蒂姆法国人2021年4月29日

告别长长的客户支持等待时间和延长分部角色和Twilio Flex。......

所有工程文章

蒂姆法国人2021年4月29日

告别长长的客户支持等待时间和延长分部角色和Twilio Flex。......

山姆Gehret.3月29日2021年3月29日

使用段和Twilio Flex以基于历史用户行为和用户属性,智能地将入站支持请求路由到Chatbot或实际支持代理。......

jeevan saini3月29日2021年3月29日

那是温哥华12月中旬的一天,又冷又黑;另一位安全工程师和我参加了一个由开发人员领导的威胁建模会议。我们无法为开发人员领导的团队找到任何额外的安全问题。领导项目的开发人员已经考虑了所有的选择!

会议结束时,工作人员安全工程师问:“我们做了什么?我们甚至有什么目的?“我们开玩笑说失去了我们的工作,但我们知道这是一个最好的问题!

记录划痕,冻结框架:你可能想知道,“我们是怎么来到这里的?”

为什么威胁建模重要?

如果您之前从未听说过威胁建模,则您并不孤单。威胁建模对不同的人来说意味着非常不同的东西。在段,威胁建模是系统地识别系统内或特征中资产的过程,头脑风暴方式来损害这些资产,以及协作设计捍卫它们的方法。

威胁建模是段的安全开发生命周期的关键步骤。在我们从公众提供的分部提供功能之前,安全工程(SECENG)团队审查它。我们的工作是降低一个糟糕的演员利用该功能漏洞的风险,最终确保了客户数据的安全。

威胁建模有哪些好处?

我们喜欢做威胁建模,因为我们可以解决漏洞它们被编码进了系统。它是便宜得多在设计阶段修复这样的漏洞。修复生产中的漏洞可能意味着开发人员必须从划痕,即时从头开始了解易受攻击的系统,并花费宝贵的时间上下文切换。我们还节省了金钱,因为我们减少了我们错误赏金计划中发现的漏洞的数量。由于开发人员花费更少的时间来修复漏洞,这意味着他们可以专注于建筑功能,而不是战斗火灾。

从安全的角度来看,它也意味着我们必须激活我们的皮鞋并可能告诉我们的客户我们搞砸了更少的安全事件。manbetx客户端应用下载每个人都赢了,因为我们基本上为开发人员和安全工程师创造了乌托邦!

威胁建模有哪些挑战?

威胁建模听起来很棒,但它不是没有挑战。作为威胁建模的乐趣是,通常只有一个少数人在一个组织中在威胁建模。由于安全工程师和组织工程师之间的比率,安全团队通常可以成为威胁建模和评论的瓶颈。鉴于所涉及的人数,有些人认为威胁建模在工程工作时间内过于昂贵。但鉴于你的工程工作时间保存在应对事件时,这是不正确的。

随着节奏以非常迅速的步伐和我们的特征集成了甚至更快,而且是时候尝试不同的东西。自助式威胁建模检查所有右侧框:它删除了瓶颈,并有助于处理安全工程师对开发人员的不平衡比例。如果我们能够满足这些要求,我们就会建立自己的威胁威胁乌托邦。

为什么自助威胁模型?

在我们的安全乌托邦,工程团队履行威胁建模练习,安全团队是可选的与会者。然后,安全性可以选择它们基于攻击表面的兴趣,优先级和大小参加的会话。

安全“目标状态”对模型很重要,因为它解决了许多问题。在我们当前的世界中,安全团队的可用性成为一个瓶颈,但在我们的目标状态下,缺乏安全人员没有封锁工程团队,因为工程团队可以运行自己的威胁建模会议,安全团队是可选的与会者。在我们当前的世界中,威胁建模可以占用额外的工程工作时间来审查,其中在目标状态下,威胁建模活动内置于设计审查中,这已经是开发周期中的标准会议。虽然威胁建模难以扩大,但只有少数人对此负责时,它会衡量精美的速度每个人可以做到。

