推动企业安全设计计划取得有意义的成功

见证 CISA 真是令人振奋 通过设计确保安全 （SBD）运动在全球范围内势头增强，因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略，其中许多国家也为最初的建议做出了贡献。

自 2024 年 4 月以来，有 200 多家公司，其中包括 安全代码勇士，已经签署了 “通过设计确保安全” 承诺，这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻，他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外，这些建议还不是强制性的，但我认为这不仅是未来，而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。

我们认为这场运动至关重要，而我们的最新研究论文 对安全技能进行基准测试：简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。

衡量组织安全设计工作的投资回报率

彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率（ROI）和商业价值时经常受到挑战，许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是，数据支持的提案将使这里的一切变得不同。

近年来，缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难，而开发队列是成功的软件安全实践的关键要素。

使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能，还要向监管机构保证这些技能已经到位。因此，我们决定分析开发人员团队的准备情况，结果可能会出人意料。

试图加快其SBD计划的公司如何利用信任分数

如果不对从哪里开始和需要去哪里有一个扎实的认识，就几乎不可能提高效率。但是，数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准，旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划，有利于成功实施安全设计计划。

我们的白皮书中透露的分析表明，顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现，这些行业的开发团队的安全态势一般。

Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现：

• 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4％；
• 金融服务行业的信任分数最高，为336；
• 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功，而规模较小的计划往往分散。但是，事实证明，一旦获得授权，它们可以更快地实现可衡量的投资回报率（ROI）；
• 当技能提升计划稳步实施时，开发人员在应用程序中引入的风险就会大大降低。分析发现，参与大型技能提升计划（一家公司中有7000多名开发人员）的开发人员可以预见地将漏洞减少47-53％。

解决方案 | 结论

SCW Trust Score 是任何安全领导者武器库中的强大工具，它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选，生成自定义报告，使公司能够满足开发人员或团队的特定需求，并确定需要额外培训或指导的领域。毕竟，安全是一项永无止境的努力；有效地对性能进行基准测试将有助于发现持续改进的机会。

加速的软件开发和部署，加上越来越险恶的网络威胁格局和越来越鹰派的监管机构，使网络安全成为重中之重。组织如果还没有，则必须优先发展企业范围内的安全优先文化。