torsdag 9 juni 2011

Integrating security testing into a SDLC: what we learned and have the scars to prove it

Mark Crosbie från IBM höll en underhållande presentation om några utmaningar IBM stött på under sina ansträngningar att få sina produkter säkrare:

  • Metrics for Management
  • Shift security left
  • Security defect database
  • That's not my job
  • Make it fun
  • Make it easy
  • Settling differences
Några av nyckelgrejerna jag tog med mig från det hela:

  • Två magnituder mindre säkerhersbrister genom att ge utvecklarna verktygen och berätta vad han kommer göra vid slutet av utvecklingen. Det vill säga ge utvecklare möjligheten att göra samma sak och fixa sårbarheter innan de når så långt och innan utvecklare "får skit" för att de skrivit sårbar kod.
  • Ge stöd åt de utvecklare som visar framfötterna kommer öka effekten av anstränningarna flerfalt. De blir vänner på insidan och hjälper stort.
  • Använd CVSS för att ge siffror åt sårbarheter. Diskussionen blir då "varför skulle 8.3 vara ett felaktigt värde för den här sårbarheten" som ger andra svar än det tidigare vanligaste svaret "men ingen kommer ju exploita det där, det behöver vi inte fixa".

Ett par andra trevliga tips under "make-it-fun" kategorin var att köra luncha-och-lär, och interna capture-the-flags/hacking tävlingar. Tävlingarna hade gett mycket större effekt än väntat.

På det hela taget en presentation som uppfyllde mina höga förväntningar. Alla tillfällen att lyssna på personer som har erfarenhet från att pusha ut säker utveckling i stora bolag är bra tillfällen. Teorier i all ära, men i verkligheten måste man vara praktisk och använda sig av det som fungerar bäst i just bolaget man är med de människor och processer som finns där. Därför avslutar jag den här posten med ett citat från Mark:
"It's all about small wins in a big war."

Inga kommentarer: