原标题:开发人员是落实DevOps资讯安全的关键,趋势科技揭露训练心法
图片来源:周峻佑摄
企业在实践DevOps的过程中,若是忽视安全性的考量,一旦遭到攻击,所有的开发成果,便很可能付诸流水。其中,要落实DevOps的资讯安全,最为关键的部分,就是人才的养成。在DevOpsDays△2018 Taipei大会里,趋势科技产品授权服务经理曾凯平(KP),便借着介绍该公司开放一般开发者可用的教育训练网站,名为程式开发安全道场(Security△Coding△Dojo)的平台,透露他的团队训练心法。
基本上,在网站应用程序的开发流程里,大致可区分为初期的设计、程式码的编写、网站的架设与测试,以及上线营运之后的维护等。曾凯平说,无论那一个阶段,相关的执行人员,可是占有举足轻重的地位。而在DevOps策略的执行过程,除了大量采用自动化与系统化机制,减少人为疏失可能会带来的影响,事实上,在程式开发、编写,以及测试的阶段,就应该将安全性纳入程式码的内容。
从自家线上训练平台应用,强调学习过程比成绩重要也许,这正是曾凯平特别提到了程式开发安全道场的原因。这个开放原始码的程式开发者资安教育训练平台,由趋势科技在去年开始免费提供,因此,一般的开发人员,都能直接申请帐号,参与其中的漏洞解题课程。
开发人员注册了这套训练系统后,便能从白带阶级一路挑战道场提供的题目,最终升级到最高级的黑带。这过程里,开发者总共要挑战21关卡,其中,每通过3个关卡之后,道场的学员就会晋升一级。每个关卡都与特定的网站漏洞有关,目的就是要让参与的学员能够习得相关的安全知识。
曾凯平展示他个人在程式开发安全道场(Security△Coding△Dojo)中的仪表板,个人通过的关卡名称。这每一行的文字,代表了一个个漏洞的探查测验。
除了个人的关卡挑战之外,为了增加从游戏中学习的乐趣,程式开发安全道场也提供了组队的机制,让学员能够参与团队竞赛。
这个开放一般开发人员都能使用的线上训练平台,主要诉求2大核心功能,包含让开发人员可充分学习安全开发的所需知识,以及提供团队合作,一同研究找出漏洞等。
曾凯平指出,自这个道场开放至今,不少开发人员在上面挑战各式关卡,他也听闻许多企业的主管,将它列为网站开发人员必须执行的测验,要求他们在指定时间内取得黑带资格。不过,曾凯平也强调,其实取得黑带与否,不是他们的道场成立的重点,而是学员能从挑战题目中,学习到研究可能潜在漏洞的精神,以及资安知识,假如只是为了过关,开发人员猜到答案而晋级,很可能什么都没有学到。因此,曾凯平说,他自己的团队实际在运用这套系统的时候,他会进一步确认,学员理解关卡题目内容的程度,以及他们如何从中找出答案,借此验证学员是否因此有所收获,而非只是答题的正确与否。
相关:
Google地图如何标示出全球1.1亿栋建筑?关键就是机器学习
Google地图再进化,要从平面浏览介面,越来越立体化,甚至借助机器学习技术,要将全球建筑物的立体俯视图,绘制到Google△地图上,从年初至今,Google已经在地图上标绘出1亿1千栋建筑物,要让人们使用地图更直觉地了
趋势科技不当搜集使用者浏览资讯疑虑,执行长陈怡桦亲自对外说明
趋势科技执行长陈怡桦回台接受记者访问时表示,该公司Mac系列产品原先基于保护使用者,搜集保留浏览资讯的作法,未来会全权交由使用者决定。 图片来源: 黄彦棻摄 近日,有资安公司质疑趋势科技在Mac电脑上的软件产
图片来源: Stripe 支付平台Stripe与Harris△Poll今年针对全球数千名横跨30个产业的C级(C-level)主管展开调查,显示出“好的开发人员带你上天堂!”高素质的软件工程师已成为企业最宝贵的资源,有潜力在未来10年替全
示意图,与新闻事件无关。 GuardianApp团队上周指出,有愈来愈多的iOS程式嵌入了可将位置资讯传送给第三方的套件,这些程式通常提供了需要位置服务权限的正当理由,却鲜少或根本没有提及将把这些位置资讯与第三方分
打破Mac安全迷思,广告过滤工具Adware Doctor、两款趋势科技软件被爆会窃取个资
示意图,与新闻事件无关。 图片来源: Apple 多款Mac版软件,包括广受欢迎的广告过滤工具Adware△Doctor、趋势科技的Dr. Antivirus、Dr. Cleaner等被发现搜集用户个资。前者还将资料传给中国,现已被苹果下架。安全