安全开发人员

2020RSAC：关于安全每个开发人员都需要知道这10件事

E安全3月3日讯，在2020年RSAC大会召开期间，除了展览之外专家意见分享会，成了rsa大会的又一大关注焦点，网安专家会基于自己多年经验和最新的研究给予参展厂家和，研究开发人员不少价值非凡的建议。...

更多全球网络安全资讯，尽在e安全官网 www.easyaq.com

E安全3月3日讯，在2020年RSAC大会召开期间，除了展览之外专家意见分享会，成了rsa大会的又一大关注焦点，网安专家会基于自己多年经验和最新的研究给予参展厂家和，研究开发人员不少价值非凡的建议。Christopher J. Romeo（Security Journey CEO）也在RSA期间发表了演讲，基于网络安全行业给了开发人员，10条重要的建议。

Christopher J. Romeo表示他的建议适用于应用安全程序开发者，厂家中层主管人员和高管人员。在演讲最初，他表示对于研究人员而言开发应用安全程序，的根本目标并不是“零漏洞”，因为“零漏洞”是不可能实现的。首先开发人员应该把目标定为更快，地修复系统漏洞以及尽可能地发现更多漏洞信息。同时，相关安全厂家也不要将，所有安全问题归咎于开发人员，而是应该从可衡量的角度出发尽可能以，改善组织结构来提升安全状况。

随后，他还对 “哪些人应该对安全负责” 进行了数据调查和分析，数据调查结果如下图所示，有81%也就是大部分的受调查者，认为安全责任还是应该由开发者承担，只有21%的受调查者认为责任，应该由整体团队组织负责。 romeo认为这个数据表示了大部分的人依旧还是，没有把安全责任从单一的开发人员上转移到团队中去，这表示开发人员，面临着巨大压力。

同时，在整体数据调查过程中，只有十分之三的程序维护人员认为自己具有高安全性知识，他认为这个数据潜在巨大，安全风险，即使开发者尽力做好了安全，产品开发，后期维护人员的安全意识缺失也会，大大降低产品安全系数。此外，romeo还阐述了安全开发，人员目前面临的两大难题，首先是有调查数据表示有83%开发人员担心他们使用的，开放源代码是不安全的。其次，几乎所有的开发人员都知道，安全固然重要，但是他们可以分配，的时间很有限，48%的开发人员表示他们没有，足够时间花费在系统安全运营上。

开发人员都需要知道的10件事

每个人都是安全人员，安全需求无处不在

在网安行业内，安全系统研发和维护都是，依托于安全人员的基础上，以组织安全文化脉搏为例，需要对安全卫士观点进行收集，对技术领域进行，回顾并找出薄弱环节。在组织安全层面，安全人员应该进行公开交流，简化方法、语言和框架的选择，并提供足够的安全指导。

安全是盟友，而不是对手

安全人员应该意识到他们责任不在于隐藏漏洞，而是需要制定安全计划，和安全形成紧密的关系，更有助于达成有价值，的合作关系。与此同时，安全团队和安全人员的成功是，紧密联系在一起的，因此在公司层面应该，制定相对应核心安全文化，可以引起开发人员的共鸣，同时公司应该为开发人员，提供安全培训，以提高开发人员，安全开发的能力。

不可能有永远安全的系统要采取风险防范的措施

Romeo表示，在制定风险防范措施时，需要管理者考虑您的，组织是如何描述安全性的，如何看待安全性的。并且，重点是确定是否存在，基于当前风险的防范方法。

OWASP工具是安全资源的宝库

在演讲中，Romoe介绍了OWASP工具的重要性。同时他表示在这个建议中，安全人员最先要做的是验证owasp资源是否已经包含，在已有的应用安全程序中。随后他介绍了10个，比较好用的qwasp工具，同时提醒安全人员应该集成zap和，进行依赖项检查。

第三方开源漏洞信息非常猖獗

根据2019年国家软件供应链Sonatype和NPM未来的JavaScript主题报告显示，使用vulns下载Java组件占比:6.1%(2015)、5.5%(2016)、12.1%(2017)和10.3% (2018)与此同时在2018年下载，的npm模块中有11%拥有关键vulns(51%拥有vulns)，这表明第三方开源漏洞数值，占比还是比较高的。对此，romeo建议在分析处理第三方和开源，软件的过程中，安全组织首先应该确认开发人员在编写，代码和构建管道时使用的工具集是否具有安全性。