由备受尊敬的 OWASP 小组举办的 AppSecUSA 会议于上个月结束,YouTube 上立即分享了一些精彩的演示视频。这是第一个引起我注意的。它应该为您提供一些很棒的想法和实际工具,以维护一个安全的插件生态系统或来自其他公司的外部产品。即使您的生态系统与 Salesforce 的生态系统不相似,也一定要注意工具说明。对于许多不是安全专家的开发人员来说,这些工具可以使安全变得容易。
这是会话描述:
使用独立软件供应商 (ISV) 和开发人员开发的软件来维护云应用程序生态系统的最大挑战之一是确保该生态系统中的数据保持安全。一个集中的安全团队不可能负责每个 ISV 的产品安全、代码维护等——但在公众看来,生态系统的责任在于那个集中的团队。通过 Chimera,我们正努力让这种责任更容易分担。
Salesforce AppExchange 有超过 2,650 个应用程序可用,其中大部分连接到外部 Web 服务。尽管这些外部系统不受我们的控制,对我们来说是黑匣子,但我们认为对生态系统的信任至关重要,并花费大量时间和资源来确保这些应用程序的安全性。即使由大型安全团队进行严格的安全审计和渗透测试,这也是一个需要确保安全的巨大生态系统。
我们的主要目标和使命之一是成为 ISV 社区在我们平台上开发时的良好安全实践大使和教育者。如果不是个人开发人员,那么其中许多开发团队都是小团体。虽然他们都没有试图不安全,但他们中很少有人拥有安全团队或安全经验。
Chimera 的目标是让没有自己的安全工程师的小型开发人员和 ISV 更容易、更容易地进行安全扫描。了解我们如何使用 Heroku 平台通过云在消费者层面大规模提供 ZAP 和许多其他行业标准工具,而无需安全专业知识!我们还将讨论我们正在构建的一些工具,这些工具利用 ZAP 在云中收集的数据来帮助预测扫描生态系统中未来可能出现漏洞或漏洞利用的位置。
蒂姆·巴赫
产品安全工程师,Salesforce
Tim Bach 是 Salesforce 的一名产品安全工程师,他专注于 AppExchange 合作伙伴的渗透测试以及安全工具和自动化的研究/开发。坚信产品安全是所有开发人员、工程师和管理人员的共同负担,他的大部分工作都围绕着让安全工具和仪器可供非安全专业人士使用和使用。