压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

看三家不同企業(yè)如何令開發(fā)與安全團(tuán)隊(duì)無(wú)縫協(xié)作：微軟、威瑞森和 Pokémon Company（口袋妖怪公司）。

開發(fā)團(tuán)隊(duì)與安全團(tuán)隊(duì)之間的關(guān)系總是容易引發(fā)論戰(zhàn)。安全團(tuán)隊(duì)會(huì)在涉及數(shù)據(jù)和系統(tǒng)防護(hù)的問題上將開發(fā)人員視為惹麻煩的人，而開發(fā)人員則常常把安全團(tuán)隊(duì)當(dāng)成打斷自己工作流的人。

如果公司沒能創(chuàng)建開發(fā)和安全團(tuán)隊(duì)之間的協(xié)作環(huán)境，沒能為安全和開發(fā)團(tuán)隊(duì)樹立共同目標(biāo)，那二者互相看不順眼再正常不過。缺乏為共同目標(biāo)協(xié)作的文化，兩支團(tuán)隊(duì)難免彼此沖突。

DevSecOps 是安全成為開發(fā)過程組成部分的一種方式。該方式要求開發(fā)人員和安全人員相互理解和尊重各自團(tuán)隊(duì)的工作。成功的 DevSecOps 過程會(huì)減少兩支團(tuán)隊(duì)的壓力，避免漏洞被無(wú)意間引入代碼。

本文分析的三家公司，微軟、威瑞森和口袋妖怪公司，都有各自不同的商業(yè)模式和安全需求。但三者均得益于在內(nèi)部開發(fā)過程中采取了 DevSecOps 方法。

威瑞森開發(fā)者儀表板提供漏洞可見性

向云端遷移的過程中，威瑞森 IT 部門的 AppSec 團(tuán)隊(duì)需要一種方法來(lái)推動(dòng)安全 DevOps 操作。他們還想要在公司內(nèi)部驅(qū)動(dòng)企業(yè)文化的改變。應(yīng)用安全 IT 總監(jiān) Manah Khalil 解釋道：

我們需要更可持續(xù)性的東西，可以幫助我們的中心化團(tuán)隊(duì)構(gòu)筑更大影響力，同時(shí)又不會(huì)給 IT 應(yīng)用團(tuán)隊(duì)增加太多負(fù)擔(dān)。

為完成這些目標(biāo)，他們采用了 DevSecOps 方法，但依然需說(shuō)服開發(fā)者接受這種方法。為推進(jìn)此方法和培育安全文化，威瑞森創(chuàng)建了開發(fā)者儀表板程序。該程序?qū)⒙┒垂芾淼募夹g(shù)方面與個(gè)人責(zé)任相結(jié)合，幫助將安全思維灌注到公司開發(fā)人員腦中。

開發(fā)者儀表板是對(duì)威瑞森業(yè)務(wù)應(yīng)用中漏洞引入方式的集中式實(shí)時(shí)記錄。該程序監(jiān)視 2,100 個(gè)程序（萬(wàn)行代碼級(jí)），跟蹤記錄掃描頻率、結(jié)果和每個(gè)應(yīng)用中漏洞的類型及密度。開發(fā)生命周期中漏洞引入的位置和引入者均可由此呈現(xiàn)。

通常，你可以測(cè)量軟件中的漏洞數(shù)量和密度，但這些東西怎么與安全文化關(guān)聯(lián)起來(lái)？你手上的儀表板太多了：有關(guān)注構(gòu)建質(zhì)量的，有觀測(cè)代碼質(zhì)量的，有查看新構(gòu)建生成、測(cè)試和部署頻率的……但這些很大程度上不過意味著待辦事項(xiàng)列表。我們?cè)噲D將之作為尋求改變和安全文化轉(zhuǎn)變的一種方式。

該儀表板從多個(gè)源頭拉取信息，包括資產(chǎn)管理、學(xué)習(xí)管理系統(tǒng) (LMS)、版本控制、代碼分析、集成開發(fā)環(huán)境工具、第三方掃描工具、配置數(shù)據(jù)和 Web 及防火墻日志。Khalil 認(rèn)為，我們?cè)谠撻_發(fā)者儀表板中打造的每一樣?xùn)|西都是為了做出改變，然后量化該變動(dòng)的。

此開發(fā)者儀表板能夠提供威瑞森漏洞風(fēng)險(xiǎn)的綜合視圖，就可能給業(yè)務(wù)引入的風(fēng)險(xiǎn)為開發(fā)者提供近實(shí)時(shí)反饋。還有助于為個(gè)人和公司帶來(lái)更長(zhǎng)期性的改變。

經(jīng)驗(yàn)：找辦法增加能讓開發(fā)人員變得更好的自主權(quán)和機(jī)會(huì)。命令開發(fā)人員修復(fù)漏洞不是可持續(xù)的方法，僅僅短期內(nèi)有所幫助。持續(xù)給予開發(fā)人員即時(shí)反饋能使他們找出提升技術(shù)的方法。

