在这次面谈中,杰夫·佩恩,卡福罗的首席执行官和创办者,谈及了关于软件安全。他讨论物联网和它如何关联到关键性安全的设备,一些有用的工具,测试者如何测试安全,以及设备如何更方便地推动在你生活圈内的流程。
詹妮弗·博宁:我们更多在虚拟采访中背对着。希望你总是能在将近2小时我们即将讨论到的经常的话题留着。杰夫将开场。杰夫,感谢来到这儿。
杰夫·佩恩:感谢邀请我。
詹妮弗·博宁:对那些你不知道的事情杰夫,我过去已经和他谈过几次了。其中的一些事我觉得有趣去对虚拟观众谈论的是你也加入进来的事情。很明显的安全方面的大专家,所以我经常喜欢和您谈论关于安全。
杰夫·佩恩:当然。
詹妮弗·博宁:您总是知道那里发生了什么,然后领导发起。
杰夫·佩恩:对的。
詹妮弗·博宁:从周一到周四不在这儿的民间笑话,周一-周四是相当长的辅导性会话,你们提供这些中的一部分。昨天和今天是同时进行的会话,都是比较短的会话。你们只能得到很少的信息的片段仅仅是使你对一个主题兴奋的类型,并且你能更深地进入。明天开始的是关于领导人会议。
杰夫·佩恩:领导人会议。
詹妮弗·博宁:对于民间来说从没有听说,或者没有参加过,或许只是给他们一些小的在创建领导人会议背后的思维流程引进,它的什么形式因为它是漂亮的形式。
杰夫·佩恩:它是很棒的形式。它来自于星会上的很多反馈,人们想要更多关于领导,更多关于管理,我怎样作为一个领导者处理自己,我需要领导的我的人民和你需要领导我的老板,对吗?
詹妮弗·博宁:是的。
杰夫·佩恩:你需要在所有的方向引导。
詹妮弗·博宁:确实是。
杰夫·佩恩:好领导决定使从只专注于一个质量和测试角度的领导来开始一天变得有意义。
詹妮弗·博宁:确实是。
杰夫·佩恩:我们做的,我们在东方之星和西方之星做的,是我们关注与带来很多演讲者,高级富有经验的软件人员,经常有测试背景,软件开发背景,成为领导者们融进他们的领导智慧和他们发现的工作。那是关于一天的一半。一天的另一半是我们花费在小群里在那儿我们挑战不同的领导。我们开始每个人给我们他们关于什么使你们作为一个领导者在夜里保持精力的想法前我们询问。什么是最重要的?
我带去这些主题,我指出哪个是最需求的主题之一,并且哪些是最优先的。我拼起桌子,每个人都去桌子他们想要交谈的和他们解决的问题以及头脑风暴,我自己和其他的演讲者方便使用这些桌子。所有的这些为参加者记录下来并且随后发送出去以至于他们能对被讨论的每一件事有一个完整的登记。
詹妮弗·博宁:我想那很好。那很好是民间,就像你说的,今晚参加开放式他们参加的招待会,可以放进那些他们想要的主题,提交它们给你。你将会得到,团簇到一个顶尖思想,并且然后使用它们就像桌边主题一样。
我过去讨论过的这个,人们的思想趋势将要去哪里?
杰夫·佩恩:是的。
詹妮弗·博宁:我们将要去看一些趋势,特定的事物我想我们经常说的。
杰夫·佩恩:那儿常有一些主题,经常第一提及的。
詹妮弗·博宁:经常有一些东西,第一提及的。一些经常来回循环。
杰夫·佩恩:是的。
詹妮弗·博宁:一些新事物进来然后其他一些出去。为一些这新事物的任一预想将会并且其中你想的一些仍然是趋势所以它们将在那儿因为年复一年它们都在那儿?
杰夫·佩恩:我将开始经常在那儿的一些。寻找和保留人们经常在列表上。我怎样使我的人们被激励,快乐?我们找到合适的人们?我怎样做去面对可能我的组织不被重视和供给我觉得他们需要的给我的人民?我怎样做而没有像那些很多预算和东西?
詹妮弗·博宁:没有为它的很多支持?
杰夫·佩恩:那是经常在列表里的。在过去的五年里,灵活和处理步向灵活经常在列表上。我如何减少关于灵活的我的人民和我怎么教练和引导他们变得灵活。我怎样处理它趋向灵活,经常在列表上。经常在列表上的是两个。我打赌我们今年将看到和听到一些关于开发运营。
詹妮弗·博宁:真的吗?
杰夫·佩恩:是的,可能我们正在开始移向开发运营。我们正尝试从一个哲学角度理解含义。这个会改变我如何管理人民,领导人民吗?对测试者来说它意味这什么?我们可能听说它。
詹妮弗·博宁:它还没有触及主题,是吗?
杰夫·佩恩:不。
詹妮弗·博宁:确实是,哇。
杰夫·佩恩:还没有。
詹妮弗·博宁:对我来说那很有趣。从一个会议的角度,我们…
杰夫·佩恩:它无处不在。
詹妮弗·博宁:它到处都在。我们已经拥有它好几年了。它有趣。我很有兴致于听到它触及因为它看起来到处都在。它将会有趣假如领导者开始去,“我们会被关注。”
杰夫·佩恩:我已经指出了这做什么。
詹妮弗·博宁:“这就来了”有趣。今年任一其他你想的可能会触及到那?
杰夫·佩恩:我能明显想到的其他唯一一件事是它现在成热点的是物联网。我不知道它上渗到哪,我需要去管理或者领导不同的加入我们的组织正在开始移向那些性能,或者我们在测试那些性能并且我们尝试去理解我们的角色以及我们负责的和在和不在范围内的东西,以及我如何在那上管理和驾驭人民。有一些事情突然出现。
詹妮弗·博宁:我也将会饶有兴趣地看到那突然出现。我觉得有些事是人们正想要开始思考的。什么有趣类型的东西来到了这些会议是你同时趋向获得领导想法,对吗?
杰夫·佩恩:对。
詹妮弗·博宁:人们在这之前,它可能还不是一个主流。我们正在讨论的但是每个人正在去,“那不影响我。它还没有触及我。”这些事情其一是关于安全和绑定到其他你花费了很多时间关注的区域关于安全和你如何保证你拥有的你的组织安全,保护你的数据,保护你的信息,确保你正在观注那些事情,尤其同时在常规行业。去做这些尤其的重要。
我正在和一个绅士交谈。我们正谈到物联网和它将要去哪里,一个在医学行业的例子。我们今天看见的糖尿病人,举个例子,他们习惯于总是举起他们的手指去检查他们的血糖。现在他们决定改进补丁你能基本戴在你的手臂上。这个补丁能发送数据和信息到一个手机应用程序。我想,“哇,对不再不得不手动检查他们的胰岛素水平的糖尿病患者来说那很叹为观止。”他们自动地被得到通知。它可以被24*7跟踪。你得到更多数据动态,很棒。那数据现在可以得到因为它将通过网络。你现在让信息发出通过一个你能得到的不仅是你想要你的提供者或者你的医生得到的手机应用程序向下。其他谁能得到它?拥有好的信息,不仅是现在它在外面了。
它可能不是高级安全的信息而不像他们知道的关于你的血糖和所有的东西。我想的有趣的应用是他们说,“关于有糖尿病孩子的父母什么?”父母能得到在他们手机上的信息。现在父母有能力和真实可得到的在他们手指尖的信息。然后你能进入到父母拥有的并且他们对那些记录有权限吗?什么假如孩子们不想要它们?他们是18岁或者17或者16。谁能有并且什么级别的安全你需要拥有对人们并且确保他们拥有它呢?
任何想法上,那是一个例子,有很多其他,用起搏器,植入设备,从那些出来的数据,人们得到并接触数据的能力,停止和重启重要设备?现在你正逐步…
杰夫·佩恩:你结束了。现在它确实是关键性安全。
詹妮弗·博宁:现在它是关键性安全假如他们能阻止你的心脏。我们获取了很多技术存在于像那一样的。任何从你的安全方面的想法,考虑关于我们正在进入使数据安全的什么事情?谁能获取这些数据?启动那个舞台?
