SEC11-BP01 應用程式安全訓練
為您的團隊提供安全開發和操作實務的培訓,協助他們建置安全的優質軟體。此實務可協助您的團隊在開發生命週期中提早預防、偵測和修復安全問題。請考慮提供涵蓋建立威脅模型、安全編碼實務,以及使用服務進行安全組態設定和操作的培訓。透過自助服務資源,提供培訓內容存取權給您的團隊,並定期收集他們的意見回饋以確保持續進步。
預期成果:您可以從一開始就將安全性納入考量,為團隊提供設計和建置軟體所需的知識和技能。經過有關建立威脅模型和安全開發實務的培訓後,您的團隊將對潛在安全風險,以及如何在軟體開發生命週期 (SDLC) 期間減經這些風險有更深入的了解。這種主動式安全措施是團隊文化的一部分,能夠讓您及早識別和修復潛在的安全問題。因此,您的團隊可以更有效率地提供高品質、安全的軟體和功能,進而加速整體交付時間表。您在組織中擁有協作且具包容性的安全文化,並將安全擁有權與所有建置者共享。
常見的反模式:
-
您等到安全審查階段,才開始考慮系統的安全屬性。
-
您將所有的安全性決定工作全部留給中央安全團隊。
-
您未在 SDLC 溝通如何做出與整體安全期待或組織政策相關的決定。
-
您太晚執行安全審查程序。
建立此最佳實務的優勢:
-
可在開發生命週期初期更清楚了解組織對於安全的要求。
-
可以更快識別、修復安全問題,進而加快功能交付速度。
-
改善軟體和系統的品質。
未建立此最佳實務時的曝險等級:中
實作指引
若要建置安全且高品質的軟體,請為您的團隊提供有關安全開發和操作應用程式的常見實務培訓。此實務可協助您的團隊在開發生命週期中提早預防、偵測和修復安全問題,以加速交付時間表。
若要完成此實務,請考慮使用建立威脅模型研討會
明確定義和傳達組織的安全審查程序,並概述團隊、安全團隊和其他利害關係人的責任。發布展示如何達到您的安全要求的自助式指引、程式碼範例和範本。您可以使用 AWS CloudFormation
定期收集團隊的安全審查程序與培訓體驗方面的意見回饋,並藉由該回饋持續改進。執行演練日或錯誤修復日活動,以識別和解決安全問題,同時增強團隊的技能。
實作步驟
-
識別培訓需求:透過調查、程式碼檢閱或與團隊成員討論,評估團隊中有關安全開發實務的目前技能水平和知識差距。
-
規劃培訓:根據確定的需求建立培訓計畫,培訓範圍涵蓋建立威脅模型、安全編碼實務、安全測試和安全部署實務等相關主題。使用建立威脅模型研討會
、AWS 培訓 and Certification ,以及產業或 AWS 合作夥伴培訓計畫等資源。 -
排程和交付培訓:為您的團隊安排定期培訓課程或研討會。這些可以由講師指導或自行安排進度,端視團隊的偏好設定和可用狀況而定。鼓勵實作練習和實際範例,以強化學習。
-
定義安全審查程序:與您的安全團隊和其他利害關係人合作,明確定義應用程式的安全審查程序。記錄參與程序的每個團隊或個人的責任,包括您的開發團隊、安全團隊和其他利害關係人。
-
建立自助式資源:製作自助式指引、程式碼範例和範本,示範如何做才能符合組織的安全要求。考慮採用 CloudFormation
、AWS CDK Constructs 和 Service Catalog 等 AWS 服務,提供預先核准且安全的組態,並減少自訂設定的需求。 -
溝通和社交 :有效地將安全審查程序和可用的自助式資源傳達給您的團隊。進行培訓課程或研討會,讓團隊成員熟悉這些資源,並確認他們了解如何使用這些資源。
-
收集意見回饋並改進:定期收集團隊對於安全審查程序與培訓體驗的意見回饋。利用此回饋識別需要改進的領域,並持續改良培訓教材、自助式資源和安全審查程序。
-
執行安全防護演練:安排演練日或錯誤修復日活動,以識別和解決應用程式內的安全問題。這些練習不僅有助於發現潛在的漏洞,同時也為您的團隊提供實際的學習機會,增強他們在安全開發和操作方面的技能。
-
持續學習和改進:鼓勵您的團隊掌握最新的安全開發實務、工具和技術。定期審查和更新您的培訓教材和資源,以反映不斷變化的資安情勢和最佳實務。
資源
相關的最佳實務:
相關文件:
相關影片:
相關範例:
相關服務: