開発者選手権:AppSecがセキュリティ文化と参加意欲を高める秘策
想象一下,从头开始制作一些东西,运用自己的技能和经验,在世界上留下小而特别的印记。无论是独自一人还是团队的一员,你都要全心全意地从无到有地建设一些东西。你在上面花费了数百甚至数千个小时,确保你的宝宝尽其所能。完成后,那股成就浪潮本身就感觉像是一种回报。
现在,想象一下一个剧透出现并告诉你它不是那么好。也许他们更进一步,告诉你,不,尽管你牺牲了精力、时间和爱,但它实际上甚至无法使用:它坏了。从本质上讲,他们告诉过你你的宝宝很丑。
上述情景必然会造成一些紧张局势;毕竟,谁愿意将他们的辛勤工作分开来并谴责为不足?遗憾的是,对于许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是构建功能强大、功能丰富且在严格的项目期限内交付的软件。安全性很少是重中之重,甚至可以被视为快速交付和创新的障碍。AppSec肩负着一项艰巨的任务,那就是仔细检查代码、进行笔试然后报告坏消息:通常已经提交的代码中存在安全漏洞。在一个经常资源和时间紧张的环境中,这是一个昂贵的过程,设置必然会在目标相同但讲不同语言的两支团队之间造成分歧,这两个团队似乎处于争执状态。
そろそろイメージチェンジする時期だと思いませんか?それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です(ましてや楽しいことですよ!)。双方にとって、特に開発チームにとっては。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训时没有学到太多安全编程知识,通常情况下,他们第一次接触安全教育是在进入工作岗位时。基于课堂的培训是一种经常使用的解决方案,但它占用了宝贵的功能交付时间(而且,让我们面对现实吧:如果教师和内容刺激不足,对每个人来说都很容易忘记浪费时间)。还有视频课程、纸质考试和通用公司安全政策教育... 所有这些都可能非常不具体,以至于在普通开发人员的日常工作生活中毫无用处。
通常,它被视为 “勾选方框继续前进” 的合规活动,而且往往会产生相反的效果:它只会加剧AppSec和开发团队之间的分歧。毕竟,传统培训似乎并没有对我们作为一个行业迫切寻求的安全文化和合规性产生积极影响。 我们一直在犯同样的错误。
根据常见弱点列举 (CWE) 社区,有 700 多个 常见的 需要对抗的软件安全漏洞。有些,比如 SQL 注入,就像 还没被压扁的蟑螂 尽管它们存在了二十多年。我们 知道 如何修复它;培训旨在使开发人员能够阻止它和其他许多违规行为,但是笔试和手动代码审查流程不断发现这些违规行为。
也许我们对这一切的看法都错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题... 一个利用开发人员如此珍视的惊人技能的角度。他们是富有创造力、好奇心的问题解决者,喜欢挑战。游戏化安全培训就是说他们的语言,让他们边做边练习,谁知道,他们可能会一路上爱上安全。
一场健康的竞争
对(相当不准确)工具、昂贵的笔试和稀缺的AppSec专家的核心依赖将使我们更深入地陷入安全黑洞。我们的生活和隐私太多存在于网上,公司无法继续对保护我们数据的虚拟堡垒持谨慎态度。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要求助于一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训是 AppSec 经理开始转变企业内部安全文化的有力工具。通过培训,开发人员可以在有趣的锦标赛环境中发挥他们新建的安全能力,这种环境可以像你的想象一样令人兴奋:看看怎么做 IAG 的 “代码游戏” 拿到 大家 谈论他们组织内部的安全。
安全代码勇士 锦标赛模块 不仅仅是对经过评估的培训承诺提供一个不错的小上限:它是一个平台,每个开发人员都可以通过该平台验证自己的技能,查看自培训开始以来取得的进步,并确定可能需要改进的领域。竞争方面确实是积极参与安全工作的激励因素,利用奖励和表彰来支持团队内部和更广泛的业务中强大的安全文化的发展。
为这项艰巨甚至令人生畏的任务注入一点乐趣,可以大大改变负面心态,激发持续参与。毕竟,在(健康的)竞争环境中,谁不喜欢比同行获得更多分数的荣耀?
冠军走在你身边
游戏化训练和随后的锦标赛极大地有助于推动积极的安全文化,AppSec和开发团队可以更深入地了解彼此的日常工作。安全的开发人员是一种资产,它可以修复常见的漏洞,并将复杂的问题留给当地稀缺的AppSec专家。更好的人际关系不断发展壮大,宝贵的安全预算并没有被消耗掉,一遍又一遍地修复同样错误的 “土拨鼠日” 场景。
但是,还有另一个强大的副产品:揭露了你从未认识过的安全卫士。锦标赛可以发现那些不仅具备安全天赋而且积极表现出对安全热情的人。这些拥护者对于保持势头、充当团队之间的联络点、监督同行和维护最佳实践政策至关重要。实施坚实的冠军计划,包括表彰和高管支持,是组织中的一颗明珠,也是个人简历和未来职业生涯的有力包容性。
底线?我们必须要求在安全测试中取得更好的结果。不太常见的错误,为前线人员提供更多支持。为什么不看看开发者锦标赛如何能比你想象的更快地让你到达那里呢?
そろそろイメージチェンジする時期だと思いませんか?それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です(ましてや楽しいことですよ!)。双方にとって、特に開発チームにとっては。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
想象一下,从头开始制作一些东西,运用自己的技能和经验,在世界上留下小而特别的印记。无论是独自一人还是团队的一员,你都要全心全意地从无到有地建设一些东西。你在上面花费了数百甚至数千个小时,确保你的宝宝尽其所能。完成后,那股成就浪潮本身就感觉像是一种回报。
现在,想象一下一个剧透出现并告诉你它不是那么好。也许他们更进一步,告诉你,不,尽管你牺牲了精力、时间和爱,但它实际上甚至无法使用:它坏了。从本质上讲,他们告诉过你你的宝宝很丑。
上述情景必然会造成一些紧张局势;毕竟,谁愿意将他们的辛勤工作分开来并谴责为不足?遗憾的是,对于许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是构建功能强大、功能丰富且在严格的项目期限内交付的软件。安全性很少是重中之重,甚至可以被视为快速交付和创新的障碍。AppSec肩负着一项艰巨的任务,那就是仔细检查代码、进行笔试然后报告坏消息:通常已经提交的代码中存在安全漏洞。在一个经常资源和时间紧张的环境中,这是一个昂贵的过程,设置必然会在目标相同但讲不同语言的两支团队之间造成分歧,这两个团队似乎处于争执状态。
そろそろイメージチェンジする時期だと思いませんか?それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です(ましてや楽しいことですよ!)。双方にとって、特に開発チームにとっては。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训时没有学到太多安全编程知识,通常情况下,他们第一次接触安全教育是在进入工作岗位时。基于课堂的培训是一种经常使用的解决方案,但它占用了宝贵的功能交付时间(而且,让我们面对现实吧:如果教师和内容刺激不足,对每个人来说都很容易忘记浪费时间)。还有视频课程、纸质考试和通用公司安全政策教育... 所有这些都可能非常不具体,以至于在普通开发人员的日常工作生活中毫无用处。
通常,它被视为 “勾选方框继续前进” 的合规活动,而且往往会产生相反的效果:它只会加剧AppSec和开发团队之间的分歧。毕竟,传统培训似乎并没有对我们作为一个行业迫切寻求的安全文化和合规性产生积极影响。 我们一直在犯同样的错误。
根据常见弱点列举 (CWE) 社区,有 700 多个 常见的 需要对抗的软件安全漏洞。有些,比如 SQL 注入,就像 还没被压扁的蟑螂 尽管它们存在了二十多年。我们 知道 如何修复它;培训旨在使开发人员能够阻止它和其他许多违规行为,但是笔试和手动代码审查流程不断发现这些违规行为。
也许我们对这一切的看法都错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题... 一个利用开发人员如此珍视的惊人技能的角度。他们是富有创造力、好奇心的问题解决者,喜欢挑战。游戏化安全培训就是说他们的语言,让他们边做边练习,谁知道,他们可能会一路上爱上安全。
一场健康的竞争
对(相当不准确)工具、昂贵的笔试和稀缺的AppSec专家的核心依赖将使我们更深入地陷入安全黑洞。我们的生活和隐私太多存在于网上,公司无法继续对保护我们数据的虚拟堡垒持谨慎态度。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要求助于一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训是 AppSec 经理开始转变企业内部安全文化的有力工具。通过培训,开发人员可以在有趣的锦标赛环境中发挥他们新建的安全能力,这种环境可以像你的想象一样令人兴奋:看看怎么做 IAG 的 “代码游戏” 拿到 大家 谈论他们组织内部的安全。
安全代码勇士 锦标赛模块 不仅仅是对经过评估的培训承诺提供一个不错的小上限:它是一个平台,每个开发人员都可以通过该平台验证自己的技能,查看自培训开始以来取得的进步,并确定可能需要改进的领域。竞争方面确实是积极参与安全工作的激励因素,利用奖励和表彰来支持团队内部和更广泛的业务中强大的安全文化的发展。
为这项艰巨甚至令人生畏的任务注入一点乐趣,可以大大改变负面心态,激发持续参与。毕竟,在(健康的)竞争环境中,谁不喜欢比同行获得更多分数的荣耀?
冠军走在你身边
游戏化训练和随后的锦标赛极大地有助于推动积极的安全文化,AppSec和开发团队可以更深入地了解彼此的日常工作。安全的开发人员是一种资产,它可以修复常见的漏洞,并将复杂的问题留给当地稀缺的AppSec专家。更好的人际关系不断发展壮大,宝贵的安全预算并没有被消耗掉,一遍又一遍地修复同样错误的 “土拨鼠日” 场景。
但是,还有另一个强大的副产品:揭露了你从未认识过的安全卫士。锦标赛可以发现那些不仅具备安全天赋而且积极表现出对安全热情的人。这些拥护者对于保持势头、充当团队之间的联络点、监督同行和维护最佳实践政策至关重要。实施坚实的冠军计划,包括表彰和高管支持,是组织中的一颗明珠,也是个人简历和未来职业生涯的有力包容性。
底线?我们必须要求在安全测试中取得更好的结果。不太常见的错误,为前线人员提供更多支持。为什么不看看开发者锦标赛如何能比你想象的更快地让你到达那里呢?
想象一下,从头开始制作一些东西,运用自己的技能和经验,在世界上留下小而特别的印记。无论是独自一人还是团队的一员,你都要全心全意地从无到有地建设一些东西。你在上面花费了数百甚至数千个小时,确保你的宝宝尽其所能。完成后,那股成就浪潮本身就感觉像是一种回报。
现在,想象一下一个剧透出现并告诉你它不是那么好。也许他们更进一步,告诉你,不,尽管你牺牲了精力、时间和爱,但它实际上甚至无法使用:它坏了。从本质上讲,他们告诉过你你的宝宝很丑。
上述情景必然会造成一些紧张局势;毕竟,谁愿意将他们的辛勤工作分开来并谴责为不足?遗憾的是,对于许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是构建功能强大、功能丰富且在严格的项目期限内交付的软件。安全性很少是重中之重,甚至可以被视为快速交付和创新的障碍。AppSec肩负着一项艰巨的任务,那就是仔细检查代码、进行笔试然后报告坏消息:通常已经提交的代码中存在安全漏洞。在一个经常资源和时间紧张的环境中,这是一个昂贵的过程,设置必然会在目标相同但讲不同语言的两支团队之间造成分歧,这两个团队似乎处于争执状态。
そろそろイメージチェンジする時期だと思いませんか?それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です(ましてや楽しいことですよ!)。双方にとって、特に開発チームにとっては。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训时没有学到太多安全编程知识,通常情况下,他们第一次接触安全教育是在进入工作岗位时。基于课堂的培训是一种经常使用的解决方案,但它占用了宝贵的功能交付时间(而且,让我们面对现实吧:如果教师和内容刺激不足,对每个人来说都很容易忘记浪费时间)。还有视频课程、纸质考试和通用公司安全政策教育... 所有这些都可能非常不具体,以至于在普通开发人员的日常工作生活中毫无用处。
通常,它被视为 “勾选方框继续前进” 的合规活动,而且往往会产生相反的效果:它只会加剧AppSec和开发团队之间的分歧。毕竟,传统培训似乎并没有对我们作为一个行业迫切寻求的安全文化和合规性产生积极影响。 我们一直在犯同样的错误。
根据常见弱点列举 (CWE) 社区,有 700 多个 常见的 需要对抗的软件安全漏洞。有些,比如 SQL 注入,就像 还没被压扁的蟑螂 尽管它们存在了二十多年。我们 知道 如何修复它;培训旨在使开发人员能够阻止它和其他许多违规行为,但是笔试和手动代码审查流程不断发现这些违规行为。
也许我们对这一切的看法都错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题... 一个利用开发人员如此珍视的惊人技能的角度。他们是富有创造力、好奇心的问题解决者,喜欢挑战。游戏化安全培训就是说他们的语言,让他们边做边练习,谁知道,他们可能会一路上爱上安全。