杰夫·佩恩:一对想法。本质上物联网只是软件和依赖其他设备的设备等的供应链。我经常看到并且很明显的不论谁与消费者交互,终端消费者明显地更信赖和负责。
詹妮弗·博宁:绝对是。
杰夫·佩恩:它都是从他们开始。他们需要做的是实际上只在他们买的每件东西上推后和推下并且习惯于要求某些安全级别他们购买的放进他们的设备里。我看到它开始于消费者并且被推后下从一个人卖这些设备给消费者,到在他们提供或者提供软件或者感应器或者硬件系统供应链的每个人。他们正要去设置和使用标准,安全标准,并且使用安全测试规则去确保他们得到的每个东西是安全的。实际上他们是带有最风险之一。
詹妮弗·博宁:这就是你听说的人,对吗?
杰夫·佩恩:嗯-额,对。
詹妮弗·博宁:假如有一次失误或者失败消费者责备与最接近他们的一个人。
杰夫·佩恩:最后他们卖这个产品所以这是他们的责任。
詹妮弗·博宁:我们看见过与目标公司练习,当他们有他们的缺口时。没必要在他们的防火墙里,但是它是他们后来有泄露数据然后离开的事件的供应商其中一个。他们将举行可解释的财务上的同时只从一个负责的立场出发。
杰夫·佩恩:如果你考虑这么使用向导去构建他们的软件或者输出或者其他,或者他们正在买第三方控件。几乎每一个简单的违背会追溯回确实应负责的组织外的人们。这个问题在那很长时间。它只是物联网使它实时和关键性安全。现在你不得不实在关系那些事情。
詹妮弗·博宁:你给提供建议为测试者谁说,“我们有这种群并且他们为它负责所以我实际上不能对它做太多。”你建议每个测试者在那儿至少得到一些基本的关于安全意识的知识吗?
杰夫·佩恩:绝对是。我这儿教过一个安全测试辅导。我的公司卡福罗使很多帮忙的人们学习如何作为更好的安全测试者。首先,一个软件测试者没有理由不看一些在他们的测试中的安全缺陷。它并不难。
其次是,当然如果你能很容易找到它并且修复它它将会省去你的很多下游麻烦。事实上你不想要等到最后。越早地推动它和使你的开发者怎样去理解如何构建安全的东西,怎样使你的测试者学习如何做一些安全测试对减低你的风险显得重要了。你不用依赖于人们直到最后它被推出去才出面。
很难最后把它推出。我经常在辅导教程说那没什么不同假如你等到你的系统测试最后。假如你一直等待到最后,找问题就像在干草堆里找针。在安全里也一样。你不想去寻找所有的那些缺陷假如你正在生命周期的最后并且你有固定量的时间并且你正在做红色联盟或者渗透测试。
詹妮弗·博宁:太晚了。
杰夫·佩恩:你不得不做更多。
詹妮弗·博宁:经常那些事情,我也假设,他们不是简单的而修复要很长时间。
杰夫·佩恩:他们不是。
詹妮弗·博宁:如果你能把它留到最后它能,一个问题能暴露其他问题。
杰夫·佩恩:绝对是。
詹妮弗·博宁:它能盘旋并且你在这个生命周期的末端并且现在你正是所有突然的事情挂起。早早地找到那东西,在流程中观察安全测试的其中一些,是一件好事。我们正听说很多这种会议关于,我们习惯于听到使测试在生命周期中更深入,使它转左。那包含着,并且我觉得人们现在正更加意识到,不仅是你的传统测试方式,还有安全测试,性能测试。
杰夫·佩恩:性能,可靠性,所有你的非功能性更早移动。
詹妮弗·博宁:它们更早地移动。
杰夫·佩恩:它们不得不。
詹妮弗·博宁:它们不得不,并且那是一些我觉得我们正在看到的是一个意识的趋势不仅意味着测试者不得不有这些事情中的一个知识水平。
杰夫·佩恩:是的。
詹妮弗·博宁:它不是受不起。很多时候人们去,“安全,那是高级专业化。我不知道任何关于它的。”
杰夫·佩恩:“我不做那个”
詹妮弗·博宁:“我不做那个。那不是我的事。”
杰夫·佩恩:你不得不指出的另一件事是你如何从你更早做的但是然后你不过后不重复的事情中区分出非功能测试。它是我在我们的开发运营辅导课里讨论的其中一件事。我们也做了很多开发运营工作,并且我们经常尝试去更早推动担保。其中一个技巧是不要尝试解决整个问题。压力和性能测试。你直到有一个像你能做的最终压力测试的环境这样的产品你才有能力去完成它。那不意味着你不能在你构建它的时候衡量代码的性能并跟踪它。假如它开始得到一个早先缓慢的纠正而不是等待直到最后指出它为止。
你能做同样的事情对于安全,私密,其他的事情。你能小菜一碟地关联软件自身,不论它的环境并且尝试确认它没有很早失去控制。
詹妮弗·博宁:把它分成那些小的组件以至于你能更早地做且找出相像的地方。你能建议,或者有任何为了得到所有指出点的意识,确实为测试者得到一个地图指导你去的?谁是所有那些提供者?什么是所有的应用程序接口?哪里是我的雇员可能去的地方这样你正确认你能覆盖哪些?
