Infosec倡导者谈到了每日Swig关于“向左移动”的好处和beplay2018官网障碍
“如果没有安全的情况,软件就不能是最好的。”
这是根据Tanya Janca,谁警告说,如果他们不开始认真对待DevSecops,企业将“可以说是落后于安全曲线”。
詹卡(Janca)自己的职业生涯已经从软件开发人员过渡到倡导者在IT行业中采用DevSecops的倡导者。
在接受采访每日swbeplay2018官网ig,她谈到了为什么公司应该采用“左转”思维方式,一些安全团队在这样做时面临的障碍,以及为什么教育对于克服软件开发工作空间中的障碍至关重要。
beplay2018官网Daily Swig:您的大部分职业都致力于促进行业中的DevSecops。您为什么对此充满热情,为什么公司应该学会接受它?
Tanya Janca:当我是开发人员时,我想创建最好的软件。但是,当我改用安全性时,我意识到,如果不安全,我的软件将不可能是“最好的”。一旦我意识到该行业在AppSec的黑暗中陷入了困境,我就完成了分享我学到的课程的使命。
随着时间的流逝,我学到了越来越多的知识,最终意识到DevSecops是提供安全软件的最快方法,使其成为我最喜欢的课程。我相信公司将不得不迟早接受DevSecops;如果他们不这样做,他们的脆弱性将损害他们的业务,可以这么说,他们会发现自己落后于安全曲线。
DS:公司切换到DevSecops Mindset面临的主要挑战是什么?他们如何克服这些?
TJ:如果公司尚未进行DevOps,那么切换到DevSecops将非常困难。他们将需要同时改变操作,开发和安全计划。对于安全团队来说,这是一个很大的学习曲线和挑战。从其他团队中获得买入至关重要。
也就是说,如果一家公司已经接受了DevOps,那么这种转型将变得容易得多。告诉Devops团队,安全团队将一直停止将大门放在他们面前,他们将更早,更频繁地提供安全反馈,而安全团队希望与他们合作将是一个梦想许多组织。
无论使用什么当前的SDLC(软件开发生命周期)模型,每个参与人员的教育都将有助于克服技术和文化障碍。
DS:您的公司,我们黑客紫色(WHP)在DevSecops提供培训。培训的目标是什么样的Infosec专业人员?
TJ:我们黑客紫色提供按需虚拟培训,这些培训是由各种各样的人进行的:项目经理,开发人员,Appsec人,以及很多人从完全不同的职业(例如护理或教学)中转移。WHP为各种各样的工作付出了很多工作,以吸引各种各样的学生和社区成员。
自一开始以来,多样性,包容性和可访问性一直是我们六个核心价值观中的三个。这导致了大量妇女,有色人种,残疾人以及来自代表性不足的团体的人,决定就读我们的学院并加入我们的社区。我们为这项成就感到自豪。为每个人创造一个安全的地方。
由于Bright Security收购了WHP,WHP不再提供实时的虚拟培训,但我仍然有时间在侧面做些事情 - 在66%的时间内,安全团队购买了服务,无论是为开发人员还是针对开发人员或安全团队本身。有三分之一的时间,我被开发人员团队聘用,他们认为安全团队正在使他们失败,他们希望自己承担自己的职责。
DS:当训练人们拥有DevSecops Mindset时,您会遇到哪些障碍?
TJ:一个非常有趣的情况是,当开发人员秘密雇用我,我必须帮助他们在安全团队的范围内学习和执行AppSec。这听起来有点奇怪,但这比大多数人意识到的(不幸的是)更普遍。许多安全团队反对开发人员控制其软件安全性。
他们担心如果他们给他们工具,开发人员会“破解他们的组织”或“变得恶意”,这是可笑的!恶意软件开发人员是任何组织最糟糕的噩梦。他们已经是黑客,如果愿意的话,可能会造成密集的损害。
给开发人员使用DAST扫描仪或其他安全工具不会改变其道德规范。这与给某人锤子一样。他们不会[只是]开始伤害人们。
DS:您能告诉我们您的新角色吗?
TJ:我领导着Bright的开发人员关系工作。我以前是他们的顾问,所以我已经在提供产品反馈,一般建议,介绍以及偶尔创建内容。现在,我全职工作,再加上一支小型团队,这意味着很多指导(我最喜欢的事情之一!)。
我有一个梦dream以求的团队,喜欢创建内容的人,其中一些是我随身携带的,作为收购的一部分,自从我到达以来,我就雇用了其中一些。在Bright的支持下,我能够在近年来在许多地方和会议上亲自讲话。
DS:您对2022年其余时间的计划是什么,您是否正在研究任何可以分享有关详细信息的项目?
TJ:自从维也纳SEC4DEV大流行以来,我第一次去了欧洲。我还在为女性和其他代表性群体中的其他人提供几项活动。最后,但并非最不重要的一点是,我刚刚签署了我的第二本书《爱丽丝和鲍勃》,《学习安全编码》,这应该在2023年12月发布。
你也许也喜欢“我们仍在战斗上十年的战斗” - Sonatype CTO Brian Fox为确保被忽视的软件供应链的努力
