如此多的安全编码培训计划似乎无法以任何有意义的身份满足我们的需求、工作方式甚至我们的日常工作。 在这种情况下,并非所有训练都是一样的,也不是所有的训练都会产生更安全的软件。当然,这与你期望的结果完全相反,也不会显著减轻你自己的工作压力。如果你想减轻负担并阻止常见漏洞造成潜在灾难,你需要建造一座桥梁。
与您站在一起的工程经理弥合安全技能差距
直接与工程经理合作,找到符合目的的解决方案,同时仍能被实际需要这样做的人所接受,这是取得积极安全成果的快速通道。他们将对自己的团队有更直接的见解,并且可以与以前使合规培训变得困难的任何阻碍者交谈(除了大多数时候这不是一种很好的体验)。
基于课堂的培训、视频点播和任何一次性的 “勾选” 练习都使保持最新状态变得非常困难;这些都是静态的解决方案,无法跟上网络安全行业不断变化的格局。最终,工程经理将希望看到时间投入的价值,因此与他们合作并提供可行的选择以实现每个人的共同目标非常重要:更安全、更合规的代码。
那么,良好的训练是什么样子呢?通过一次性的大量信息来学习如何安全地进行编码几乎没有意义。 一个小而渐进的学习过程 这使得它更容易记住和在上下文中应用,而且绝对必须使用每天使用的语言和框架。就我个人而言,我想接受挑战,也想看看自己的努力目的 —— 尽管如此,我们都足够忙碌,对吧?
为了遵守上面概述的PCI-DSS最佳实践,根据所选择的解决方案,经理们可能会发现自己必须将不同的课程拼凑在一起,以涵盖整个业务中使用的所有语言和框架,这时事情就会变得非常混乱,更不用说AppSec和合规团队很难评估对软件的安全性和漏洞减少产生了影响。共同努力寻找合适的选择,而不是匆忙地选择错误的选项来快速获得结果。否则,你最终可能会得到弗兰肯斯坦训练解决方案... 这看起来非常可怕。
感谢您收看这部 PCI-DSS 迷你系列的第一部分。在最后一章中,我们将讨论首席信息安全官和首席技术官如何帮助这种文化转型,为团队提供支持,以及安全前线 “您的开发群体” 如何利用PCI-DSS意识和合规性来发挥自己的优势。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