一场健康的竞争
对(相当不准确)工具、昂贵的笔试和稀缺的AppSec专家的核心依赖将使我们更深入地陷入安全黑洞。我们的生活和隐私太多存在于网上,公司无法继续对保护我们数据的虚拟堡垒持谨慎态度。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要求助于一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训是 AppSec 经理开始转变企业内部安全文化的有力工具。通过培训,开发人员可以在有趣的锦标赛环境中发挥他们新建的安全能力,这种环境可以像你的想象一样令人兴奋:看看怎么做 IAG 的 “代码游戏” 拿到 大家 谈论他们组织内部的安全。
安全代码勇士 锦标赛模块 不仅仅是对经过评估的培训承诺提供一个不错的小上限:它是一个平台,每个开发人员都可以通过该平台验证自己的技能,查看自培训开始以来取得的进步,并确定可能需要改进的领域。竞争方面确实是积极参与安全工作的激励因素,利用奖励和表彰来支持团队内部和更广泛的业务中强大的安全文化的发展。
为这项艰巨甚至令人生畏的任务注入一点乐趣,可以大大改变负面心态,激发持续参与。毕竟,在(健康的)竞争环境中,谁不喜欢比同行获得更多分数的荣耀?
冠军走在你身边
游戏化训练和随后的锦标赛极大地有助于推动积极的安全文化,AppSec和开发团队可以更深入地了解彼此的日常工作。安全的开发人员是一种资产,它可以修复常见的漏洞,并将复杂的问题留给当地稀缺的AppSec专家。更好的人际关系不断发展壮大,宝贵的安全预算并没有被消耗掉,一遍又一遍地修复同样错误的 “土拨鼠日” 场景。
但是,还有另一个强大的副产品:揭露了你从未认识过的安全卫士。锦标赛可以发现那些不仅具备安全天赋而且积极表现出对安全热情的人。这些拥护者对于保持势头、充当团队之间的联络点、监督同行和维护最佳实践政策至关重要。实施坚实的冠军计划,包括表彰和高管支持,是组织中的一颗明珠,也是个人简历和未来职业生涯的有力包容性。
底线?我们必须要求在安全测试中取得更好的结果。不太常见的错误,为前线人员提供更多支持。为什么不看看开发者锦标赛如何能比你想象的更快地让你到达那里呢?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
想象一下,从头开始制作一些东西,运用自己的技能和经验,在世界上留下小而特别的印记。无论是独自一人还是团队的一员,你都要全心全意地从无到有地建设一些东西。你在上面花费了数百甚至数千个小时,确保你的宝宝尽其所能。完成后,那股成就浪潮本身就感觉像是一种回报。
现在,想象一下一个剧透出现并告诉你它不是那么好。也许他们更进一步,告诉你,不,尽管你牺牲了精力、时间和爱,但它实际上甚至无法使用:它坏了。从本质上讲,他们告诉过你你的宝宝很丑。
上述情景必然会造成一些紧张局势;毕竟,谁愿意将他们的辛勤工作分开来并谴责为不足?遗憾的是,对于许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是构建功能强大、功能丰富且在严格的项目期限内交付的软件。安全性很少是重中之重,甚至可以被视为快速交付和创新的障碍。AppSec肩负着一项艰巨的任务,那就是仔细检查代码、进行笔试然后报告坏消息:通常已经提交的代码中存在安全漏洞。在一个经常资源和时间紧张的环境中,这是一个昂贵的过程,设置必然会在目标相同但讲不同语言的两支团队之间造成分歧,这两个团队似乎处于争执状态。
そろそろイメージチェンジする時期だと思いませんか?それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です(ましてや楽しいことですよ!)。双方にとって、特に開発チームにとっては。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训时没有学到太多安全编程知识,通常情况下,他们第一次接触安全教育是在进入工作岗位时。基于课堂的培训是一种经常使用的解决方案,但它占用了宝贵的功能交付时间(而且,让我们面对现实吧:如果教师和内容刺激不足,对每个人来说都很容易忘记浪费时间)。还有视频课程、纸质考试和通用公司安全政策教育... 所有这些都可能非常不具体,以至于在普通开发人员的日常工作生活中毫无用处。
通常,它被视为 “勾选方框继续前进” 的合规活动,而且往往会产生相反的效果:它只会加剧AppSec和开发团队之间的分歧。毕竟,传统培训似乎并没有对我们作为一个行业迫切寻求的安全文化和合规性产生积极影响。 我们一直在犯同样的错误。
根据常见弱点列举 (CWE) 社区,有 700 多个 常见的 需要对抗的软件安全漏洞。有些,比如 SQL 注入,就像 还没被压扁的蟑螂 尽管它们存在了二十多年。我们 知道 如何修复它;培训旨在使开发人员能够阻止它和其他许多违规行为,但是笔试和手动代码审查流程不断发现这些违规行为。
也许我们对这一切的看法都错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题... 一个利用开发人员如此珍视的惊人技能的角度。他们是富有创造力、好奇心的问题解决者,喜欢挑战。游戏化安全培训就是说他们的语言,让他们边做边练习,谁知道,他们可能会一路上爱上安全。
一场健康的竞争
对(相当不准确)工具、昂贵的笔试和稀缺的AppSec专家的核心依赖将使我们更深入地陷入安全黑洞。我们的生活和隐私太多存在于网上,公司无法继续对保护我们数据的虚拟堡垒持谨慎态度。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要求助于一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训是 AppSec 经理开始转变企业内部安全文化的有力工具。通过培训,开发人员可以在有趣的锦标赛环境中发挥他们新建的安全能力,这种环境可以像你的想象一样令人兴奋:看看怎么做 IAG 的 “代码游戏” 拿到 大家 谈论他们组织内部的安全。
安全代码勇士 锦标赛模块 不仅仅是对经过评估的培训承诺提供一个不错的小上限:它是一个平台,每个开发人员都可以通过该平台验证自己的技能,查看自培训开始以来取得的进步,并确定可能需要改进的领域。竞争方面确实是积极参与安全工作的激励因素,利用奖励和表彰来支持团队内部和更广泛的业务中强大的安全文化的发展。
为这项艰巨甚至令人生畏的任务注入一点乐趣,可以大大改变负面心态,激发持续参与。毕竟,在(健康的)竞争环境中,谁不喜欢比同行获得更多分数的荣耀?
冠军走在你身边
游戏化训练和随后的锦标赛极大地有助于推动积极的安全文化,AppSec和开发团队可以更深入地了解彼此的日常工作。安全的开发人员是一种资产,它可以修复常见的漏洞,并将复杂的问题留给当地稀缺的AppSec专家。更好的人际关系不断发展壮大,宝贵的安全预算并没有被消耗掉,一遍又一遍地修复同样错误的 “土拨鼠日” 场景。
但是,还有另一个强大的副产品:揭露了你从未认识过的安全卫士。锦标赛可以发现那些不仅具备安全天赋而且积极表现出对安全热情的人。这些拥护者对于保持势头、充当团队之间的联络点、监督同行和维护最佳实践政策至关重要。实施坚实的冠军计划,包括表彰和高管支持,是组织中的一颗明珠,也是个人简历和未来职业生涯的有力包容性。
底线?我们必须要求在安全测试中取得更好的结果。不太常见的错误,为前线人员提供更多支持。为什么不看看开发者锦标赛如何能比你想象的更快地让你到达那里呢?
%20(1).avif)
.avif)
