Роль чемпионов безопасности в команде разработки программного обеспечения, а также Как они помогают создать безопасные приложения
Во-первых, что такое охранный чемпион?
Чемпион по безопасности — это человек в вашей организации, который выступает за лучшие практики безопасности.
Они имеют решающее значение для успеха программы безопасности приложений (AppSec). Чемпионы безопасности jumpstart рано и продолжающиеся усыновление и могут быть синонимичными с помощью популярного термина «евангелист».
Чемпион в этом контексте относится к альтернативному определению чемпиона: «Человек, который борется за дело»
Слово борьба является ключом, потому что эти чемпионы безопасности пытаются выполнить масштабные организационные изменения, что является одной из самых сложных вещей в Бизнес Отказ Люди великолепны при адаптации, но мы не очень хорошо меняемся, когда изменение не исходит изнутри.
Вот почему два из трех Инициативы преобразования не удаются.
Почему нам нужны охранные чемпионы?
Хорошая аналогия — « Agile Champion . «Эти люди ведут подобные усилия, но в контексте гибкого методологии. Поскольку гибкие преобразования принимают От 3 до 5 лет И большинство организаций не могут дождаться этого долго, вам нужны чемпионы в вашей организации, чтобы ускорить принятие.
«В то время как средний генеральный директор длится 8 лет, это CIO, который обычно спонсирует преобразование Agile. И народное пребывание Cio примерно половина генерального директора или 4,3 года ».
То же самое касается чемпионом безопасности приложений. Не только они пытаются трансформировать бизнес, но их отрасль — Appsec — постоянно пытается догнать технологии Экспоненциальный рост Отказ
И, поскольку программные приложения растут в сложности, поэтому выполняйте площадки поверхности для уязвимостей безопасности.
За последний год он не замедлился. Организации вместо этого «удваиваются» на цифровые преобразования. Согласно Отчет от OPSRAMP Самая большая область возросших потрачений находится в безопасности и соблюдении.
Чтобы не отставать от этого прогресса, важно инвестировать время и усилия и усилия компании через известное трио: люди, процесс и технологии.
- Люди: Чемпионы безопасности приложений и CISO
- Процесс: devsecops.
- Технология: Код Безопасности Программное обеспечение
«Appsec был приоритетом номер один для клиентов, ищущих CISO за последние 12 месяцев». -Andre Tehrani, Партнер в rereremint, Inc.
Как вы начинаете с чемпионами безопасности?
В зависимости от вашего бюджета, вы можете нанять полный рабочий день или искать кого-то внутренне, кто является страстным и желающим подойти к нему в качестве цели карьеры.
Вот один пример Описание работы От Wells Fargo для «инженера программного обеспечения — чемпион безопасности приложений».
- » Чемпионы безопасности приложений Fargo Fargo играют в неотъемлемой части программы безопасности приложений предприятия для повышения возможностей управления и восстановления уязвимостей, идентифицированных нашими приложениями и системами ».
С 2015 года Эксперты пропагандируют чемпионов безопасности в каждом команде разработки программного обеспечения. Возможно, вы не сможете персонал сотрудников штатных сотрудников на каждой команде, но по крайней мере, вы можете назначить людей, которые готовы наполнить роль.
Кроме того, кто не готов быть чемпионом?
https://medium.com/media/e92aa5395582ed653db1d66a483a1432/href
Если вам нужна помощь, начать работу, вы можете проверить наш Узнайте сайт где у нас есть много бесплатных ресурсов для подготовки Appsec, как этот Вебинар О важности контекстно-чувствительной безопасности.
Или проверить Поговорите с хаксированного генерального директора Малкольм Макдональдс От сдвига Левой 2.0 конференции «Почему каждый член вашей команды вашего развития должен быть экспертным экспертом (и как туда добраться)».
Оригинал: «https://dev.to/shiftleft/what-is-a-security-champion-and-do-you-need-one-2icb»