提升开发者安全的七大可行实践

最新推荐文章于 2024-10-12 12:08:08 发布
最新推荐文章于 2024-10-12 12:08:08 发布
阅读量461 收藏
点赞数
文章标签: 编程语言 java 项目管理 人工智能 区块链
原文链接:https://codesafe.qianxin.com/#/home
版权
文章强调了在软件开发安全中,同理心是关键。通过面对面交流、安全融入开发流程、培养安全冠军、理解代码、保持耐心、平等对话以及衡量成功等七大实践,可以有效改善开发者安全文化。安全专家分享了如何与开发团队建立联系,提高安全意识,并推动安全成为开发过程的一部分。
摘要由CSDN通过智能技术生成

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

同理心即理解其他人内心感受的能力可能是将安全成功转移到开发世界的秘方。Snyk 公司的联合创始人兼总裁 Guy Podjarny 通过无数次采访发现,嘉宾一直都在谈论同理心、理解以及行动力是以开发者为先的安全文化获得成功的最大要素。

这些业内嘉宾提出的建议可总结为七大实践,相关企业可借此顺利提升开发者为先的安全旅途体验。

1、面对面交流

为了真正地将安全和开发结合起来,双方的积极参与起着重要作用。耐克公司的“代码医生”兼开发者倡导者 Jet Anderson 认为,参与不仅会提升同理心、加强相互理解,而且有助于构建对成功实施文化变化至关重要的关系。Jet 解释了自己为何会尽力参加开发团队的站立会议和社区聚会。Jet 表示,“我去参加社区聚会,谈论他们感兴趣的话题等等。我认为社区不仅是找到开发者的地方,而且也是需要实行文化变化的地方,对吗?你必须具有开发思维的安全专业人员,才能找到具有安全思维的开发专业人员。”

思科安全和信任组织机构的安全架构师 Amanda Honea-Frias 在工作中努力践行同理心。她解释了投入时间和开发人员相处的重要性,“直接对接、一起吃午饭一起学习、一起工作、认真倾听、建立关系、一起出去喝咖啡、真正和他们当同龄人相处,而不是割裂安全和开发。”所有的这些努力都会得到回报。

       2、将安全融入开发

Twilio 公司的产品安全团队精力 Yashvier Kosaraju 表示,将安全融入开发中很重要,“我看重的是对安全的热情而非具体的技能,你能够写代码的更广泛的要求。虽然不一定是生产级别的代码,但我们招聘的主要标准是和开发人员工作的同理心。我希望有人能够和他们合作,给他们需要达成的需求。我们可以提高个体的技能,但无法真正提升他们的同理心。所以我在书中谈到的第一点就是同理心。”

Datadog 公司的产品安全总监 Douglas DePerry 表示该公司的战略类似,“文化是 Datadog 公司的重要组成部分,它告诉我们如何做事情、如何对待他人以及如何与他人合作。”为此,Douglas 将安全专业人员融入到开发团队,以促进相互理解,“我们可以更好地了解这个特定团队如何工作,可以通过修复一些 bug 为他们提供一些价值,或者只是坐在那里提问并交流。”

3、找到冠军

虽然安全冠军计划的好处人尽皆知,但培生公司的DevSecOps 负责人 Nick Vinson 指出,让事情持续鲜活有趣很重要,“因为我们一直在对安全冠军计划开展常规培训和攻击演示,但我们发现大家对安全冠军的热情快速提升,而且开发人员也越来越愿意将自己提名为安全冠军。”安全冠军越多,Nick 的团队就越能更好地管理开发视角。他指出,“我们拥有的安全冠军越多,就会得到越多的开发反馈。这样我们所做的安全能力和测试功能就会得到改进。”

4、理解代码

InVision 公司的安全工程师 Sara Dunnack 在提到优化团队沟通时表示,安全专业人员需要了解自己所保护的代码库,否则就不具备可信度。她指出,“团队中的每个人都是真正的开发者第一、安全第二,显然安全很强大,但也需要深入代码。我认为这是很多安全人可能没想到的最大事情,尤其系统管理员更甚。你需要埋头代码并真正地帮助开发人员、展示给他们具体哪一行代码有问题。”

5、 有耐心

“不是我们和他们,而是我们一起。“Cybercom 公司的首席安全官 Siren Hofvander 表示,她坚决反对这种观点:认为安全仅仅针对”知情的人“,仅凭同理心就会大大改进企业安全态势。她认为安全团队的作用是正确接近开发人员并接受需要时间的事实。她指出,”因为作为一种支持功能,我们必须一直在场。开发团队可能要花三个月才能放下戒备,真正地接受我们,但一旦实现这一点就可以年复一年地和开发团队建立积极的关系。“

6、 站在同一层面

Jet 还表示安全和开发社区必须站在同一高度,“如果我们没有刻意获得他们的知识并给予他们所需的深层技术知识,那么我们就没有增加价值。“

7、衡量成功

文化创建的成功与否真的可以衡量吗?思科公司的 Amanda Honea-Frias 认为可以。她通过清晰的规划触及同理心和文化构建,因此她自然要评估效果。她表示调查不仅衡量了成功与否还提供了持续受到反馈的另一种方法。她表示,“基本上我们关注的是保持渠道畅通,发送调查问卷是其中之一。任何你能够获得反馈的方法都可以,或者直接和开发人员聊他们想要什么而不是我们想要什么。”

推荐阅读

为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》

给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程

微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架

原文链接

https://snyk.io/blog/steps-to-improve-developer-security/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
17个提升开发团队效率的方法
AI天才研究院
07-31 3074
程序员、项目经理等从事技术工作的人每天都面临着大量重复性劳动,如沟通协调、分配任务、组织流程、提升团队技能、处理突发事件、创造价值并达成共识。如何更高效地提升开发团队的效率,让每个人都能在工作获得高效的产出,是每个软件工程师的重要职责之一。软件行业已经成为一个高度竞争的市场,新进的技术人员往往需要花较多的时间去学习新知识和技术,而这些时间其实并不值得。因此,如何更好地整合各项资源,实现各方面的效益最大化,就显得尤为重要。
Python安全编程:避免常见安全漏洞及防范措施
AI天才研究院
08-11 368
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
着重培养软件开发安全意识
sw_jane的博客
05-11 521
着重培养软件开发安全意识 软件安全问题的根本原因有两个:一个是软件本身存在安全问题,另一个是软件在应用程序存在安全威胁(即软件面临严重的外部威胁)。尽管现代软件功能强大且复杂,但不存在没有漏洞的软件。只有存在漏洞,才有可能被利用。同时,计算机网络硬件发展迅速,软件应用环境越来越复杂,软件应用面临越来越多的内部和外部威胁。 随着网络和计算机技术应用的发展,信息安全漏洞变得越来越严重。根据国国家信息安全漏洞库(CNNVD),从2019年7月29日到2019年8月4日,共收集到567个安全漏洞,比上周(265
课程分享 | 做好安全开发不得不说的那些事
最新发布
zitao20230629的博客
10-12 662
在数字化时代,软件应用已经成为我们日常生活和工作不可或缺的一部分。随着网络攻击手段日益复杂化,确保软件的安全性变得至关重要。安全开发不仅能够保护用户数据和企业资产,还能提升用户体验和品牌形象。
安全开发最佳实践
桀骜不逊
05-30 230
安全编码(各种语言) https://github.com/Tencent/secguide https://mp.weixin.qq.com/s/yzg5uVnoJDTyaH2Wn8Vo7w https://mp.weixin.qq.com/s/Yp1e28hBXZREbK5ThjEpMA 安全设计 安全设计原则 最小攻击面 默认安全 权限最小化 纵深防御 失败安全 不信任第三方系统 业务隔离 公开设计 简化系统设计 使用白名单 CIA 鉴权/授权/不可抵赖 STRIDE 假冒 篡改 否认 信息泄露
提升开发安全5大成熟度 跨国企业落地默安“一站式”方案
moresec的博客
03-10 7139
旅游营销专家德比软件案例分享。
转载 | 身份管理的15个安全开发实践
chidongzhou7494的博客
09-04 119
应用或服务的安全编码很重要,但若事关处理个人数据的系统,那就不仅仅是重要,而是至关重要了。 软件分析公司CAST分析了1380个软件应用,在代码发现了惊人的130万个漏洞。 有点网络安全常识的人都知道,软件漏洞就是向网络罪犯敞开的大门。 身份管理可以说是所有技术门类风险最大的服务。身份盗...