开发人员知道他们的功能比任何人都更好:他们了解什么工作,差距是差距,他们可能遇到麻烦。相比之下,安全工程师只能在评估它时花几个小时的特定功能,但预计会对该功能提供深入的安全问题。它对这个功能产生了更多意义专家讨论潜在的安全问题,而不是那些从外部看问题的人。

大小事项。工程团队比安全工程团队更大。作为一个安全工程师,我知道更多人看待问题,我们发现更多的潜在问题。我们认为,通过培训和练习,与他们对其功能的私密知识相结合,我们的工程团队比我们的安全团队更好。在地平线上有了这一结果,它只有意义投资自助威胁建模培训。

我们如何建造乌托邦

自助威胁建模是一种工程范围的倡议,它已经采取了相当大的开发时间。我们有一个全面的课程,经历了几个阶段,以确保这个项目取得成功。

有五个不同的阶段来拥有工程自助威胁模型:

  1. 传统阶段

  2. 培训阶段

  3. 观察阶段

  4. 审查阶段

  5. 安全可选的阶段

1。传统阶段

这少于一个阶段,更多“我们在我们开始自助威胁建模项目之前的地方。”

所有功能都需要在设计阶段进行安全审查。安全部门负责审查,并在适当的时候为该特性构建威胁模型。

2.培训阶段

为了转向自助服务模式,第一个也是最重要的一步是培训开发人员如何执行威胁建模锻炼。在此阶段,您将开发人员教授威胁建模工作流程,如何找到威胁的策略,如何优先考虑它们,以及如何决定应解决哪些威胁。

(我们将在下面更详细地介绍实际培训。)

3.观察阶段

这就是分部目前在我们旅途中的位置。

绝大多数开发商已经完全培训,现在团队领导自己的威胁建模会议。安全团队仍然(实际上)在房间里,并且有助于指导工程师成功。

在威胁建模会话开始之前,领导会话的人会创建所有必要的预读材料。我们将已建立的威胁建模部分作为标准设计文档模板的一部分。设计文档提供了适当的上下文,但是开发人员被要求创建架构图,解释会议范围内和范围外的内容,并对项目中涉及的资产进行分类。资产可以是基础设施、应用系统本身、系统中的数据;任何值得保护的东西都被列为“资产”。

安全在此阶段的作用是参加会议并提供帮助指导需要时对话。安全性并没有告诉开发人员漏洞是什么,而是指导团队自己发现漏洞。虽然发生了威胁模型,但这仍然是教授开发人员如何发现漏洞自己的好时机。

仍然存在开发人员不会发现重要漏洞的情况,即使是提示,那就是很好的。当他们观察到这一点时,安全获取并帮助指导思想过程,以便开发团队学会发现这些漏洞。同样,这是一个教学时刻,每个人都会对威胁模型感到更好的感觉。

到目前为止,我们已经有了许多由开发人员领导的自助威胁建模会议,当一个员工安全工程师说,我们知道事情进展顺利“嗯,我觉得在这次会议上我完全没用。”

威胁建模并不是一种简单的学习技巧,它需要实践才能变得擅长。我们的责任是安全工程师,以创造学习文化。由于我们的团队开始更符合始终如一地发现批判性和高度严重性的漏洞,因此他们毕业于下一阶段。

4.审查阶段

在这一阶段,工程团队在威胁模型中是如此擅长,即安全团队不再需要在会议中。我们的工作是审查威胁建模会话的工件,并验证我们不会预计其他批判性或高度严重性的漏洞。

您可能会继续找到中型和低优先级的漏洞。那太棒了!您鼓励与团队分享,并解释您如何发现这些漏洞。

要继续下一阶段,工程团队必须始终如一地发现批判性,高中和中等严重程度漏洞。除此之外,经过几个周期,安全团队应开始看到这些团队的特征的错误赏金和渗透测试结果的显着下降。

5.Security-Optional阶段

这是我们安全工程师梦想的理想世界。一旦团队在这个阶段,它是可选的,即甚至审查威胁模型。

我们相信它可能需要一年或两个阶段来实现这一阶段,但我们知道最终,这将是值得的努力。

训练深潜水

细分团队审查了许多培训选择。我们最终决定,继续进行的最佳方式是从头开始建立培训。培训本身必须是相关的和特定于我们的文化规范。

培训被交付给整个工程组织,任何想要注册的人:这包括产品经理,科技作家和普通员工的成员。这意味着培训必须参与各级技能和经验。课程由初级,中生和非常高级的人组成。培训不得不与从未以前从未做过威胁建模的人以及安全冠军的人有关。

我们将培训分为三个部分,我们以三周的间隔交付:

  • 第1部分 - 威胁建模简介

  • 第2部分-威胁建模的基础

  • 第3部分 - 实时威胁建模

威胁建模简介

第一个培训会议的目标是介绍威胁建模的概念,教导工作流程,并显示开发人员的工具安全用来找到漏洞。

我们将威胁建模的概念与您可能考虑的个人安全进行了比较,从而向开发人员介绍了这个概念。这是很多比潜水权更可关联进入软件漏洞概念。

因为我们在2020年4月开始这个过程,在第一个运动中,我们谈到了我们的杂货购物习惯以前是什么,然后在大流行之后。这项练习让我们谈论风险,以及他们如何评估和决定他们对风险的宽容。我们通过几种非软件风险练习工作,以帮助使威胁建模可关联。

在会议之后,我们介绍了到课堂上,做一个深潜力并谈论每个漏洞类。然后,我们讨论现实生活漏洞以及它们如何影响应用程序。我们做一些轻微的练习来帮助课程习惯于询问正确的安全问题。

威胁建模的基础

第二次培训的目标是让开发人员的手肮脏,练习才能巩固他们的知识。

我们介绍了“资产”的概念,以及威胁建模会话中的观点的多样性价值。重要的是,在我们经历威胁建模锻炼时,班上的每个人都会了解我们评估的系统中的资产。这也很重要全部工程团队的成员参与威胁建模练习。该团队的每个成员都有一个略有不同的背景和经验,因此他们每个人都以不同的方式看到系统。在找到潜在的漏洞时,每个人都是声音很重要。

作为本培训的一部分,我们对假段特征有了冗长的讨论:信用卡结算系统。该类分为小组,每个团队都阅读了设计文档并通过它谈论系统中的潜在漏洞。在评估结束时,每个人都会回到一起,我们讨论并比较来自每组的三大威胁。该类了解如何阅读设计文档,重点关注安全性,如何识别安全漏洞,以及如何优先考虑风险。

我们学到了假段应用程序

实时威胁建模

与团队执行结束威胁建模会话,并将我们讨论的概念保存。

在最后的训练中,我们做了一个实际的威胁模拟练习。我们将讨论威胁建模的特性,并回顾架构图。然后,我们列出系统中的资产,并讨论演习范围内和范围外的内容。接下来,我们花一些时间寻找潜在的漏洞,并讨论如何对它们进行优先排序。最后,我们讨论什么时候我们发现的漏洞应根据严重程度和优先级来修复。

关键的外卖

我们已经学到了很多东西,同时推出我们的自助威胁建模程序。如果您正在考虑做类似的东西,这是一些建议。

失败

我们的初步学习之一是在培训内容中快速迅速迭代。有两支球队愿意坐在第一个训练迭代中。

在初始会议之后,我立即举行焦点小组以获得与会者的反馈,更好地了解如何改进培训。它立即影响 - 我们调整了我们会议的长度,并改变了我们介绍的概念和何时。随着第一支球队的反馈,我们修改了我们的方法,并为第二队进行了培训。随着这两个初始团队的反馈和建议,我们巩固了培训内容和方法。然后我们准备好在本组织的其余部分滚动。

相信你的同行

一开始我很犹豫,但是我们的开发者给我留下了深刻的印象。他们学得很快,而且对培训很感兴趣。当你为他们创造一个学习和犯错的安全空间时,你会更快地达到你的自助服务目标。相信他们能够找出如何发现漏洞,并指导团队如何找到漏洞。

安全文化改进

当我推出威胁建模培训时,我注意到课堂上的人真的很喜欢训练。这导致更多人向我达成了他们在系统内漏洞的疑虑,让我提供主动建议和支持。在过去,开发人员有时候只联系了我,但现在他们更频繁地伸出了,更大的数字。

培训中的简单性使每个人都能获得“安全”的可怕话题,这使得它们不那么害怕向我们询问与我们有关的问题。许多人甚至询问了更多的安全学习资源,以及如何加入应用程序安全相关聚会。

通过这个项目,我们确定并创建了Segment的安全冠军。有些人对学习安全很感兴趣,他们的安全知识经常给我们留下深刻印象。我们只看到了这个项目的好处。

我们如何到达乌托邦?

