CRob sobre educación en seguridad de software y SIRT
En el Plan de Movilización de Seguridad de Software de Código Abierto publicado en mayo pasado, la primera corriente, de las 10 recomendadas, es «Proporcionar capacitación y certificación básica de desarrollo de software seguro para todos». Como establece el plan, es raro encontrar un desarrollador de software que reciba capacitación formal para escribir software de forma segura. El plan aboga por que una cantidad modesta de capacitación, de 10 a idealmente 40-50 horas, podría marcar una diferencia significativa en las contribuciones de los desarrolladores a un software más seguro desde el comienzo del ciclo de vida del desarrollo de software. La Fundación Linux ahora ofrece un curso gratuito, Desarrollo de software seguro, que consta de 15 horas de capacitación divididas en 3 módulos (Principios de seguridad, Consideraciones de implementación y Verificación de software). El plan es «reunir un pequeño equipo para iterar y mejorar dichos materiales de capacitación para que puedan considerarse el estándar de la industria, y luego impulsar la demanda de estos cursos y certificaciones a través de asociaciones con instituciones educativas de todo tipo, academias de programación y aceleradores y grandes para los empleadores deben capacitar a sus propios empleados y exigir la certificación de los solicitantes de empleo». También en la agenda está el Stream 5 para «establecer el Equipo de Respuesta a Incidentes de Seguridad de Código Abierto de OpenSSF, expertos en seguridad que pueden intervenir para ayudar a los proyectos de código abierto en momentos críticos». para ayudar a responder a una vulnerabilidad”. Son un pequeño equipo de desarrolladores de software profesionales que han sido examinados en seguridad y capacitados en las especificaciones del lenguaje y los marcos utilizados por este proyecto de OSS. 30-40 expertos estarían disponibles para desplegar en equipos de 2-3 personas para una crisis específica. Christopher «CRob» Robinson es fundamental en los conceptos subyacentes y en la implementación de ambas recomendaciones. Es Director de Comunicaciones de Seguridad en Intel Product Assurance y miembro del Comité Asesor Técnico de OpenSSF. En la Open Source Summit North America, se reunió con el presentador de TechStrong TV, Alan Shimel, para hablar sobre el origen de su apodo y, lo que es más importante, la educación en seguridad del software y el Equipo de respuesta a incidentes de seguridad de productos de código abierto (PSIRT) – Secuencias 1 y 5 en El plan. Estos son algunos puntos clave: He estado con OpenSSF durante más de dos años, casi desde el principio. Y actualmente soy líder de un grupo de trabajo para el Grupo de trabajo de mejores prácticas para desarrolladores y el Grupo de trabajo de divulgación de vulnerabilidades. Me siento en el consejo asesor técnico. Ayudamos en el diseño y control de la estrategia de la fundación. Estoy en el Comité de Orden Público y Asuntos Gubernamentales. Y actualmente soy el propietario de dos nuevos SIG, grupos de interés especial, por debajo del grupo de trabajo. Así que soy responsable de Education SIG y Open Source Cert SIG. Crearemos un PSIRT para código abierto. La idea es tratar de encontrar una colección de expertos de toda la industria que entiendan cómo responder a los incidentes y también entiendan cómo arreglar las cosas dentro de las comunidades de código abierto. . . Creo que eventualmente será algún tipo de programa de tutoría para las comunidades aguas arriba para enseñarles cómo responder a los incidentes. Los conocemos y los ayudamos a trabajar con investigadores y reporteros de seguridad, y también nos aseguramos de que tengan las herramientas y los procesos implementados para que puedan tener éxito. Se habló mucho en la conferencia de esta semana sobre cómo necesitamos obtener más capacitación, certificación y educación en manos de los desarrolladores. Hemos formado un tipo diferente de equipo Tiger y nos vamos a centrar en eso. Y mi amigo el Dr. David Wheeler, hizo un gran anuncio en el que tenemos material existente, el curso de Codificación segura básica, y pudo convertirlo en SCORM. Así que ahora cualquier persona que tenga un sistema de gestión de aprendizaje SCORM tiene la oportunidad de utilizar esta formación gratuita de software seguro para desarrolladores en sus sistemas internos de gestión de aprendizaje. Tenemos muchos estudiantes diferentes. Tenemos estudiantes nuevos, tenemos personas que están en la mitad de sus carreras, personas que están cambiando de carrera. Tenemos que dar servicio a todos estos diferentes componentes de alguna manera. Por supuesto que tenía mucho más que decir. Puede ver la entrevista completa, incluido cómo CRob obtuvo su apodo, y leer la transcripción a continuación.