DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防cdn_cc防御设置_免费测试

05-03 DDOS防御

香港高防cdn_cc防御设置_免费测试

编者按:这是由四部分组成的系列文章的第三部分,与彭博工业集团(Bloomberg Industry Group)产品和基础设施安全主管布莱恩·巴蒂(Bryan Batty)交谈。在第二部分中,Bryan分享了他对管道和SBOM的想法。在本节中,Bryan将讨论正在进行的实验以及如何衡量成功的计划。"如果我们能够将这些数字降下来,那么最终我们实际花在修复安全性上的时间就会更少,而在应用程序中构建安全性的时间就会更多。"——Bryan Batty从惊喜中学习马克·米勒:你最近学到了什么让你感到惊讶?布莱恩·巴蒂:天哪。我在2019年生了我的第一个孩子。所以很多事情我都会说,"哇,我不知道他们能做到!"但我认为这是技术问题。首都一号的黑客攻击令我吃惊。他们是云应用领域的领导者,防御cc最好的办法,而且他们非常擅长安全性。看到这一点让人大吃一惊。马克·米勒:你的团队回去看了看,然后说,"会影响我们吗?"?布莱恩·巴蒂:噢,我认为每个值得他们的人都在所有的技术组织中这样做。我们正在研究不同的加密方法,而我们在云端还不是很成熟。我们到了。在过去的一年半里,我们取得了长足的进步。Capital One的漏洞早在我们采用的时候,我们可以说,"嘿,我们不必回头看看成百上千的S3桶,看看发生了什么。"我们现在正在构建这个。因此,这是一个很好的机会,让我们看看我们目前的做法。实验身体接近马克·米勒:你的团队今年在做什么?你希望完成什么?布莱恩·巴蒂:我在前面提到过让安全专家和开发人员一起工作的实验。这是我们现在正在取得进展的事情。马克·米勒:在同一个房间里?在同一张桌子上?布莱恩·巴蒂:是的,在同一个sprint会议上。不一定全天候坐在那里,而是让他们参加相同的sprint计划会议、backlog整理会议、sprint评审。我们希望他们与开发人员一起工作,ddos慢速攻击防御,甚至做一些代码检入。我不知道是否所有的安全专业人士都能接受。我也不知道是否所有的开发主管都对此感到满意,但在某个遥远的未来,我设想能够将人们转移到不同的角色。在以前的一家公司,我们已经尝试过了。我是"DevOps团队"的成员,我知道这是一种反模式,但事实就是如此。有一个叫DevOps的独立团队是反模式。我们是真正的运营,基础设施就是代码。开发人员正在将这些特性投入生产。我们让开发人员转到我们的团队,然后我们转到开发团队,ntpddos防御,所以我们在那里进行了一些轮换。这是一个很好的实验,但在实践中却行不通,因为人们决定自己想做什么是有原因的。他们想专注于他们正在做的事情。一个Ruby开发者想要成为一个Ruby开发者。他们不一定要查看通话信息。安全专家和AppSec的人也一样,可能是因为笔试。我参与其中,因为我是一个开发者。我更像是一个后卫而不是一个破坏者。我是一个建设者,后来变成了后卫。我想我比其他人更容易进入这个角色。但我看到了很多阻力。测量工作原理马克·米勒:当我们考虑让安全性在开发领域占据一席之地时,我总是试图找到度量标准。最后你得向公司证明这比我们以前做的要好。你用什么来衡量"这起作用了"?我的团队有安全措施吗?布莱恩·巴蒂:我们刚刚开始跟踪平均修复时间。我刚开始看到结果。我们大概是在2019年第一季度末开始跟踪的。我们开始看到修复安全漏洞的平均时间。这是我们真正可以提升的东西。我们可以看到安全问题单被分配给开发团队的时间。我可以指着他们说,"嘿,你们花了很长时间在这个问题上。"如果我们能够把这些数字降下来,那么最终我们实际花在修复安全性上的时间会更少,而在应用程序中构建安全性的时间会更多。马克·米勒:你如何衡量返工?如果你做得对的话,你就要取消所谓的返工这一类。如果你选择引入一个已知的漏洞,阿里高防cdn价格,不管你是不是在代码中做的,然后它被审查过,有人回来说,"嘿,这个东西从一开始就很糟糕。"这是返工的一部分。它同时也起到了修复的作用,但是开发人员关注的是,"好吧,我有我的下一个特性或功能,我正试图构建到这个应用程序中。"从安全角度来看,这种返工或补救工作有多重要?布莱恩·巴蒂:有一些重叠。我们工作时可能会有漏洞,也可能只是新发现的漏洞。这不一定是返工。这只是他们不得不做的事情,因为没人知道这是一个弱点。如果开发人员确实构建了高质量的代码,一方面就不需要一个应用程序安全团队。不过,便宜ddos防御,那就像是套圈。是诺西。安全知识和技能分布在整个组织中,如果有安全团队的话,安全团队不一定需要做很多工作。这是反模式。它有时是自然形成的。有些开发者非常优秀,我当然不想把它拿走。我不想对一个热衷于安全性,但仍然想留在他们的角色的开发人员泼冷水。如果你一定要成为我的冠军,请帮助我帮助你。这样的人确实让我的工作轻松多了。他们已经在构建伟大的应用程序了。我的工作是监督并继续帮助教育。在我的组织中,我们有不同成熟度级别的开发团队,就安全性而言。我的一个团队,看了看我们的工具,"嘿,看起来很棒。"我每周看一次。当一个重要的组件出现时,我会收到警报,但这几乎从来没有发生过。其他团队我需要花更多的时间,提供更多的安全教育和安全意识。识别竞争目标布莱恩·巴蒂:至于让一个AppSec团队完全消失,那将是一件非常非常糟糕的事情,因为在一天结束时,谁在养活这个人。开发人员?他们的目标就是特色。他们的目标是取悦他们的老板,让他们的耳朵后面的刮痕,并把功能投入生产。他们老板的目标或业务主管的目标都是收入。他们正在努力争取市场份额。他们试图使自己与竞争对手脱颖而出,提高公司声誉。里面没有任何关于安全的东西。现在说到名声。。。我们开始有点接近了,因为如果你有安全漏洞,你的声誉就会受损。企业很关心这一点,所以他们没有一个资本一级的情况,他们是在头版新闻和人们提到他们,就像他们在Equifax。因此,至少有一个人的唯一工作是倡导安全并监督安全进展。是的,如果开发团队能够在安全性方面非常努力地工作并基本上运行自己,那是很好的,但最终,这不是他们的目标。马克·米勒:这不是他们得到的补偿。布莱恩·巴蒂:没错,没错。赔偿是第一要务。他们想拿到年终奖。我们可以在"嘿,今年你修复了多少安全漏洞?"?什么样的?"不只是有多少。要量化安全工作的价值,需要的不仅仅是解决了多少个问题,但这可能是一个开始。可能会有一个程序,开发者会因为这样的事情而获得赞誉。不仅仅是荣誉,还有与他们的报酬直接相关的荣誉。这是我们与布莱恩·巴蒂讨论的第三部分。请阅读第1部分,其中他描述了如何使用软件组合分析(SCA)工具。在第二部分中,布赖恩讨论了他关于让安全成为软件供应链的一个重要部分的想法。最后,在第四部分中,他解释了为什么选择Sonatype平台。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67558.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8954205访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X