Come posso tenere informati i miei colleghi sui problemi di sicurezza?

Se lavori con questi sviluppatori su un incarico di codifica o su qualche altro progetto, puoi far emergere problemi di sicurezza mentre lavori insieme. Potrebbe essere durante la "programmazione coppia" se lavori in questo modo, o come parte di una revisione del codice.

Se scegli questo approccio, devi affrontare problemi realistici basati su minacce reali. Se si menzionano tutte le possibilità paranoiche per gli attacchi, è probabile che semplicemente infastidisca le persone e non riesca a trasmettere il messaggio in modo efficace. Anche quando stavo lavorando per un venditore di sicurezza ho trovato frustranti i paranoici.

Dai un'occhiata a questa domanda Quali risorse di sicurezza dovrebbe seguire uno sviluppatore? poiché questo è rivolto agli sviluppatori.

Se desideri ulteriori informazioni, dai uno sguardo a questi link:

... Risorse per conoscere la sicurezza

... Sito web per apprendere nozioni di base sulla sicurezza del computer

... Se potessi avere solo un libro di sicurezza, quale sarebbe

Durante la mia carriera ho lavorato in ambienti molto incentrati sullo sviluppo e posso confermare che la maggior parte degli sviluppatori porteranno sempre alla vittoria il percorso più breve e, se possibile, scorciatoia a meno che non causi una lenta esecuzione del codice. In genere, i problemi di sicurezza non danno proprio un'occhiata.

Non c'è una risposta giusta o sbagliata a questo poiché ogni sviluppatore / gruppo di sviluppo ha una dinamica diversa e risponde in modi diversi. Detto questo, ci sono cose che puoi fare, come ad esempio:

1. Investi in un addestramento di codifica sicuro in-house. La maggior parte delle principali case PenTest offrirà questo servizio come un servizio in cui invieranno uno dei più brillanti e migliori per venire a lavorare con i tuoi sviluppatori per un periodo di alcuni giorni, guidandoli tra i pericoli dei personaggi che non sfuggono e lasciando i buffer deselezionati: Questo è un ottimo punto di partenza in quanto li fa almeno iniziare a considerare l'errore dei loro modi, ma non dovrebbe essere in isolamento o un'attività fuori dal comune.

2. Successivamente potresti provare a eseguire un po 'di cattura interna del flag / hack-fest che li fa lavorare tutti in un attacco e difendere la capacità di iniziare davvero a vivere i problemi che inavvertitamente creano. Birra gratis & La pizza di solito aiuta a guidare queste sessioni :)

3. Dopo di ciò, per me, il prossimo passo nell'equazione è fornire loro gli strumenti e l'intelligenza necessari per risolvere questi problemi alla fonte mentre vanno. La maggior parte delle boutique di Pen Test ti dirà che le uniche persone che dovrebbero / possono fare l'analisi del codice sono Pen Master con esperienza pluriennale. Questa, ovviamente, è una bugia basata sulle vendite. C'è del vero, in quanto un esperto lettore di codice sorgente può trascinare attraverso migliaia di righe di codice in modo molto più efficiente del tuo sviluppatore medio, quando sta cercando dei bug, ma cosa succede se lo sviluppatore lo fa mentre codifica ? in tal caso, lo sviluppatore sarà più efficiente rispetto al pen tester, ed è qui che inizia a pagare dividendi. In sostanza, prendi un po 'di strumenti gratuiti di revisione del codice sorgente come AppCodeScan, Checkstyle, Hammurapi, JCR (Java Code Reviewer) o2 OWASP e poi rendili parte della build dello sviluppatore, e dai loro il tempo necessario per iniziare a lavorare loro. Se i tuoi sviluppatori possono abbandonare l'ultima funzione che hanno scritto, o cambiamenti importanti, in uno strumento veloce e sporco come quello precedente, prima che colpiscano la compilazione e abbiano la certezza che qualcosa causerà un problema, possono risolverlo rapidamente, pre-release , anche pre alpha.

4. L'ultima parte dell'equazione per me è che il test della penna pre e post release DEVE riportare i risultati nel ciclo di sviluppo, in modo che gli sviluppatori possano vedere i problemi che causano e inserire strategie per fermare la recidiva. . Sembra semplice, ma è spesso trascurato!

Come ho detto all'inizio, non c'è una risposta giusta o sbagliata qui, ma spero che quanto sopra possa darti un'idea o due per andare via e giocare con.

Suggerisco di trovare qualcosa come un capitolo locale di OWASP , o qualcosa del genere.
Vai alle loro riunioni mensili (o ogni volta che ce l'hanno) e porta i tuoi colleghi con te.
Anche se alcune delle lezioni potrebbero non essere pertinenti, porteranno la sicurezza in primo piano nelle loro menti e farle riflettere su di esse. Di solito, otterrai anche dei contenuti davvero fantastici.

Offri loro un corso / certificazione CISSP. È migliore per la loro carriera, è accettato a livello internazionale e copre i concetti di base della sicurezza in profondità. Tuttavia, non aspettarti che diventino esperti in un'area di sicurezza. Quindi i programmatori non diventeranno esperti di sicurezza del software, ma almeno saranno ben consapevoli delle minacce alla sicurezza.

Oltre a "forzarli" a fare CISSP è più facile che costringerli a leggere blog o siti web. Puoi "vendere" la certificazione CISSP presentandola come qualcosa di utile per se stessi che li aiuta nella loro carriera.