口袋妖怪公司從設(shè)計(jì)上擁抱安全，保護(hù)兒童隱私

2016 年《口袋妖怪 Go》手游的大獲成功給口袋妖怪公司同期帶來(lái)了責(zé)任問題?？吹?8 億下載量，而且其中很多還是兒童下載的，該公司知道：自己不僅必須遵從歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 等隱私標(biāo)準(zhǔn)，還必須向憂慮的父母展現(xiàn)出能夠守護(hù)好孩子個(gè)人數(shù)據(jù)的可信賴感。這意味著必須創(chuàng)建通行整個(gè)公司的安全文化，包括開發(fā)部門。

《口袋妖怪 Go》由拆分自谷歌的 Niantic 開發(fā)。游戲運(yùn)營(yíng)由兩家公司共同承擔(dān)?？诖止緡?guó)際的信息安全總監(jiān)兼數(shù)據(jù)保護(hù)官 John Visneski 稱：他們控制應(yīng)用上執(zhí)行的東西，控制一定比例的后端，我們控制《兒童在線隱私幫助法案》(COPPA) 合規(guī)相關(guān)的一點(diǎn)后端。

但這只是數(shù)據(jù)拼圖的一部分。不僅僅是《口袋妖怪 Go》，該公司其他應(yīng)用、實(shí)體交易卡牌游戲的當(dāng)面對(duì)戰(zhàn)、某些視頻游戲等也會(huì)收集用戶數(shù)據(jù)。

目標(biāo)不是我可以說(shuō) ‘好的，我們可以收集這些’，或者 ‘不行，我們不能收集那些。’ 而是要在整個(gè)公司內(nèi)樹立起安全文化。最終，員工不知不覺中就成為了隱私和安全專家。

Visneski 覺得這比簡(jiǎn)單地讓安全充當(dāng)反對(duì)者更能被公司里其他部門的人接受，參與度更高。他說(shuō)：我們的安全哲學(xué)是：首先是業(yè)務(wù)促進(jìn)者，然后才是安全專業(yè)人員。

我們?cè)噲D確保提出的第一個(gè)問題不是關(guān)于風(fēng)險(xiǎn)的；這不是什么威脅或花哨工具的問題。我們首先想的是公司需要什么、業(yè)務(wù)目標(biāo)是什么，我們的技術(shù)團(tuán)隊(duì)怎樣讓業(yè)務(wù)更有效、更高效？

這種思維方式可以防止安全人員僅僅被視為阻止業(yè)務(wù)人員做這做那的人，讓安全團(tuán)隊(duì)成為業(yè)務(wù)人員想要在會(huì)議上看到，能夠幫助他們達(dá)成目標(biāo)的人。

該公司啟用 Sumo Logic 就是安全成為業(yè)務(wù)促進(jìn)者的一個(gè)樣例。該日志管理與分析提供商主要是為安全分析功能而引入的，但現(xiàn)在整個(gè)公司都在用，包括 DevOps 在內(nèi)。Visneski 稱：我們的第二大用戶是在我們游戲工作室干活的那些人。這就讓我們得以將數(shù)據(jù)安全集成到全公司，切實(shí)驅(qū)動(dòng)業(yè)務(wù)流程。

經(jīng)驗(yàn)：安全需被開發(fā)者視為驅(qū)動(dòng)力和合作伙伴。如果安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)都具備 “從業(yè)務(wù)出發(fā)” 的思維方式，那他們就更有可能在開發(fā)和漏洞測(cè)試過程中協(xié)同。

共享信息、最佳實(shí)踐將微軟的開發(fā)與安全擰在一起

軟件巨頭微軟認(rèn)為自己在開發(fā)與安全運(yùn)營(yíng)上達(dá)成了共同目標(biāo)，而這一共同目標(biāo)為其內(nèi)部及商業(yè)軟件和服務(wù)構(gòu)筑了更好的安全。

微軟的方法很簡(jiǎn)單，建立在持續(xù)的良好培訓(xùn)和溝通上。但執(zhí)行該方法并不簡(jiǎn)單。該方法的執(zhí)行需要兩支團(tuán)隊(duì)的認(rèn)同、持續(xù)的培訓(xùn)、有效溝通，以及最重要的，得到高管層的認(rèn)可。

微軟 CISO Bret Arsenault 表示，最初，他們提出了安全開發(fā)生命周期，就是在盒裝產(chǎn)品中做威脅建模和代碼質(zhì)量保障的方法論。然后，2008 年，開始做在線服務(wù)。現(xiàn)在，他們的安全工程團(tuán)隊(duì)既做運(yùn)營(yíng)安全，也做服務(wù)和產(chǎn)品安全。而且每月都對(duì)每個(gè)團(tuán)隊(duì)進(jìn)行安全審查，確保安全無(wú)處不在。

