Blog

高级安全情报:指导课程帮助开发人员为 NIST 做好准备

September 23, 2021
Matias Madou, Ph.D.

最近,网络安全行业出现了一些非常可喜的动向。看来许多组织对尽早在软件构建中优先考虑安全性的情绪已开始改善。再加上官方措施,例如 拜登关于网络安全的行政命令,已经明确表示,每个人都需要尽自己的一份力量来确保软件安全和数据安全。特别令人兴奋的是,围绕开发人员在维护安全编码标准方面的作用的讨论仍在继续发展,即使在政府层面也是如此。

但是,对话中缺少了一些东西。该行政命令表明 开发人员需要经过验证的安全技能,但目前还没有这样的官方认证。许多公司仍然遵循以下原则 NIST (他们在回应EO时提供了更新的指导方针),以寻求合规性和更高的软件安全标准,但是如果我们正在考虑大幅减少漏洞,同时采用正确的工具并保持发布速度的策略,那么大多数策略都过于笼统,无法产生预期的结果。这就是许多公司摆脱困境的地方,坚持有限的开发人员培训,或者没有在总体基础上再接再厉,使他们掌握实用的动手技能。

具有安全意识的开发人员不是一成不变的,但是使用正确的工具可以更快地培育和提升他们。为此,我们很高兴地宣布我们自己的专有产品 课程 根据美国政府行政命令的指导方针,遵循NIST的要求。

为开发人员提供有意义的代码级支持

使用行政命令关键(EO 关键)软件的 NIST 指南 这里,我们制定了课程以实现五个关键目标,这五个关键目标最终将提高政府最高层使用的重要软件的安全性,理想情况下,应该从头开始作为更高质量发展的基准。

要想在开发团队中实现真正的突破,任何技能提升都必须超越理论,而且其实施方式不会导致在工作和培训之间不断切换情境以寻找答案并保持敏捷性。细致的安全措施(更不用说安全团队了)被视为按时开发冲刺的障碍,并严重限制了以功能为中心的普通工程师的风格。

根据开发者需求量身定制的简短、可作为零食的微学习获得的欢迎远不那么冷淡,从而培养出令人难忘的实用技能。

看看我们是如何为 NIST 课程设计的:

Guided Courses Helping Developers Get NIST Ready


目标 1:保护 EO 关键软件和 EO 关键软件平台免受未经授权的访问和使用。

攻击者依靠安全配置错误和不当的身份验证做法来成功渗透系统、接管帐户和窃取数据。它们是一个常见的错误,如果成功利用,可能会导致巨大的问题。

安全代码勇士学习平台,开发人员可以根据真实世界的代码片段进行挑战,这些代码片段准确反映了这些错误在日常工作中的出现,并让他们找到准确的解决方案来保护它们。对于开发运营工程师来说,保护基础设施需要细致的访问控制配置,在Terraform、CloudFormation和Ansible等基础设施即代码(IaC)语言以及Docker和Kubernetes中使用的代码中,要满足这一要求存在特殊的挑战。

目标 2:保护 EO 关键软件和 EO 关键软件平台所用数据的机密性、完整性和可用性。

Locate Vulnerability Create Users


为实现这一目标,所有道路都通向出入控制。最近,受损的访问控制取代了注入漏洞,成为该领域的头等大事 OWASP 2021 年前 10 名,这是一个严重的错误,需要具有安全意识的开发人员的技能才能尽早发现和修复。

该课程涉及诸如代码级别的最小权限之类的概念,并帮助灌输一种最佳实践,将用户帐户的访问权限限制在必要区域内的方法。

目标 3:确定并维护环境关键软件平台和部署到这些平台的软件,以保护环境关键软件免受攻击。

大型组织面临的最大挑战之一是对当前使用的所有不同软件、系统和组件进行安全监督。在风险管理和补丁方面,这些要素必须是任何安全程序的优先事项,开发人员必须处于高度戒备状态以进行安全维护。

在 Secure Code Warrior 学习平台上,开发人员可以挑战这些挑战,帮助他们识别和修复易受攻击的组件,以及基于权限的安全配置错误。

目标 4:快速检测、应对涉及 EO 关键软件和 EO 关键软件平台的威胁和事件,并从中恢复。

不幸的是,许多组织在处理网络安全问题时仍然专注于事件响应而不是预防,这很不幸(也是在浪费时间和金钱)。这是一种我们正在努力改变的文化,开发人员在接受过适当的安全最佳实践培训后,将掌控提供预防性火力。

目标 4 要求开发人员根据其职责在软件和网络层面持续监控其环境和端点的安全性。记录和监控不足是另一个常见的阴险错误,工程师能够在日常任务中成功解决这个问题至关重要。

在 Secure Code Warrior 学习平台上,开发人员可以通过挑战来磨练这些技能,无论是使用 Web、API 还是云语言。

安全意识与可持续性。

目标5:加强对人类行为的理解和表现,以促进关键环境软件和环境关键软件平台的安全。

这个目标很笼统,但它是最重要的... 如果不掌握前四个目标,你就无法做到这一点。该指南要求经常开展安全意识活动,所有有关环境关键软件的 “人为行动” 都应由在其角色和职责范围内接受过适当培训的人执行。

除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。

帮助您的开发人员获得宝贵的安全经验值。


开始添加 以您的开发团队今天的经验值和安全智商为例。

标语

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
标语

Explore more blogs

Lorem Issum diam quis eim leboutis ein selerisque lobortis sepitis beelrisque lobortis sepitis celerisque lobortis celeriskue filmentis celeriskue filmentis celeriskue diam

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Enabler 6: Regular Reporting to Leadership

Executive buy-in doesn't sustain itself. Enabler 6 shows how regular reporting keeps leadership engaged, informed, and invested in program success.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo