开发者经验就是安全

2022-02-21 08:32:13

DevOps运动(及其分支DevSecOps)旨在通过打破团队之间的竖井来提高软件部署的频率和质量。当团队之间的隔阂消失时,我们经常看到任务“左移”,或者在开发周期的早期移动,这样开发人员就可以在编写代码时理解并解决生产问题。当我们谈论安全转移时,它意味着团队在整个SDLC中加强安全实践。

(顺便说一句,来自谷歌的Dave Stanke在与我的同事Kelly Fitzpatrick和Tracy Miranda的CD基金会讨论一个小组时,用了一个令人愉快的片语,而不是用“左移”Sank这个短语,而是谈论“左撇”。我喜欢这个短语,因为它如此令人信服地证明了这一点。这意味着安全仍然存在,并由专业的安全团队发起,但变化在于希望将其传播到SDLC。)

DevOps(和DevSecOps)是一种文化变革,这种变革必须是双向的。安全团队需要更早地参与谈判。它们不能仅仅是生产前的审查过程,它们需要能够在应用程序的设计阶段获得输入。同样,如果没有开发人员的支持工具,这种文化变化也不可能存在。一个组织不能要求开发人员在不提供支持他们的工具的情况下解决SDLC中越来越大的部分。

如果我们要求开发人员对构建安全应用程序承担越来越大的责任,我们必须让他们尽可能做到无摩擦。我们需要具有内置安全默认值的平台和软件。我们需要嵌入最少特权的原则。我们需要护栏而不是大门。我们需要关注可用性和速度。我们需要减少面向开发人员的配置区域。我们需要自动化。我们需要开发经验。

如果开发人员对安全性的责任越来越大,那么开发人员使用这些安全工具的体验在构建和维护安全应用程序中越来越重要,这是理所当然的。

或者像阿维·道格伦(Avi Douglen)所说的那样(https://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase/6116#6116):以可用性为代价的安全性是以安全性为代价的。

在此浏览器中保存我的姓名、电子邮件和网站,以备下次发表评论。