這些團(tuán)隊(duì)在紅區(qū) (Red Zone) 會(huì)議上分析安全最佳實(shí)踐。Arsenault 稱：我們相互采用對(duì)方的[最佳實(shí)踐]，既有技術(shù)，也有經(jīng)驗(yàn)和能力。

缺乏理解和糟糕的溝通會(huì)給安全和開發(fā)團(tuán)隊(duì)之間的關(guān)系蒙上陰影。兩支團(tuán)隊(duì)需要共享知識(shí)，需覺得能相互幫助達(dá)成共同目標(biāo)。為此，微軟創(chuàng)建了 Strike 培訓(xùn)項(xiàng)目。微軟云和 AI 部門安全工程副總裁 Bharat Shah 表示，改變并推動(dòng)文化——改變 DNA，是通過教育和一系列行為與評(píng)估達(dá)成的。

微軟從三個(gè)角度看待該改變。首先，通過業(yè)務(wù)執(zhí)行標(biāo)準(zhǔn)培訓(xùn)所有員工，其中總是包含安排培訓(xùn)。緊接著就是微軟所謂的 “安全地基”，讓他們能在更深層次上為所有員工解決安全問題。

第三層添加了專為所有微軟工程師設(shè)計(jì)的 Strike 培訓(xùn)。這是閉門培訓(xùn)，帶領(lǐng)微軟工程師了解攻擊者所作所為，幫助他們理解全局威脅態(tài)勢(shì)。

這些 Strike 培訓(xùn)讓開發(fā)人員和工程師理解微軟安全事件背后的原因、黑客使用的技術(shù)和戰(zhàn)術(shù)，以及自己可用的工具。其目標(biāo)是幫助他們打造一張同事與資源網(wǎng)，讓他們能夠用來(lái)確保安全嵌入到自己所做的每件事中。

你怎么確保你的代碼、身份、密碼和其他所有東西都做對(duì)了？我們是非常規(guī)范的。

Arsenault 將培訓(xùn)視為把 IT 和安全黏合到一起的關(guān)鍵因素，但運(yùn)營(yíng)團(tuán)隊(duì)月度審查、微軟管理和評(píng)估風(fēng)險(xiǎn)的方式，以及該風(fēng)險(xiǎn)評(píng)估如何從工程師上報(bào)至董事會(huì)和風(fēng)險(xiǎn)管理委員會(huì)，才是讓這一切有效運(yùn)作的東西。

每月一次，我老板會(huì)審查安全記分卡，每張都指導(dǎo)并推動(dòng)你認(rèn)為對(duì)團(tuán)隊(duì)來(lái)說(shuō)重要的東西。這是一種由上至下的文化，培訓(xùn)則在由下至上層面上的。

Shah 團(tuán)隊(duì)中的安全保障專家查看代碼中的錯(cuò)誤和缺陷，查閱所有核心審查。然后他們會(huì)將自己看出的東西轉(zhuǎn)至工程團(tuán)隊(duì)其他成員，某些情況下有助于清除整理漏洞。Shah 表示，有時(shí)候，他們會(huì)把發(fā)現(xiàn)的東西推回工具組或編譯組，甚至推回靜態(tài)分析之類的東西里，僅僅是為了在更大的范圍里捕獲這些漏洞。

Shah 及其團(tuán)隊(duì)所做的很大一部分工作是為微軟的工程師構(gòu)建安全服務(wù)，讓他們能夠?qū)踩?“融入” 他們的工程過程和系統(tǒng)里。

最重要的是，我們構(gòu)建這些高精度的服務(wù)幫助我們的工程師做對(duì)安全。

這些服務(wù)中有一個(gè)是解決漏洞管理和掃描的。Shah 稱，Azure 上超過 90 個(gè)數(shù)據(jù)中心，幾百萬(wàn)臺(tái)虛擬機(jī)。自己不可能一次掃描一臺(tái)虛擬機(jī)，所以他們構(gòu)建了大規(guī)模漏洞掃描基礎(chǔ)設(shè)施，只要有必要，可以一天大范圍掃描兩次、三次乃至四次。這使得微軟的工程師可以快速找出并修復(fù)未打補(bǔ)丁的虛擬機(jī)或服務(wù)。

Shah 團(tuán)隊(duì)里的工程師就像其他微軟團(tuán)隊(duì)里的工程師一樣構(gòu)建大規(guī)模服務(wù)。站在這個(gè)角度上說(shuō)，安全變得有點(diǎn)令人討厭，也更能理解。再加上安全人員分享的威脅風(fēng)險(xiǎn)，工程團(tuán)隊(duì)能夠明白為什么他們需要帶著安全思維開發(fā)。

經(jīng)驗(yàn)：安全和開發(fā)對(duì)各自所做工作相互了解越深，開發(fā)過程中他們的共情和協(xié)作就會(huì)越好。最終產(chǎn)品中的漏洞會(huì)更少，修復(fù)也會(huì)更快。