杰夫·佩恩:那儿有一些产品并且开源技术会扫描你的文件系统,抓你的网站。有,我在辅导课演示它,带来一个辅导,有一个网站名叫与创建,我想它是builtwith.com,builtwith.com。假如你只是指出一个链接它将卸下所有的框架和正在使用的网站东西。你想要知道所有的东西是什么。对你来说关于你的供应商是谁的理解,假如你正在使用开源控件,今天每个人都是,有好的工具现在将在一个开发运营环境看到,无论框架的当前版本或者你正在使用的库在它们中有已知的被发现的的缺陷。
很多次开发者他们得到的工作的,说,源代码或者一些东西,并且它工作着。它们不升级它们的源代码版本因为他们担心它会破坏某些东西。那旧的组件或许在你的软件里很多年,并且同时缺陷被知道和发现并被批量处理掉而且你从没有升级它。你正在传输一个产品带着缺陷代码在它里面,以至于不仅在它里有缺陷代码,而且它有一个到什么是易受攻击的地图。
詹妮弗·博宁:它像人们的一个地图。
杰夫·佩恩:它是公共知识。确切地。
詹妮弗·博宁:所有人们想要做坏事情确切地知道去哪里。
杰夫·佩恩:你能使用这些工具像创建与和其他东西。假如你是一个黑客第一件事情他们经常做的是,担保。他们尝试去找出你有什么并且你使用东西的版本使得他们可以去看一看。最简单的事情是看到是否他们没有缺陷。假如有,你倒霉了。
詹妮弗·博宁:你需要……你提倡理解一个黑客的心态吗,这些孩子想要去哪里,第一要去的地方?自我检查因为他们将要去那里?
杰夫·佩恩:与你的开发交谈,与你的测试交谈。有很多扫描工具。理解什么语言被使用,你使用什么平台,什么第三方控件,在你的软件里什么脚本引擎。你理解的东西越多你将越理解从一个测试角度需要去做的事确保它工作良好。
詹妮弗·博宁:我们没有时间了,但是我知道我们只是做了肤浅的研究。人们可能像,“我想要知道这些工具是什么。”如果人们想要联系你以得到更多关于工具的信息,卡福罗,提供关于那安全测试,启动的帮助,联系你的最好方式是什么?
杰夫·佩恩:你可以经常浏览我们的网站,www.coveros.com。或者只在推特上点击我@jeffreyepayne。
詹妮弗·博宁:太好了。
杰夫·佩恩:它是最简单的方式。
詹妮弗·博宁:谢谢,杰夫,这儿就这么多了。
杰夫·佩恩:谢谢。
詹妮弗·博宁:不用谢。
杰夫·佩恩:谢谢。
杰夫·佩恩是卡福罗有限公司的首席执行官,一个使用敏捷方法创建安全软件应用的软件公司。自从2008年它全面启动,卡福罗正成功在安全敏捷规则和被认可的有限公司里成为一个市场领头者。快速发展一直的杂志激励了国家里的公司。先于发现卡福罗,杰夫是董事长,首席执行官,并且希捷的合作者,有限公司,一个在软件安全顾问领域的市场领导者。他在软件开发和测试上发版了超过30张纸,并且在国家重要事情前的会议前测试了,包括知识产权,网络恐怖,以及软件质量。