Infosec Pro说
面试软件开发人员仍然负担使用不必要的复杂安全工具,这些工具可以导致代码中的解决方法,错误或漏洞,哀叹Github首席安全官(CSO)的哀悼。
自2月以来,Github的首个CSO以前曾担任过二人,以前曾担任过二人组,思科和证书协调中心的高级职位。
在问答中每日swbeplay2018官网ig汉利(Hanley)认为,“掌握安全的基础”与经常被忽视一样重要,并且对GitHub的最新工具的潜力充满热情,以促进“左转”和加强软件供应链。
迈克,新角色到目前为止的表现如何?
迈克·汉利:在Github,这是一个令人难以置信的前八个月,我真的很喜欢平台和团队的规模。
我花费大量时间与客户交谈,各个团队中的利益相关者以及我组织中的人员,以帮助我们制定清晰的策略和对安全的愿景github,然后专注于为这些小组创造出色的安全结果。
到目前为止,您监督了GitHub的安全操作的结构性更改(如果有的话)?
MH:我们从最广泛的意义上处理安全性,因为我们包括传统的安全操作和产品安全工程等传统安全功能,但也具有反滥用和GitHub安全实验室作为我们团队的一部分。
我们将所有这些团队团结在一起,并提高了GitHub内部的功能,因为我们知道安全性和信任是我们所做的一切的核心,并且我们希望确保所有团队都在合作,并共同了解安全的期望和目标。看法。
我很幸运能够担任这一职位,在船上已经有一支了不起的团队,因此在我们撰写下一章时,我们真的专注于前瞻性的投资和机会。我们已经在短短八个月内就已经使团队的规模翻了一番,并且整个团队中都有数十个角色。
您以前的职位中获得的哪些技能和经验证明了您在Github的角色最能转移的问题,为什么?
MH:我的第一个真正的工作是针对一家大型IT服务公司的技术支持。Starting out in a technical support role was extremely valuable in terms of learning about how things break, what that means for the experience of people trying to get their jobs done, and really helping me develop a ‘customer-first’ mindset to everything that I’ve done since.
结合我在Duo Security的经验,我有机会建立安全组织这些经验从头开始并专注于易于使用的安全产品,确实影响了我在Github的安全方法。
GitHub为开源社区提供了许多工具
在一个博客文章您加入Github时写了写的书,您说:“良好的安全性和业务速度在遇到周到的设计和以客户为中心的方法时并不反对概念”。您能详细说明这一点吗?
MH:几十年来,该行业一直在制造很难使用的安全工具。1999年,阿尔玛·惠顿(Alma Whitten)写了一篇名为“为什么约翰尼不能加密’(PDF),介绍为什么不是安全专家使用PGP 5.0的人很难。
您今天可以写同一篇论文,以证明为什么2021年市场上许多安全工具也很难使用。
开发人员不一定是安全专家,即使他们的软件的安全性(分散在我们每天使用的应用程序和服务中)在行业和地理位置上都产生了重大影响。但是,使用一套需要高度安全摩擦或先验知识的复杂工具来负担开发人员的负担可以减慢其进度,并导致代码中的解决方法,错误或漏洞。
不要错过PatchStack的Oliver Sild一次固定WordPress,一次插件漏洞
良好的安全性应直接烘烤到开发过程中,并在开发人员的经验中建立,而不是在最后。平台应专注于有意设计,以平衡可用的帐户安全性与效率和速度以及开发人员想要工作的方式。
这并不是在降低安全标准 - 它为我们期望开发人员的安全经验而提高标准。
您还说,您的优先事项包括“帮助开发人员向左移动”,这与您的“开发人员首先安全”精神一致。Github如何帮助促进这一目标?
MH:我将举两个快速的例子。第一的,GitHub代码最近推出,我们几乎将所有内部开发都转移到了这个新平台上。
从开发人员体验的角度来看,能够在几秒钟内在云中拥有超快速的开发环境真是令人难以置信。
From a security perspective, it’s actually equally remarkable when you think about the fact that you’re no longer worried about potentially tens of thousands of unique physical endpoints, in various states of security hygiene, all with different and heavily customized local environments, and each as a vector for potential attack on a local checkout.
面试Apache Software Foundation Custodians履行组织的创始任务
传统上,这是与端点安全性以及该问题对本地开发的代码的影响相关的一系列真正具有挑战性的问题,但是代码空间意味着您实际上是在该传统的本地攻击表面中抽象出一个非平凡的部分。
我们还有GitHub高级安全性,我们的安全产品和功能套件直接集成到开发人员工作流程中,有助于将安全性转移到左边。
我个人对codeql,GitHub代码扫描背后的基础代码分析引擎以及我们在那里所做的工作,以使人们更容易发现和防止脆弱的代码运输。
加利福尼亚州旧金山的Github总部
开源社区如何解决软件供应链攻击的日益增长的问题?
MH:我们已经免费提供了许多工具开源可以帮助改善其组织和项目安全状况的社区。Github上有数亿个开源项目,我们认为我们有责任通过运输安全优先产品来鼓励和实现建筑商之间的良好安全卫生。
公司认真对待这一责任,并设定了行业标准,制定了诸如此类的工具依赖关系和依赖性审查凭借适量的轻松和摩擦,使软件开发人员可以在自己的项目中进行相同的操作。
增加协作也至关重要,这就是为什么我们还与其他行业领导人合作支持开源安全基金会,我们最新参与一笔1000万美元的资金公告。
有一个公理,没有100%的安全,而安全威胁是无数且难以预测/预测的。您如何分类资源以优先考虑加强安全姿势并帮助开发人员保护其代码库的操作?
MH:我喜欢在Forrester的有针对性的需求层次结构金字塔。Many organizations start at the top, where there’s a lot of interesting action and excitement, but they do that before they have the base of the pyramid – a clear strategy, a focus on developing and retaining talent, and focusing on brilliance at the basics and fundamentals of security.
If you excel at these foundational layers of the pyramid, not only do the higher order activities become more effective and valuable, but you’re also likely dramatically increasing the attack cost for adversaries across the board by mastering the basics, which so often are neglected, leaving the proverbial front door open for whomever wants to walk in.
