所有关于测试的信息
将安全性纳入软件设计过程的好处是今年讨论的话题利兹,随着笔测试人员希望通过使所有企业团队的安全责任来减轻负担。
Booking.com的工程测试经理Dan Smart解释了他如何制定公司的整体安全策略 - 这项任务围绕软件测试人员的教育而着重。
Smart上周对会议与会者说:“最终,这是对安全性左移动的一种练习,但也可以看作是进入安全测试的替代路线。”
“付出一些努力,每个人都可以有一些安全的理解,并在专家的新手规模上处于某个地方。”
考虑大局
从去年开始,Smart决定通过教授测试人员的黑客基础知识来“流氓”并发展Booking.com的安全姿势。
他说,这家电子商务巨头的曼彻斯特办公室(Smart)所在,拥有一个CISO和小型安全团队,“只能做很多事情”。
他说:“如果我们把一切都留给安全团队寻找,他们通常会进行消防,不幸的是,有时是保姆。”
“他们(安全团队)应该考虑更大的情况,而不是找到XSS漏洞XSS漏洞之后。”
SMART将OWASP前十名作为教学材料,为公司内的测试人员创建了安全研讨会,总共培训了15名员工。
Smart说:“我花时间帮助团队学习,帮助他们找到时间学习,帮助他们找到资源,并为他们提供安全的学习场所。”
他还鼓励测试人员在讨论的安全主题上找到其他专家,并参与更广泛的社区。
Smart说:“为此,测试人员可以将知识带回他们的团队中,以便在产品生命周期的各个方面讨论安全性,质量和其他测试讨论。”its importance to both customers and the company’s brand.
测试水
Smart说,此后,安全研讨会已向测试团队推出,并将其扩展到其他团队中,并与一项集中策略一起进行,该策略涉及传达“有关安全测试的基本信息”,并记录了如何基于基于安全性集成安全的准则employee’ role within the company.
SMART以培训测试人员的身份开始,部分原因是他自己从事这项工作的经验。该公司的基础架构也简化了这一过程。
Smart说:“我们在每个产品团队中都有一个测试人员,这对我们有用,因为我们已经嵌入了测试人员。”“这样,我们就可以渗透到每个团队,并为每个团队驻扎安全大使。”
他补充说:“如果您没有嵌入的测试仪,那么这可能不是您的安全解决方案,这很好 - 这个难题没有一个正确的答案。
“我们希望在所有员工开始时为他们创建一个流程。”
自SMART开始培训以来,测试人员已经开始记录安全错误,并且Booking.com计划创建一个由来自不同学科的员工组成的安全公会,这些员工都对安全性有共同的兴趣。
Smart说:“我们希望发布实践标准并与各个团队合作,以改善其安全实践。”
旅行预订公司还开始了公共漏洞赏金计划通过hackerone。
斯玛特说:“最终,我们希望将其带回家中。”
