惠勒说
该主题的领先专家告诉您软件供应链的安全性,解决数十年来编码课程的缺陷可能会对软件供应链的安全产生深远影响每日swbeplay2018官网ig。
特别是,Linux基金会开源供应链安全总监David A Wheeler在未将安全性纳入入门级开发人员课程与少数少数常见错误类别的绝大多数漏洞之间达到了联系。
IT博士学位和认证信息系统安全专业人员(CISSP)也是弗吉尼亚州乔治·梅森大学(George Mason University)的计算机科学兼职教授,并于2020年在美国国防分析研究所(Univestute for Anewess Analysis)结束了33年的咒语。
beplay2018官网Daily Swig:David,您可以总结您的背景以及您目前的角色涉及什么?
大卫惠勒:自初中以来,我就喜欢计算机,并通过学校进行计算机咨询付出了自己的代价。我还简要地维护了世界上第一个完全基于文本的商业广告,多人游戏角色扮演游戏,哥特的权杖。
现在,我在乔治·梅森大学(George Mason University)教授如何开发安全软件 - 几十年来我研究过的软件。
我的大部分工作都是在开源安全基金会上Openssf[其成员包括AWS,Google和Microsoft]。我认为自己的角色是一种催化剂或促进剂。我可以作为主题专家四处奔波,以帮助组织提高其软件的安全性。
大卫·惠勒(David A Wheeler)研究了安全开发数十年的软件
DS:改进的最大障碍是什么应用程序安全?
道:基本问题是,我们不教软件开发人员如何编写安全软件。
我不在乎这是单独的课程还是嵌入(在其他编码课程中) - 这不是问题。问题是:当软件开发人员学习他们的工艺基础知识时,他们是否学习开发安全软件的基础知识?答案主要是“否”。
2019年Forrester研究发现没有一个美国顶级的编码学校,也没有一门非美国计算机科学学校都在教书。另一项研究发现,只有一所学校在圣地亚哥加州大学。对他们有好处,其余的。
DS:让我们想象所有编码学校立即修改了他们的课程,以纳入安全基础。我们会看到随着精通安全开发人员的新浪潮的出现,脆弱性会稳步下降?
道:通常估计,所有漏洞的90%至95%之间是一组相对较小的普通漏洞[类]。
因此,如果您教育开发人员有系统地防止它们,然后使用工具来查找散乱者,那么我们可以至少降低至少一个数量级(甚至两个)实际上滑倒的漏洞的数量。
他们还可以找到并解决过去造成的问题。
目前,检测,响应和恢复被进入部署系统的漏洞数量所淹没,因此,当漏洞稀有得多时,对抗攻击者将容易得多。这实际上就是“转移左派”的论点:越早摆脱问题,越好。
DS:考虑到软件漏洞的潜在严重后果,为什么在编码课程中忽略了安全性?
道:我们的教育体系并不总是应对社会需求。Oracle和15年前左右的其他一些人写了一封公开的信,他们基本上恳求大学(以适当地教育他们)。
但是有时候他们(大学)想教他们想要教的内容,而且社会的需求是什么。
DS:这能否部分反映出许多教育工作者在网络威胁不那么多且严重的情况下学会了他们的手艺这样的事实?
道:在[早期]互联网上,人们大多与他们认为可以信任的人有联系。但是,一旦您看到了Internet的增长和90年代的全球网络,那么很快就会[他们意识到]不,您不能仅仅相信您连接到的任意计算机beplay体育能用吗。
但是教育保守主义并不是全部不好。实际上,教经过时间考验的东西,这是明智的。自1970年代以来,就已经知道了基本的[计算]设计原理。
推荐的“安全团队经常与开发人员抗衡” AppSec:Tanya Janca驾驶DevSecops采用
DS:是否有商业激励措施在工作中有利于迅速编码而不是安全地编码?
道:也许在某种程度上对于营利性组织,但我认为更大的营利性问题是,如果您知道如何做[安全开发],那么您可能会在行业中获得两倍或三倍[与教学相比]。你不会教的。
我教书,但这是我的忙碌。我喜欢教书。乔治·梅森大学(George Mason University)距离我有20分钟的时间,与其他一些大学相比,与行业的联系更大。
DS:我们如何说服或激励教育提供者将安全提供者嵌入编码课程中?
道:我认为这是一个可解决的问题 - 基本上,社会需要更大声尖叫。
美国花费大量的资金融资学位,包括计算机科学。如果我们要付款,也许我们可以有一些标准?
DS:“向左移动”或DevSecops背后的动力是否可以帮助说服教育提供者改变重点?
道:我想这么认为,但是我认为这在一段时间内持续了社会和行业的压力,这会有所作为。
目前,DevSecops [由少数派正确实践,我们需要确保[安全开发]不仅是多数人,而且是[所有开发人员]的期望。
惠勒说,开发人员没有被教授一般安全原则 - 更不用说如何应用它们了
几年前,我非常努力地将安全性添加到软件工程课程中,经过很大的压力和辩论[提供商]最终添加了“安全性”一词 - 没有内容,只是安全性可能很重要!
ACM软件工程课程指导至少确实谈论知道如何开发安全软件,但缺乏关键细节。
但是我愿意相信,继续强调我们可以使学术界和许多其他组织进入船上,以确保软件开发人员知道基本面。
DS:新手开发人员应教授哪些基本面?
道:有什么常见问题?我们一般如何阻止他们?您如何设计软件,以免受到攻击?哪种工具可以帮助开发人员处理?
这些一般原则和应用它们的能力是重要的[技能],但今天缺乏。
我在2020年加入Linux基金会时所做的第一件事是开发开发安全软件的课程基本面。现在有成千上万的人注册。
乔治·梅森大学(George Mason University)最初同意每隔一个学期每学期完成我的课程,而且很快就在每个学期 - 需求。
但这是一门可选的研究生课程。在社会上,我们确实需要更深入地研究并[成为专家]的人,但我们也需要每个开发人员了解基础知识。
DS:开发人员了解如何使用安全工具有多重要?
道:如果您正在做DevOps,则几乎需要CI管道,这是插入安全工具的明显场所。但是,如果开发人员不知道他们在做什么,他们将不知道该工具在告诉他们什么以及该怎么做。
用工具的傻瓜仍然是个傻瓜。他们并不愚蠢 - 只是没有人告诉他们。教育和工具齐头并进。
这些工具会错过事物或报告上下文中实际上不是问题的事情。计算机程序不 - 不能 - 知道完整的上下文。
但是,只要开发人员知道要使用哪些工具以及如何使用,他们就可以做一些令人惊奇的事情。
DS:最后,OpenSSF的各种计划旨在加强软件供应链安全性吗?
道:无论是行业,学术界还是政府,我们都在使用开源软件,因此我的第一个音调是:参与OpenSSF。我们希望看到更多的人参与其中。
我深入参与了简洁的指南开发安全软件和评估开源软件。较早前,OpenSSF发布了指南开源项目和安全研究人员在[处理]协调[漏洞]披露上。
这Alpha-Omega项目已经为Python软件基金会提供了资金,并为Eclipse(Node)提供了资金...他们与Rust建立了新的合作伙伴关系。他们发布了一些用于查找漏洞的工具 - 再次试图向左移动。
还有一些用于SBOM工作的资金,这是Python库的工具SPDX[软件包数据交换]和[企业]最终用户工作组开始。
