网安好播客|第4周赛况:敏捷开发与SDL多维视角网络安全

Posted 安在

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网安好播客|第4周赛况:敏捷开发与SDL多维视角网络安全相关的知识,希望对你有一定的参考价值。



网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

2020年2月8日起,基于千聊平台的“安在讲堂”首开直播,迄今为止,我们已经举办了以“危机下的规划与变化”为主题、合计10期网络安全公益讲座(第一季),两场特别专题:好产品谁说了算?——《2020中国网络安全产品用户调查报告》发布暨圆桌论坛,泛社交业务安全风控大家谈。


12场线上直播,平均近2000、单场最高4500,以及累计超过20000的观看人次,“火爆”程度出乎我们预料。广泛的参与,热情的反馈,各界专家和业内大咖的大力支持,都给予我们极大的鼓励,我们趁热打铁,推出了网络安全公益讲座第二季:网安好播客——2020企业网络安全最佳实践直播大赛。


每周直播结束,我们都将对上周的直播进行一次回顾和总结,同时播报当前参赛者的部分关键数据——是的,还请大家不要忘记,这是一场以公益直播形式进行的比赛。不仅直播者需要费尽心力来获得荣耀,所有参与直播的观众也统统有奖:打卡直播、分享直播间即有机会赢取Ipad与AirPodsPro,知识星球内专帖互动,每周好礼送不停~


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

(注:本期文章所有内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。)






网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


猪八戒网齐迹:敏捷开发下的SDL


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


截至统计时:

收看直播人数:324

讨论数量:67

签到人数:47

直播间分享数:2

安全行业需要做SDL已经成为一种共识,但是,安全为什么要做SDL,其解决了哪些问题,也是安全人必须要思考的点。答案很简单,做SDL的目的就是让安全的风险前置,让很多问题在开发阶段暴露出来并将这些问题一一解决。如此,不论是成本还是风险,都会比上线之后再去解决要小得多。不过,在企业实际落地过程中,想要做好SDL还需要一些前置条件,才能真正实现风险前置的目的。

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全 

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


企业究竟什么时候做SDL才合适呢?齐迹给出了他的建议:一、已经过了救火阶段;二、已有较为完善的规范,特别是研发类的规范和流程;三、团队具备一定的工程能力;四、对公司研发现状有深入的了解;五、价值被上级认可。



网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


直播提问精选:


Q:代码扫描出来的问题,往往不像渗透测试发现的漏洞那样可证明利用,那怎么跟领导展示价值?


A:代码扫描出问题很难被证明利用。一般情况下,我们说有问题那就是真的有问题,话语权还是比较强。另一方面,比如说某些问题大家都会使用或看到,危害性比较严重,这是可以进行证明利用。


但是也有很多项目,比如内部的Double项目就很难去证明利用,我们可能都找不到可以输入的入口,所以我们会进行综合评估,Double类的项目就不做检测,web类项目才会进行检测。这样的话,他们的感知会好一点,我们也避免了证明不了存在问题的尴尬境地。


对于领导展示的话,我们不太看重漏洞的数量和等级,而是之前提到的,测试过后那些漏掉后上线的产品出了多少问题。





网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


南京银行何颖:多维视角下的网络安全


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全 

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


截至统计时:

收看直播人数:330

讨论数量:49

签到人数:46

直播间分享数:9


日常工作中,不同岗位的人员在讨论网络安全时,时常会因为沟通不畅而效率低下。因此,何颖从自身经验出发,分享了不同角色眼里的网络安全。他描述了几个场景、几种角色对网络安全的不同看法,以及他个人作为金融科技体系内的网络安全负责人,对网络安全的理解。


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全 

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


何颖认为,安全管理工作要做的就是不断的、持续的重新识别安全边界,重新定义安全边界,不断优化边界的防护手段。因为安全技术的攻与守总是不停的相互进化,是一个动态更新的过程,安全工作要以安全合规为目标,安全管理为手段,安全技术为保障。


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全



直播提问精选:

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全 

Q:在提高安全管理团队战斗力,提高应对风险能力方面,是否有相关经验可以分享?


A:提高安全管理团队的战斗力可以从两方面来看,一是内部的力量,二是如何借助团队外部的力量。内部的力量是指,团队中哪些人做合规管理,哪些去做技术研发,以及安全技术人员的能力如何提升。


外部的力量,一方面是技术团队,比如如何利用系统、网络、应用、开发层面的力量,并提高他们的技术;另一方面是向往外扩展,如何利用外部更专业的安全公司,安全专业人员的力量。


还有提升应对风险的能力方面,你如传统的运维所有的应对业务连续性的那些能力,安全也应该具备。除此之外,银行业还有巴萨尔协议,在银行内部有三道防线的概念,也就是说除了科技条线外,还有合规风险的合规团队以及审计的团队。从企业管理角度来看,三道防线的设置,其逻辑性很有讲究,其他行业也可以借鉴。







在上周直播中,我们已抽出数位幸运观众,现在此公布,祝贺中奖的朋友!



网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全 安在文集封面预览



网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全


知识星球免费券+安在文集 

获奖者


Qing

Ip7x12v5





安在文集

获奖者


simon guo

字温

波叔

ELVES

左师

赖平

Xiao

Cocoa

抛抛小破邮




另外,在直播间签到、分享直播间就有机会赢得Ipad与AirPodsPro,目前已有37位观众打卡超过5次,其中9人满10次,不仅免费获得安在文集一本,还向大奖更近一步!


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

本着广泛参与、公开办赛、共同受益之原则,主办方欢迎各界支持与赞助合作,除全过程品牌露出外,赛季结束后,我们还会制作完整的大赛专刊(刊载所有直播实录和干货内容),并以纸质件方式送达精准受众,届时也将在大赛专刊中展示赞助商品牌。


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

具体合作意向,请联系接洽微信

椰子

网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

截止目前,我们已经与以下单位签约合作并得到赞助支持,这里表示感谢。


网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全



推荐阅读






网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全
网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全

齐心抗疫 与你同在 网安好播客|第4周赛况:敏捷开发与SDL、多维视角网络安全




点【在看】的人最好看


以上是关于网安好播客|第4周赛况:敏捷开发与SDL多维视角网络安全的主要内容,如果未能解决你的问题,请参考以下文章

敏捷开发模式下的SDL实践

信息安全≠数据安全,山石网科发布2021《数据安全治理白皮书》

基于Hadoop的个人网盘的设计周进展情况记录表(10周)

终极蛇皮上帝视角之铁头娃之鲁迅之暑假闲的慌之bilibili看尚学堂网课的非洲酋长java小复习

学习总结

十五周个人作业