每个公司都是新万博app2.0下载独一无二的!我建议您在某处开始,并调整培训以适应您的文化。

我们在细分中不希望你从头开始!如今,我们是开放的Seging威胁建模培训内容,让您调整和修改。您可以在下面找到链接。

我们希望您可以使用这些培训模块,提供有关如何更好地使其更好的反馈,并分享您与社区的找到。

这些幻灯片很棒,但是我怎样才能学到更多呢?

我们在分段中有一个强烈的社区感,除了分享我们的培训幻灯片和本博客文章外,我们还提供了一个电子邮件地址,以便您提交您的问题和关于该计划的思考。我总是对听力反馈,好的还是坏!

电子邮件地址:sstm@www.asianminres.com

我还将在即将举行的欧诺瓦斯温哥华聚会下谈论整个程序。随意增加自己OWASP温哥华聚会组

将来的改进,即使在乌托邦

所以,我们正在前往乌托邦的路上,事情看起来不亮。是时候休息在我们的桂冠上,对吧?错误的。我们不断考虑我们如何改善我们的威胁建模培训,并建立可持续系统。我们已经培训了所有目前的开发人员,但将来的新分会人员呢?我们正在考虑如何最好地将此培训纳入新员工的船上。

我们也在考虑如何保持这种知识。也许你几个月前训练,但自以来不得不使用它,现在你有这个巨大的项目 - yipee!威胁建模的复习课程救援!最后,对于真正享受培训并想要了解更多的人,或者真正想要深入了解大型和复杂系统的先进策略,我们正在致力于威胁建模“201”课程。

我们正在招聘!

安全团队正在增长,我们正在寻找具有新的安全问题的候选人。如果您发现此博客有趣,您可能需要查看我们的职业页面

......

MereDydd Luff.3月25日2021年3月25日

这是来自Anvil的创始人,基于Python的拖放应用程序构建器的MereDydd Luff的旅客帖子它是第一次公布的铁砧的博客

部分可以轻松收集来自您的应用程序和网站的客户交互数据,并将其发送给所有分析工具,数据仓库,CRM,以及其他任何内容。

通过在Python中允许您全部完成(不需要HTML或JS!),使其容易构建Web应用程序。今天,我将向您展示如何将它们一起使用:我们将加入ANVIL应用程序以收集与段的用户交互。

我们将采取简单的反馈表格应用程序,并使用段来跟踪用户的旅程。然后我们将向您展示如何使用砧座内置的用户身份验证识别用户进行段。

准备好了吗?就让我们一探究竟吧。

1.创建一个Anvil应用程序

我们将从简单的反馈表格开始,从而建造本教程。教程将带您10分钟,但如果您感到不耐烦,您可以通过急性的应用程序进行完整的应用程序单击此链接

但认真,考虑检查10分钟的教程- 开始很简单:

与砧座建立Web应用程序真的很容易。试试教程!

部署应用程序

我们需要发布我们的应用程序给它一个网址:

为您的应用选择一个URL,Anvil部署它

好的,我们有一个可以获得反馈的应用程序!现在我们想跟踪用户在用户开始键入时,以及当它们点击提交按钮时。为此,我们需要一个分部帐户:


2.设置我们的分部帐户

我们需要段才能使用Analytics.js SDK将我们的应用程序识别为数据源。当您注册免费帐户时,这非常简单semment.com.,您将提示“为您的网站创建一个来源”。按照说明获取代码片段:

向我们的段工作区添加源

我们现在有一个代码片段,我们可以嵌入我们的页面。javascript很丑陋,但别担心 - 我们将完全从Python使用它!


3.从Python代码生成段事件

首先,将该代码段粘贴到您的应用程序中本机库。这将包括您的应用程序HTML中的片段:

别担心,这是我们今天需要的最后一个JavaScript。

现在我们可以导入细分Analytics SDK.并在Python中使用它!打开窗体的代码并在顶部添加:

将分析javascript对象导入Python模块中。我们现在可以从段文档调用所有函数,但我们可以从Python完成它!(有关从Python调用JavaScript函数的更多信息,您可以检查Anvil Docs。)

让我们在用户单击提交按钮时录制一个事件。打开表单的代码并在supper_btn_click函数的顶部添加此行:

就是这样!现在,每次你点击那个按钮,你的应用就会发送一个“反馈提交”事件给Segment。

您可以通过打开源的调试面板来验证它在段仪表板中工作。然后在另一个选项卡中打开您的应用程序,并观看事件流程:

该显示实时更新。它很酷。


记录详细的客户端行为

让我们更详细地了解我们的用户最多。让我们说我们想跟踪我们的漏斗。具体来说,我们想知道有多少人在反馈表中输入某些东西,但不提交它。

当你写一个Anvil应用时,你用Python写代码在浏览器中运行这意味着你的Python代码可以知道,例如,关于文本框中的每个按键。当用户第一次开始输入时,我们可以使用它发送一个Segment事件。

我们将编写一个名为ON_STARTED_EDITING()的函数,并在任何文本字段的更改事件上触发它。这第一的调用此函数的时间,我们将调用Analytics.track()将事件发送到段。

这是我们的Form1类在完成后的样子:

接送事件

最后,是时候加入了这个事件了,使Anvil调用On_Started_Editing()每次某人编辑他们的名字,电子邮件地址或反馈文本时。我们通过选择每个组件,打开“属性”面板,滚动到事件,然后在“更改”框中输入ON_STARTED_EDITING:

现在运行您的应用程序,并在开始键入时观看段调试器!


4.在登录时识别用户进行段

如果用户登录我们的应用程序,我们希望将跟踪的事件与个别用户关联。让我们添加砧座内置的用户身份验证到我们的应用程序,然后将其与Segment的集成用户标识

首先,我们将添加用户服务到我们的应用程序,并在表单构造函数中调用anvil.users.login_with_form()。该函数从用户表返回一行。然后,我们可以通过行的ID,以及电子邮件列到Analytics.identify():

这是整个过程。这是所有它需要添加用户身份验证到我们的应用程序,并将其与分段:

再次,一旦您完成此操作,您可以运行应用程序并观看信息到达段的调试器!(你可能想要添加用户帐号首先是你的应用!)


就是这样!

我们只刚刚创建了一个Web应用程序,除了Python;添加了段跟踪,甚至通过段的用户身份集成了Anvil的用户身份验证。相当酷,呵呵?

更多关于砧

是一个用于构建全堆栈Web应用程序的平台,除了Python。无需与JS,HTML,CSS,Python,SQL和所有框架搏斗 - 只需在Python中构建它。

......

Purva Adke.3月23日2021年3月23日

了解如何从段和斜线带上脱机和在线数据,并将其全部加入,以获得360度的整个客户旅程。......

雷切尔•兰德斯Doug Roberge说道2021年3月10日

Workspace Home是一个提供客户数据基础结构统一视图的仪表板。万博官方购彩它允许您快速查看您的分段实现的所有方面,确保您的客户数据保持完整、准确和无错误。万博官方购彩......

莱夫德里兹勒2021年3月2日

与开发团队合作构建面向客户的安全特性可以帮助您更好地为客户服务,解锁额外收入,并在团队之间双向传递知识——这是DevSecOps的核心概念。manbetx客户端应用下载......

sudheendra chilappagari.2021年2月18日

了解如何使用段和Twilio可编程消息来发送个性化的短信广告系列。......

Solon Aguiar Barbosa de Aguiar Neto2月5日2021年

内部查看我们的工程过程释放的PII访问控制。......

成为数据专家。

获取所有有关数据、产品和增长的最新文章,直接发送到您的收件箱。