提升编程实力:面向对象七大原则与软件复用
面向对象编程是软件开发的核心理念,其成功应用的关键在于遵循一系列基本原则。...因此,掌握和实践面向对象七大原则对于任何开发者来说都是至关重要的,它们是构建高效、可维护和可扩展软件的基石。
Panda3D图形渲染速成课:掌握性能提升七大策略
[Panda3D图形渲染速成课:掌握性能提升七大策略](https://i0.wp.com/prosperocoder.com/wp-content/uploads/2021/02/image-331.png?resize=1200%2C590&ssl=1) # 1. Panda3D图形渲染基础 ## 1.1 Panda3D渲染流程...
一文读懂「LM,Large Model / Foundation Model」大模型
女王の专属领地
02-03 3935
大模型是指具有大量参数的机器学习模型,通常指深度学习模型。首先,大模型这个词是建立在神经网络模型上的。神经网络是一种基于生物学神经系统结构和功能的计算模型,旨在模仿人脑的学习和决策过程该模型由多个神经元组成,这些神经元通过权重连接形成层次结构,通常分为输入层、隐藏层和输出层。输入层接收原始数据,输出层产生最终的输出,而隐藏层在这两者之间进行间处理。神经网络通过学习调整连接权重,从而能够识别模式、进行分类、回归等任务。
腾讯安全发布《应用安全开发能力图谱》
qcloud_security的博客
07-11 1199
​​产业互联网快速发展的同时也面临诸多安全挑战,安全威胁的发展呈现出新的特征和形势,应用系统面临的威胁环境不断变化,其安全形势仍不容乐观。研究机构近年来对网络安全态势的分析表明,由应用软件漏洞导致的安全事件一直占据着排行榜靠前位置,这些安全事件既造成了严重的数据泄露,又对企业的生产经营带来了重大影响。 美国国家标准与技术研究所(NIST)评估,如果在应用系统上线之后进行软件漏洞修复,其修复成本是需求设计阶段修复成本的几十倍,所以应用软件的安全质量不仅仅是测试出来的,更是设计开发出来的。腾讯安全专家咨询
开发安全应用程序(一)-- 开发安全 Web 应用程序
懒散狂徒的专栏
07-26 3517
 开发安全 Web 应用程序当只有声明性安全性不足以表述应用程序的安全性模型时,具有安全性意识的应用程序使用程序性安全性。程序性安全性由下列步骤组成:在 servlet 或 JSP 代码添加必需的安全性方法。 (可选)创建具有角色名字段的安全性角色引用元素。因为安全性 API isUserInRole() 可使用实际的角色名来作为参数,所以不必创建安全性角色引用元素。但是,好的做法是使用角色
Web开发安全
赤蓝紫の博客
02-06 2735
Web开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 个人博客(欢迎光临):Web开发安全(赤蓝紫) 1. 攻击 1.1 跨站脚本攻击(XSS) XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 如填写表单信息时,如果盲目相信用户的提交内容,那么假如用户填写了类似<script>alert("注入恶意代码")</script>的信息,然后直接通过element.innerHTML
安全开发(一)
Clare Tung
07-21 345
文章目录安全开发身份认证Basic AuthJWTOAuth访问DDos攻击间人攻击SSLStrip攻击HSTS输入处理输出CSRF攻击SQL注入攻击XSS跨站脚本攻击 安全开发 身份认证 Basic Auth 在HTTP,基本认证(Basic access authentication)是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 缺点 客户端和服务器主机之间的连接是安全可信的。如果没有使用SSL/TLS这样的传输层安全的协议,那么以明文传输的
开发安全模型
weixin_43515983的博客
11-04 486
开发安全模型
安全开发-wyscan设计结构
Coisini的博客
05-27 453
开发常见安全问题
水巷石子的博客
09-06 2535
用户输入控制 不要相信用户的任何输入 对用户的任何输入进行检查过滤(后端进行检查,或前后端一起) 严格控制用户的输入(如数据类型、数据大小及文件上传格式等) 对于来自非可信的跨域请求应进行拒绝 对于敏感的操作(代码执行、文件操作等)不要和用户的输入相关,应由开发人员定义好,用户仅通过参数调用定义好的语句 访问及权限控制 遵循最小授权原则 对于用户的权限的验证应发生在任何非公共资源的访问过程 用户登出时应及时清理会话等信息 对访问的方式进行控制,如不使用PUT、DELETE等请求方法时,应禁止相
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值