甲骨文全封闭玛丽安戴维森走源波士顿与会者通过她的公司的发展安全的编码工作。
甲骨文已经这近十年来的批评编码漏洞导致许多关键补丁更新。作为一个结果,全封闭玛丽·安·戴维森一直致力于改变公司编码的文化。
这是如何消失在观察者的眼睛(客户)。但与此源波士顿周四会议,戴维森走与会者通过甲骨文做特定的事情从一开始就优先考虑安全产品的开发过程。
她承认,客户已经对甲骨文近年来做得更好,尤其是在收购Sun Microsystems的之后,戴维森描述为一个蟒蛇吞下一头大象。
“缺陷可以限制责任,使人更容易腐败的系统内部和伪造计量和报告,”她说。“这是糟糕的如果有一个缺陷在您的软件。更糟糕的是如果客户被破坏而你托管服务。”
她指出,越来越多的客户想要第三方组织看甲骨文的代码。他们想知道Oracle到底是什么做的安全,她说,并补充道,随着业务变得更规范,供应商作为供应商的负担比以往更重。甲骨文获得更多的技术,这种压力已经被放大。
戴维森回忆说有一个不愉快的对话与客户对某一特定产品。客户之前已经遭受了安全漏洞Oracle收购所涉及的有缺陷的产品。现在是甲骨文的问题,客户想知道公司要做的。
“如果你有知识产权从您的网络,你成为超级意识。他们检查我们的产品,说这是你的品牌,我们期待更多的从你。违反不是甲骨文的错,但客户更加严苛,因为他们的经验的结果。”
因此,公司创建了一个救助方案。一个团队被确认为苦苦挣扎。“我们说,‘你需要的项目。这是你的治疗计划。这个产品需要被带进对齐。”The leader of that team resisted and thought it was unimportant, she said. As a result, that person felt the full heat of upper management.
所以这些天甲骨文的编码过程是什么样子?戴维森画以下图片:
漏洞被发现时,它落在原来的产品开发人员修复它。这不是要惩罚他们,而是帮助他们理解他们的行为的影响,这样他们就可以从中学习,她说,并补充道,“他们需要了解就坏了。”
虽然不是惩罚,这是一个强大的动力因为没人想要回去解决,因为它不是第一次做对。
每个产品组必须通过安全检查表之前发布。为不同的团体有不同的清单。
安全保障政策敲定在c级,和漏洞处理政策是由公司首席架构师和开发方案(她)。
安全监督委员会审查业务风险和安全、合规和人身安全。一年两次的会议。
“每一个开发组织都有一个安全,”她说。“安全”在每个产品组件的接触点。
有一个安全指导委员会和保证指导委员会。
有安全培训,每个人都必须有。那些拖脚羞辱到照顾它。
“没有显示一个公司如何做安全培训考勤像一个柱状图对比你做的如何与竞争对手相比,”戴维森说。“我们训练数字上去当一些经理看到图表。我不认为恶意或不称职如果有其他解释。目标不是就打人,这不是把某人的报告。”
阅读更多关于应用程序的安全CSOonline应用程序安全性的部分。
这个故事,“甲骨文的内部安全保证计划”最初发表的方案 。