开发人员现在需要开始思考安全性
Andy Chou将在devbeat讨论开发者 - 首先安全性。
安全和发展之间的基本关系被打破了。
它破碎,因为安全团队驱动安全,开发团队让他们。在开发人员社区中的觉醒驱动,需要重新平衡这种关系。
开发团队放弃安全性,因为他们不明白。他们绑架了,因为他们太忙了建筑功能。他们放弃了,因为他们太忙的火灾。开发人员忙得太难了。
编辑注意:开发人员!如果您是良好的并且希望成为伟大的,我们即将到来的DevBeat会议,11月12日至13日在旧金山,是一场与硕士课程,演示文稿,Q&AS和Hackathons一起装备的动手活动,旨在提高您的代码技能,安全知识,硬件黑客和职业发展。我们还将有专门的致力于安全性。现在注册。
然而,有一个时间开发人员太忙的时候了。但新的文化已经开始扫过开发人员社区。尊敬的开发人员和博主正在飞行测试驱动的发展横幅。它的激励是为了更快地移动,更频繁地部署并逐步获得反馈。随着这种文化变革,我们已经看到了一阵实用的工具和技术,使测试开发更加高效和自动化。将未经测试的代码投入到质量保证(QA)团队每12个月投入到质量保证(QA)团队的想法开始看起来陈旧和不专业。
发生了什么?开发人员醒来并意识到他们需要拥有质量。QA的工作变得更多关于保证和少关于在最后测试质量的保证。QA正在验证验证,从一开始就建立了质量。这应该给我们希望安全可以遵循相同的路径。
让我们承认,完美的安全软件是不可能的。它在规模中更不可能,使用本身以缺点凭借缺点的框架和操作系统和服务。在极限中,安全是无限成本中心。它从未完全完成。
因此,实际安全必须是效率。它必须是关于找到最大化成本效益的方法。对于任何在开发方面具有成本效益的唯一方法是它尽早被认为。架构问题最便宜,以检测何时设计架构。编码错误最便宜,以检测代码是首次写入的。
我们可以首先作为开发人员认真对待安全。这意味着安全团队没有规模或资源,以找到我们的所有弱点。它意味着实现我们没有必要的安全专业知识,以便为我们设计,代码,测试,部署和维护应用程序的设计,代码,测试,部署和维护一些关键决策。我们有义务在可能产生最大的影响时提取安全专业知识。我们有义务将安全纳入我们的规划,进程和文化。这就是开发人员 - 首先安全最终的安全性。
安迪·安·伯克利·伯克利埃氏的本科学位已经骚扰了四年,并厌倦了调试自己的代码。他在斯坦福的接下来的四年里度过了斯坦福研究方法,通过利用编译器来自动检测代码中的错误。在2003年完成博士后,Andy Cofound的覆盖物商业化这项工作。现在,他喜欢运行覆盖性安全研究实验室。