1. 游戏化安全性如何改善与开发人员的合作
下午
游戏化安全性如何改善与开发人员的合作
游戏化Skyscanner安全
https appdevelopermagazine com图片新闻图片游戏化的安全性如何改善与开发人员的合作《 App Developer Magazine》照片jpg
应用开发者杂志
游戏化安全性如何改善与开发人员的合作

NetLibSecurity标语

游戏化安全性如何改善与开发人员的合作



安特古兰安特古兰安全五月星期一

Glasswall的首席信息官Dinis Cruz谈到了游戏化在安全中的作用游戏化对我们的安全工作产生了积极影响,增加了安全和工程领域的参与沟通和合作

在经验丰富的专业人员中应对发展挑战扩展安全性无论公司规模大小或行业风险如何,都无法在整个组织中轻松管理集中功能,安全领导者需要其他部门的人员来了解风险并帮助其团队进行补救并降低风险,从而降低安全性。取得成功上个月,我主持了由Cobalt io与Glasswall的Dinis Cruz CISO主持的小组会议,对话围绕游戏化在安全中的作用而进行,尽管安全性绝对不能归结为游戏,但是游戏化确实对我们的安全工作产生了积极影响,并改善了与开发的合作我们考虑游戏化有两个基本原因

有效地扩展安全性

改善工程的安全性

游戏化的设计旨在让人们感到有趣和有趣,但是在介绍游戏之前,请考虑以下重要前提

  • 向高级管理层获取支持询问不同的利益相关者,是否曾经尝试过类似的尝试以及结果如何?利用这种见解来制定游戏化战略?通常,请确保在游戏化方面没有负面含义。在引入新概念时,您要确保过去没有任何鬼魂会困扰您的努力
  • 收集大量的安全数据我们花了大量时间收集有关开发管道漏洞等方面的安全数据负载,甚至在我们不知道该怎么处理之前,我们就已经收集了数据,这有助于以后的游戏化工作
  • 创建安全服务目录创建此目录的目的是能够将数据链接到我们的组织结构链接到我们的服务目录的数据聚合解决方案最初是出于我们自身的安全目的而启动的,但是在看到诸如每个团队在特定资源上花费了多少钱,他们已经在运行多少东西,以及如何将SLA集成到其中,其他工程界很可能很快就会意识到这种解决方案的好处,并开始将其用于基于团队的成本利用率跟踪的结果

现在我们已经研究了前提条件并准备实施游戏化,我想根据我们在Skyscanner上构建的程序提供六点建议

确保每个人都有时间玩

在将安全性游戏化之前,您需要花时间进行工程设计以解决安全问题,在Skyscanner中,我们创建了一种称为“工程健康”的东西,以确保工程团队成员有时间帮助我们确定补救措施并降低风险,我们每个开发团队都致力于大约有四分之一的待解决事项需要改进运营,在待办事项的工程运行状况部分中分配了安全性,因此,每当需要完成与安全性相关的工作时,它就会落入该类中,从而为解决安全性问题创造了时间

从小处着手,并随着时间的推移而扩展

当我们首次引入游戏化时,我们从小规模开始,然后随着时间的推移而扩展。我们并不需要马上提供高质量的数据,而是专注于简单性和小规模的举措。最初的解决方案着重于通过集中化的仪表板来显示数据,该仪表板暴露给所有工程团队。所涉及的完全是围绕各种安全管道工具的启用,而不是复杂且通常是噪声沉重的漏洞馈送。在此阶段,我们甚至没有包含漏洞。由于我们已经超出了该阶段,因此我们正在与其他事物一起添加漏洞数据。从小处着手非常重要,以免使工程师负担太多令人困惑的信息

创建实时反馈循环

游戏化需要一个非常好的沟通计划,以便每个人都能快速看到进度。我们通过实时反馈循环实现了这一目标。我们创建了一个slackbot,可以在不安全的情况下立即向工程师发出警报,并对我们的业务构成一定程度的威胁。快速反馈至关重要从经验中可以看到,几天之后,如果您与开发人员在代码库中遇到错误,则对其进行修复将变得更加困难,因为他们的工作量已经发生了尽可能多的实时修复,这是我们游戏化的主要目标。

使数据随时随地可见

覆盖数据并以易于消化的方式(例如通过仪表板)使其对所有团队连续可见是非常重要的。我们创建了实时仪表板,向所有人公开,显示与我们的工程团队相关的各种安全评分。实时查看例如修复漏洞如何对组织的安全状况产生积极的影响,从而产生巨大的变化。结果人们立即意识到了他们对业务的影响

不要忘记奖励

此概念最合适的奖励模型之一是基于赃物的奖励,例如马克杯,帽子,t恤和对部落和小队的呼喊,它们的得分非常不错。您还可以将与安全相关的工作负载纳入绩效评估,我实际上不建议仅提供财务奖励安全性游戏化,因为尝试过这种方法的公司看到了喜忧参半的结果和潜在的内部利益冲突,即使获得成功团队的奖励,开发商也对主人翁感和对他们如何对安全性产生积极影响的可靠数据做出了更大的反应。商业

寻找更多游戏

游戏化为我们带来了巨大的变化我们目前正在努力进行风险预测,并在游戏化中增加更多的监控和自动化功能,例如,如果我们注意到开发团队在更长的时间内反复引入类似类型的漏洞,则该团队将自动获得关于该主题的强制性培训甚至可以在完成强制性培训之前就阻止关键业务应用程序的部署。通过这种方式,我们提供的培训可以有效地定位,并希望避免使忙碌的工程师和开发人员疲劳

当我们寻求扩展游戏化时,我们希望找到更多方法来数字化和自动化威胁建模到目前为止,我们游戏化工作的结果已经增强了安全性和工程领域的互动交流与合作,因此我想让游戏继续进行



此内容是由来宾作者或赞助者提供的,并非由《 App Developer》杂志的编辑人员撰写,也未必能反映出他们的观点。

精选故事


Humio加入IBM Edge生态系统
Humio加入IBM Edge生态系统五月二


Linux托管的IP Foundation信任
Linux托管的IP Foundation信任五月二


HackerEarth的开发人员调查报告
HackerEarth的开发人员调查报告五月星期一


整个NetLib Security

一种身份保护现在支持Microsoft SQL Server
一种身份保护现在支持Microsoft SQL Server五月五


Couchbase改进了Kubernetes运营商以提供本地云
Couchbase改进了Kubernetes运营商以提供本地云四月星期四


Applitools宣布AB测试支持和Slack集成
Applitools宣布AB测试支持和Slack集成四月星期四


ADTRAN与Orange签署联合开发项目
ADTRAN与Orange签署联合开发项目四月星期一


保持更新

订阅我们的时事通讯以获取头条新闻

成功注册

适用于Apple和Android移动应用程序开发人员的App Developer Magazine February
整个NetLib Security