圖片來源: 

周峻佑攝

企業在實踐DevOps的過程中,若是忽視安全性的考量,一旦遭到攻擊,所有的開發成果,便很可能付諸流水。其中,要落實DevOps的資訊安全,最為關鍵的部分,就是人才的養成。在DevOpsDays 2018 Taipei大會裡,趨勢科技產品授權服務經理曾凱平(KP),便藉著介紹該公司開放一般開發者可用的教育訓練網站,名為程式開發安全道場(Security Coding Dojo)的平臺,透露他的團隊訓練心法。

基本上,在網站應用程式的開發流程裡,大致可區分為初期的設計、程式碼的編寫、網站的架設與測試,以及上線營運之後的維護等。曾凱平說,無論那一個階段,相關的執行人員,可是占有舉足輕重的地位。而在DevOps策略的執行過程,除了大量採用自動化與系統化機制,減少人為疏失可能會帶來的影響,事實上,在程式開發、編寫,以及測試的階段,就應該將安全性納入程式碼的內容。

從自家線上訓練平臺應用,強調學習過程比成績重要

也許,這正是曾凱平特別提到了程式開發安全道場的原因。這個開放原始碼的程式開發者資安教育訓練平臺,由趨勢科技在去年開始免費提供,因此,一般的開發人員,都能直接申請帳號,參與其中的漏洞解題課程。

開發人員註冊了這套訓練系統後,便能從白帶階級一路挑戰道場提供的題目,最終升級到最高級的黑帶。這過程裡,開發者總共要挑戰21關卡,其中,每通過3個關卡之後,道場的學員就會晉升一級。每個關卡都與特定的網站漏洞有關,目的就是要讓參與的學員能夠習得相關的安全知識。

曾凱平展示他個人在程式開發安全道場(Security Coding Dojo)中的儀表板,個人通過的關卡名稱。這每一行的文字,代表了一個個漏洞的探查測驗。

除了個人的關卡挑戰之外,為了增加從遊戲中學習的樂趣,程式開發安全道場也提供了組隊的機制,讓學員能夠參與團隊競賽。

這個開放一般開發人員都能使用的線上訓練平臺,主要訴求2大核心功能,包含讓開發人員可充分學習安全開發的所需知識,以及提供團隊合作,一同研究找出漏洞等。

曾凱平指出,自這個道場開放至今,不少開發人員在上面挑戰各式關卡,他也聽聞許多企業的主管,將它列為網站開發人員必須執行的測驗,要求他們在指定時間內取得黑帶資格。不過,曾凱平也強調,其實取得黑帶與否,不是他們的道場成立的重點,而是學員能從挑戰題目中,學習到研究可能潛在漏洞的精神,以及資安知識,假如只是為了過關,開發人員猜到答案而晉級,很可能什麼都沒有學到。因此,曾凱平說,他自己的團隊實際在運用這套系統的時候,他會進一步確認,學員理解關卡題目內容的程度,以及他們如何從中找出答案,藉此驗證學員是否因此有所收獲,而非只是答題的正確與否。


Advertisement

更多 iThome相關內容