10 Ways to Expand Your Application Security Knowledge in 2021

10 วิธีในการขยายความรู้ด้านความปลอดภัยของแอปพลิเคชันของคุณในปี 2564

ปีใหม่เป็นช่วงเวลาแห่งธรรมชาติที่จะเพิ่มพูนความรู้และสะท้อนถึงความสำเร็จจากปีที่แล้ว ในปี 2020 หนึ่งในเป้าหมายหลักของทีม AppScan คือการขยายปริมาณและคุณภาพของเนื้อหาผู้นำทางความคิดของเรา เรายินดีที่ได้บรรลุเป้าหมายดังกล่าว

เมื่อวางแผนสำหรับบล็อกนี้ฉันตัดสินใจว่าแนวทางที่ดีที่สุดคือมุ่งเน้นไปที่กิจกรรมที่ผู้อ่านเช่นคุณอาจติดตามในปี 2021 จากนั้นจึงรวมเนื้อหาที่สอดคล้องกับแต่ละกิจกรรมเหล่านั้น เป้าหมายโดยรวมของฉันคือทำให้บทความนี้ใช้งานได้จริงและกระชับที่สุด ขอแนะนำให้คุณใส่แหล่งข้อมูลเพิ่มเติมในส่วนความคิดเห็นของบล็อกนี้หากคุณต้องการ

ดังนั้นไม่ว่าคุณจะอ่านบทความนี้ในเดือนมกราคมหรือไม่กี่เดือนจากการเผยแพร่โปรดมั่นใจได้ว่าคุณจะได้รับประโยชน์จากแหล่งข้อมูลที่ปรากฏด้านล่าง

ในปี 2564 บริษัท ของฉันต้องการ … …ปรับการลงทุนทางการเงินของเราใน AppSec

ทุกวันนี้คุณไม่สามารถที่จะไม่ลงทุนใน Application Security ได้! บล็อกคลาสสิกของฉันมีเหตุผลที่ใช้ได้จริง 5 ประการที่องค์กรของคุณต้องพิจารณาการลงทุนใน AppSec ใหม่ และบล็อกล่าสุดของเราจะสรุปการค้นพบทางการเงินที่สำคัญจากการศึกษา“ Application Security in the DevOps Environment” กับ Ponemon Institute เมื่ออ่านบล็อก Ponemon คุณจะได้เรียนรู้ว่าเหตุใดองค์กรต่างๆที่เข้าร่วมในการวิจัยของ Ponemon จึงต้องเสียค่าใช้จ่ายเฉลี่ย 12 ล้านดอลลาร์อันเป็นผลมาจากการโจมตีแอปพลิเคชันที่มีช่องโหว่

…จ้างพนักงานที่มีประสิทธิภาพมากขึ้น

ในบล็อกยั่วยุที่เผยแพร่ครั้งแรกในเดือนกันยายน 2020 ผู้เขียน Rob Cuddy ได้สรุปลักษณะของ“ New Hybrid Security Employee” ความสามารถของพนักงานไฮบริดรุ่นใหม่นั้นทำได้ดีกว่าขอบเขตทางเทคนิคซึ่งรวมถึงทักษะที่ “อ่อนลง” เช่นการเอาใจใส่ความอยากรู้อยากเห็นการแก้ปัญหาและการทำงานเป็นทีม

ในบทความนี้ Rob ให้คำแนะนำที่เป็นประโยชน์แก่คุณเพื่อสนับสนุนให้ทีมรักษาความปลอดภัยของคุณทำงานเป็นตัวเปิดใช้งานแทนที่จะเป็นผู้เฝ้าประตูในองค์กร นอกจากนี้เขายังอธิบายถึงวิธีที่คุณสามารถเปลี่ยนการตอบสนองต่อการกระตุกเข่าแบบเดิมของ Security ไปยังคำขอที่เข้ามาจาก“ ไม่” เป็น“ ใช่และนี่คือวิธีที่เราดำเนินการอย่างปลอดภัย”

… จัดการความปลอดภัยของแอปพลิเคชันอย่างมีประสิทธิภาพมากขึ้น

ในการสัมมนาผ่านเว็บเดือนกรกฎาคมปี 2020 ซอฟต์แวร์ HCL CISO Joe Rubino ได้แบ่งปันข้อมูลเชิงลึกที่สำคัญเกี่ยวกับการจัดการความปลอดภัยของแอปพลิเคชันอย่างมีประสิทธิภาพในองค์กรระดับโลก ในระหว่างเซสชัน Joe ได้ถ่ายทอดประเด็นสำคัญดังต่อไปนี้ให้กับผู้ดูแล Dave Munson:

  • วิธีจัดการโปรแกรม“ ทำงานจากที่บ้าน” ให้มีประสิทธิภาพมากขึ้น
  • แนวทางปฏิบัติที่ดีที่สุดในการรักษาความน่าเชื่อถือให้กับเพื่อนร่วมงานการพัฒนาของคุณ
  • วิธีควบคุมพลังของปัญญาประดิษฐ์ (AI)

เราได้จัดทำคู่มือสำหรับผู้ฟังที่สะดวกสำหรับกิจกรรมซึ่งมีลิงก์ไปยังการเล่นซ้ำเซสชัน

…รับฟังมุมมองของผู้ปฏิบัติงาน AppSec ในชีวิตจริง

ในซีรีส์พอดคาสต์“ Application Paranoia” ที่ให้ความบันเทิงกับผู้ร่วมดำเนินรายการ Colin Bell, Rob Cuddy และ Kris Duer คุณจะได้ยินมุมมองของผู้ปฏิบัติงาน AppSec ในชีวิตจริงเช่น:

  • Dragan Pleskonjic ผู้อำนวยการฝ่ายความปลอดภัยอาวุโสในอุตสาหกรรมเกมซึ่งให้มุมมองในชีวิตจริงแก่ทีมพอดคาสต์ในตอนที่ # 9
  • Tanya Janca ผู้ก่อตั้งสถาบันการเรียนรู้ออนไลน์ @WeHackPurple ในตอนที่ # 10
  • Jason Gary CTO โซลูชันดิจิทัลของซอฟต์แวร์ HCL ซึ่งกล่าวถึงการฝังแนวทางปฏิบัติด้านความปลอดภัยไว้ในทีมวิศวกรขนาดใหญ่และหลากหลายเช่น HCL’s ในตอนที่ 4

…ขยายความรู้ด้านความปลอดภัยของแอปพลิเคชันของทีมของเรา

ในวิดีโอ YouTube ล่าสุดของเรา Eitan Worcel และฉันได้ตรวจสอบคลังทรัพยากร AppScan ใหม่ของเราซึ่งนำเสนอเนื้อหา AppSec ขุมทรัพย์ให้คุณและทีมของคุณเพื่อตรวจสอบและแบ่งปันกับเพื่อนร่วมงาน

…เพิ่มตัวเลือกการทดสอบ AppSec ของเราให้หลากหลาย

ในบทความที่น่าสนใจ Shahar Sperling หัวหน้าสถาปนิก AppScan นำเสนอแนวคิดของ“? AST” ซึ่งยอมรับว่าเทคโนโลยีการทดสอบความปลอดภัยของแอปพลิเคชันประเภทต่างๆมีกลุ่มเป้าหมายที่แตกต่างกันให้ผลลัพธ์ที่แตกต่างกันและเติบโตภายใต้เงื่อนไขการทดสอบที่แตกต่างกัน ในบล็อก Shahar อธิบายว่าเหตุใดเทคโนโลยีการทดสอบโดยเฉพาะ (เช่น DAST, SAST และ IAST) จึงเหมาะกว่าสำหรับนักพัฒนาวิศวกร QA และผู้เชี่ยวชาญด้านความปลอดภัย / ผู้ทดสอบปากกาขึ้นอยู่กับกรณีการใช้งาน

…ช่วยให้นักพัฒนาสามารถเขียนโค้ดได้อย่างปลอดภัย

ในบล็อกเดือนพฤษภาคม 2020 ผู้จัดการผลิตภัณฑ์ AppScan Florin Coada อธิบายวัตถุประสงค์ของ HCL AppScan CodeSweep: เพื่อช่วยนักพัฒนาในการค้นหาปัญหาในแอปพลิเคชันเพื่อให้ความรู้แก่นักพัฒนาเกี่ยวกับวิธีแก้ไขปัญหาเหล่านั้นและถามคำถามที่ถูกต้องในขณะที่เขียนโค้ดดังนั้น สามารถหลีกเลี่ยงปัญหาด้านความปลอดภัยได้ในอนาคต พูดง่ายๆ CodeSweep ช่วยให้นักพัฒนาสามารถตอบคำถามต่อไปนี้:“ โค้ดของฉันอันตรายจริงหรือ” คุณสามารถเข้าร่วมกับผู้ใช้หลายพันคนของรุ่นชุมชน CodeSweep ของเราได้ที่นี่

…จัดการช่องโหว่ OWASP 10 อันดับแรก

เช่นเดียวกับทุกคนที่อ่านบทความนี้ช่องโหว่ OWASP Top 10 จำนวนมากมีความสุขกับการเฉลิมฉลองปีใหม่มากมาย เนื่องจากช่องโหว่ของ OWASP จะไม่หายไปในเร็ว ๆ นี้แนวทางที่ดีที่สุดคือการปกป้ององค์กรของคุณในตอนนี้

ในเดือนมิถุนายน 2020 Eitan Worcel ได้ให้คำแนะนำที่ใช้ได้จริงเพื่อระบุและแก้ไขช่องโหว่ Cross-Site Scripting (XSS) ต่อมา Rob Cuddy และฉันเขียนบล็อกที่คล้ายกันซึ่งมุ่งเน้นไปที่การแก้ไขช่องโหว่ของ SQL Injection และการจัดการกับการเปิดเผยข้อมูลที่ละเอียดอ่อน คุณสามารถสมัครรับรายสัปดาห์ AppScan Digest ของเราสำหรับการอัปเดตบล็อก Appscan ล่าสุดเนื่องจาก OWASP Top 10 เป็นส่วนที่มุ่งเน้นอย่างต่อเนื่องสำหรับทีมของเรา

…อัปเกรดเป็น AppScan V10

คุณเป็นลูกค้า AppScan ที่ต้องการอัปเกรดเป็น V10 หรือไม่? หากเป็นเช่นนั้นให้ดูวิดีโอ YouTube สั้น ๆ ของ Eitan Worcel ที่สรุปประโยชน์หลักสามประการของรุ่น V10 ของเรารวมถึงความสามารถด้าน IAST ที่เป็นเอกลักษณ์ของเรา จากนั้นคุณสามารถเยี่ยมชมเว็บไซต์เฉพาะของเราเพื่อดูรายละเอียดทั้งหมดและเริ่มใช้ V10 ด้วยตัวเอง

…ทดลองขับ Application Security Testing ด้วยตัวคุณเอง

หากคุณยังไม่ได้ทดสอบเทคโนโลยีการทดสอบความปลอดภัยของแอปพลิเคชันด้วยตัวคุณเองเราขอแนะนำให้คุณสมัครทดลองใช้ AppScan ฟรี 30 วันของเราตอนนี้

 

ที่มา: https://blog.hcltechsw.com/appscan/10-ways-to-expand-your-application-security-knowledge-in-2021/