開發人員是落實DevOps資訊安全的關鍵,趨勢科技揭露訓練心法

開發人員是落實DevOps資訊安全的關鍵,趨勢科技揭露訓練心法 面臨DevOps的開發與維運流程中,落實資訊安全的關鍵,就是相關負責開發人員,如何有效訓練他們的資安技能,便成為企業重要的挑戰。為此,趨勢科技產品授權服務經理曾凱平(KP),他特別在今年的DevOpsDays大會中,談論如何善用如自家線上訓練平臺等工具,以及重視學習過程,而非只看最終成績的觀點。 文/周峻佑 | 2018-09-13發表 圖片來源: 周峻佑攝 企業在實踐DevOps的過程中,若是忽視安全性的考量,一旦遭到攻擊,所有的開發成果,便很可能付諸流水。其中,要落實DevOps的資訊安全,最為關鍵的部分,就是人才的養成。在DevOpsDays 2018 Taipei大會裡,趨勢科技產品授權服務經理曾凱平(KP),便藉著介紹該公司開放一般開發者可用的教育訓練網站,名為程式開發安全道場(Security Coding Dojo)的平臺,透露他的團隊訓練心法。基本上,在網站應用程式的開發流程裡,大致可區分為初期的設計、程式碼的編寫、網站的架設與測試,以及上線營運之後的維護等。曾凱平說,無論那一個階段,相關的執行人員,可是占有舉足輕重的地位。而在DevOps策略的執行過程,除了大量採用自動化與系統化機制,減少人為疏失可能會帶來的影響,事實上,在程式開發、編寫,以及測試的階段,就應該將安全性納入程式碼的內容。從自家線上訓練平臺應用,強調學習過程比成績重要也許,這正是曾凱平特別提到了程式開發安全道場的原因。這個開放原始碼的程式開發者資安教育訓練平臺,由趨勢科技在去年開始免費提供,因此,一般的開發人員,都能直接申請帳號,參與其中的漏洞解題課程。開發人員註冊了這套訓練系統後,便能從白帶階級一路挑戰道場提供的題目,最終升級到最高級的黑帶。這過程裡,開發者總共要挑戰21關卡,其中,每通過3個關卡之後,道場的學員就會晉升一級。每個關卡都與特定的網站漏洞有關,目的就是要讓參與的學員能夠習得相關的安全知識。曾凱平展示他個人在程式開發安全道場(Security Coding Dojo)中的儀表板,個人通過的關卡名稱。這每一行的文字,代表了一個個漏洞的探查測驗。除了個人的關卡挑戰之外,為了增加從遊戲中學習的樂趣,程式開發安全道場也提供了組隊的機制,讓學員能夠參與團隊競賽。這個開放一般開發人員都能使用的線上訓練平臺,主要訴求2大核心功能,包含讓開發人員可充分學習安全開發的所需知識,以及提供團隊合作,一同研究找出漏洞等。曾凱平指出,自這個道場開放至今,不少開發人員在上面挑戰各式關卡,他也聽聞許多企業的主管,將它列為網站開發人員必須執行的測驗,要求他們在指定時間內取得黑帶資格。不過,曾凱平也強調,其實取得黑帶與否,不是他們的道場成立的重點,而是學員能從挑戰題目中,學習到研究可能潛在漏洞的精神,以及資安知識,假如只是為了過關,開發人員猜到答案而晉級,很可能什麼都沒有學到。因此,曾凱平說,他自己的團隊實際在運用這套系統的時候,他會進一步確認,學員理解關卡題目內容的程度,以及他們如何從中找出答案,藉此驗證學員是否因此有所收獲,而非只是答題的正確與否。 iThome Security

更多訊息更多資料都在這裡喔!~超視王~SEO~蜂王乳~關鍵字排名~葉黃素~南極冰洋磷蝦油~台灣綠蜂膠~網站排名~智勝王~健康食品~PPLS~蜂王漿~神經滋養物質~芙婷寶~保健食品~維力康~磷蝦油~GOOGLE排名

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *