为开发人员主导的安全性建立统一的方法
针对诸如SolarWinds活动之类的重大安全漏洞,该活动使用软件更新流程感染了广受欢迎的Orion管理软件的18,000多名用户,包括许多顶级公司和政府机构,人们越来越多地推动更有效的开发人员主导的安全工作。各种规模的组织都开始质疑他们的 “软件供应链”,并要求开发软件的开发人员具有经过验证的安全技能和意识。
甚至美国政府也呼吁采取更好的开发者主导的安全措施,加强软件供应链。这些概念是拜登总统发布的改善国家网络安全的行政命令的关键组成部分。
总体而言,开发者社区已经接受了通过诸如devSeCops之类的计划和活动将安全性转移到软件开发生命周期(SDLC)早期的想法。在最近的调查中,开发人员社区表示,他们重视为支持这项工作而接受的安全培训。
软件漏洞 继续被利用,甚至开发人员也承认他们有时会在代码中留下漏洞。
为什么?
调查证实,编写高质量的代码是开发社区的重中之重。但是,该调查还确定了向开发人员提供的培训虽然被视为有价值,但仍远未达到帮助保护软件供应链的目标的几个原因。33%的人表示,他们的代码中仍然存在漏洞,因为即使在提供了任何培训之后,他们仍然不知道如何识别或修复已知漏洞。压倒性的92%的人表示他们至少需要一定程度的额外安全培训,而50%的人表示需要更多的培训。
很明显,开发者社区重视他们接受的任何培训。但是,当被问及采用安全编码实践的障碍时,缺乏时间被视为首要原因,其次是五分之一的受访者认为缺乏凝聚力的方法是罪魁祸首。培训更多地被视为一次性活动,而不是将安全性纳入开发人员工作流程并每天使用的持续战略努力的一部分。
因此,开发人员无法培养和保留安全的编程技能,这是其组织内部紧密而持续的计划的一部分。我们还可以得出结论,鉴于许多开发人员表示他们仍然无法识别和修复常见漏洞,目前接受的培训并不是特别有效或全面。
92% 的开发人员表示他们至少需要一定程度的额外安全培训,而 92% 的开发人员表示需要更多的培训。
组织可以做些什么来解决这种情况?
有趣的是,绝大多数开发人员表示他们需要更多的安全培训。尽管他们重视所接受的培训,但这种情况可能是他们对所能得到的一切感到满意。
当被要求评论如何改善训练时,他们对这个问题的真实想法开始浮出水面。总的来说,开发人员接受的大多数培训都是有限的、非互动的,只是在某种程度上针对他们的工作职责,而不是帮助提高组织安全技能和意识的总体或持续计划的一部分。根据接受调查的开发人员,如果组织想提高所提供培训的有效性,则应将其作为促进整个SDLC更加重视安全的全面方法的一部分。此外,开发人员提出了具体的要求,要求他们提高培训的价值。最受欢迎的建议之一是包括更多的用例和从安全角度来看他们可能遇到的情况的实际示例。提高效率的另一种流行对策是让教育最终涵盖越来越复杂或困难的情景——此举可能还需要更具凝聚力的方法以及持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性,甚至可能增加竞争元素。通常,在尝试教授诸如安全编码等复杂且(被认为是)困难的技能时,用户只需观看视频或听讲座而没有机会进行动手和情境式学习的培训并不有效或特别有价值。
开发人员还强调需要更多的互动性,甚至可能增加竞争元素。
在采用统一的安全方法时,还有哪些其他要素很重要?
当然,在努力提高组织开发者社区的安全意识和技能时,培训至关重要。而且,确保学习是持续的、互动的、相关的、符合情境的也是必要的。但是,提高安全意识的真正凝聚力的方法甚至不止于此。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。例如,传统上对开发人员进行评估的标准是他们编写代码的速度。但是,统一的安全方法可能涉及更改这些长期存在的指标和价值。取而代之的是,评估可以将重点从奖励原始速度上转移到奖励那些能够创建安全的高质量代码的开发人员——这意味着它没有漏洞。
作为工作的一部分,它还可能让开发者社区本身参与进来。与其简单地强制开发人员提供安全保障,不如考虑从社区中创建或任命安全倡导者。这些人将是才华横溢且具有安全意识的开发人员,他们在培训或作为新重点指标评估的一部分中脱颖而出。他们还应该愿意帮助其他开发人员提高技能,从而从内部改善开发社区。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。
供进一步阅读
白皮书:提高软件安全性的挑战(和机遇)
白皮书: 开发人员驱动的预防性软件安全方法
白皮书:DevSecOps 超级碗:安全卫士如何支持您的团队战胜后期漏洞
报告:开发者驱动的安全现状 2022
针对诸如SolarWinds活动之类的重大安全漏洞,该活动使用软件更新流程感染了广受欢迎的Orion管理软件的18,000多名用户,包括许多顶级公司和政府机构,人们越来越多地推动更有效的开发人员主导的安全工作。各种规模的组织都开始质疑他们的 “软件供应链”,并要求开发软件的开发人员具有经过验证的安全技能和意识。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
针对诸如SolarWinds活动之类的重大安全漏洞,该活动使用软件更新流程感染了广受欢迎的Orion管理软件的18,000多名用户,包括许多顶级公司和政府机构,人们越来越多地推动更有效的开发人员主导的安全工作。各种规模的组织都开始质疑他们的 “软件供应链”,并要求开发软件的开发人员具有经过验证的安全技能和意识。
甚至美国政府也呼吁采取更好的开发者主导的安全措施,加强软件供应链。这些概念是拜登总统发布的改善国家网络安全的行政命令的关键组成部分。
总体而言,开发者社区已经接受了通过诸如devSeCops之类的计划和活动将安全性转移到软件开发生命周期(SDLC)早期的想法。在最近的调查中,开发人员社区表示,他们重视为支持这项工作而接受的安全培训。
软件漏洞 继续被利用,甚至开发人员也承认他们有时会在代码中留下漏洞。
为什么?
调查证实,编写高质量的代码是开发社区的重中之重。但是,该调查还确定了向开发人员提供的培训虽然被视为有价值,但仍远未达到帮助保护软件供应链的目标的几个原因。33%的人表示,他们的代码中仍然存在漏洞,因为即使在提供了任何培训之后,他们仍然不知道如何识别或修复已知漏洞。压倒性的92%的人表示他们至少需要一定程度的额外安全培训,而50%的人表示需要更多的培训。
很明显,开发者社区重视他们接受的任何培训。但是,当被问及采用安全编码实践的障碍时,缺乏时间被视为首要原因,其次是五分之一的受访者认为缺乏凝聚力的方法是罪魁祸首。培训更多地被视为一次性活动,而不是将安全性纳入开发人员工作流程并每天使用的持续战略努力的一部分。
因此,开发人员无法培养和保留安全的编程技能,这是其组织内部紧密而持续的计划的一部分。我们还可以得出结论,鉴于许多开发人员表示他们仍然无法识别和修复常见漏洞,目前接受的培训并不是特别有效或全面。
92% 的开发人员表示他们至少需要一定程度的额外安全培训,而 92% 的开发人员表示需要更多的培训。
组织可以做些什么来解决这种情况?
有趣的是,绝大多数开发人员表示他们需要更多的安全培训。尽管他们重视所接受的培训,但这种情况可能是他们对所能得到的一切感到满意。
当被要求评论如何改善训练时,他们对这个问题的真实想法开始浮出水面。总的来说,开发人员接受的大多数培训都是有限的、非互动的,只是在某种程度上针对他们的工作职责,而不是帮助提高组织安全技能和意识的总体或持续计划的一部分。根据接受调查的开发人员,如果组织想提高所提供培训的有效性,则应将其作为促进整个SDLC更加重视安全的全面方法的一部分。此外,开发人员提出了具体的要求,要求他们提高培训的价值。最受欢迎的建议之一是包括更多的用例和从安全角度来看他们可能遇到的情况的实际示例。提高效率的另一种流行对策是让教育最终涵盖越来越复杂或困难的情景——此举可能还需要更具凝聚力的方法以及持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性,甚至可能增加竞争元素。通常,在尝试教授诸如安全编码等复杂且(被认为是)困难的技能时,用户只需观看视频或听讲座而没有机会进行动手和情境式学习的培训并不有效或特别有价值。
开发人员还强调需要更多的互动性,甚至可能增加竞争元素。
在采用统一的安全方法时,还有哪些其他要素很重要?
当然,在努力提高组织开发者社区的安全意识和技能时,培训至关重要。而且,确保学习是持续的、互动的、相关的、符合情境的也是必要的。但是,提高安全意识的真正凝聚力的方法甚至不止于此。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。例如,传统上对开发人员进行评估的标准是他们编写代码的速度。但是,统一的安全方法可能涉及更改这些长期存在的指标和价值。取而代之的是,评估可以将重点从奖励原始速度上转移到奖励那些能够创建安全的高质量代码的开发人员——这意味着它没有漏洞。
作为工作的一部分,它还可能让开发者社区本身参与进来。与其简单地强制开发人员提供安全保障,不如考虑从社区中创建或任命安全倡导者。这些人将是才华横溢且具有安全意识的开发人员,他们在培训或作为新重点指标评估的一部分中脱颖而出。他们还应该愿意帮助其他开发人员提高技能,从而从内部改善开发社区。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。
供进一步阅读
白皮书:提高软件安全性的挑战(和机遇)
白皮书: 开发人员驱动的预防性软件安全方法
白皮书:DevSecOps 超级碗:安全卫士如何支持您的团队战胜后期漏洞
报告:开发者驱动的安全现状 2022
针对诸如SolarWinds活动之类的重大安全漏洞,该活动使用软件更新流程感染了广受欢迎的Orion管理软件的18,000多名用户,包括许多顶级公司和政府机构,人们越来越多地推动更有效的开发人员主导的安全工作。各种规模的组织都开始质疑他们的 “软件供应链”,并要求开发软件的开发人员具有经过验证的安全技能和意识。
甚至美国政府也呼吁采取更好的开发者主导的安全措施,加强软件供应链。这些概念是拜登总统发布的改善国家网络安全的行政命令的关键组成部分。
总体而言,开发者社区已经接受了通过诸如devSeCops之类的计划和活动将安全性转移到软件开发生命周期(SDLC)早期的想法。在最近的调查中,开发人员社区表示,他们重视为支持这项工作而接受的安全培训。
软件漏洞 继续被利用,甚至开发人员也承认他们有时会在代码中留下漏洞。
为什么?
调查证实,编写高质量的代码是开发社区的重中之重。但是,该调查还确定了向开发人员提供的培训虽然被视为有价值,但仍远未达到帮助保护软件供应链的目标的几个原因。33%的人表示,他们的代码中仍然存在漏洞,因为即使在提供了任何培训之后,他们仍然不知道如何识别或修复已知漏洞。压倒性的92%的人表示他们至少需要一定程度的额外安全培训,而50%的人表示需要更多的培训。
很明显,开发者社区重视他们接受的任何培训。但是,当被问及采用安全编码实践的障碍时,缺乏时间被视为首要原因,其次是五分之一的受访者认为缺乏凝聚力的方法是罪魁祸首。培训更多地被视为一次性活动,而不是将安全性纳入开发人员工作流程并每天使用的持续战略努力的一部分。
因此,开发人员无法培养和保留安全的编程技能,这是其组织内部紧密而持续的计划的一部分。我们还可以得出结论,鉴于许多开发人员表示他们仍然无法识别和修复常见漏洞,目前接受的培训并不是特别有效或全面。
92% 的开发人员表示他们至少需要一定程度的额外安全培训,而 92% 的开发人员表示需要更多的培训。
组织可以做些什么来解决这种情况?
有趣的是,绝大多数开发人员表示他们需要更多的安全培训。尽管他们重视所接受的培训,但这种情况可能是他们对所能得到的一切感到满意。
当被要求评论如何改善训练时,他们对这个问题的真实想法开始浮出水面。总的来说,开发人员接受的大多数培训都是有限的、非互动的,只是在某种程度上针对他们的工作职责,而不是帮助提高组织安全技能和意识的总体或持续计划的一部分。根据接受调查的开发人员,如果组织想提高所提供培训的有效性,则应将其作为促进整个SDLC更加重视安全的全面方法的一部分。此外,开发人员提出了具体的要求,要求他们提高培训的价值。最受欢迎的建议之一是包括更多的用例和从安全角度来看他们可能遇到的情况的实际示例。提高效率的另一种流行对策是让教育最终涵盖越来越复杂或困难的情景——此举可能还需要更具凝聚力的方法以及持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性,甚至可能增加竞争元素。通常,在尝试教授诸如安全编码等复杂且(被认为是)困难的技能时,用户只需观看视频或听讲座而没有机会进行动手和情境式学习的培训并不有效或特别有价值。
开发人员还强调需要更多的互动性,甚至可能增加竞争元素。
在采用统一的安全方法时,还有哪些其他要素很重要?
当然,在努力提高组织开发者社区的安全意识和技能时,培训至关重要。而且,确保学习是持续的、互动的、相关的、符合情境的也是必要的。但是,提高安全意识的真正凝聚力的方法甚至不止于此。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。例如,传统上对开发人员进行评估的标准是他们编写代码的速度。但是,统一的安全方法可能涉及更改这些长期存在的指标和价值。取而代之的是,评估可以将重点从奖励原始速度上转移到奖励那些能够创建安全的高质量代码的开发人员——这意味着它没有漏洞。
作为工作的一部分,它还可能让开发者社区本身参与进来。与其简单地强制开发人员提供安全保障,不如考虑从社区中创建或任命安全倡导者。这些人将是才华横溢且具有安全意识的开发人员,他们在培训或作为新重点指标评估的一部分中脱颖而出。他们还应该愿意帮助其他开发人员提高技能,从而从内部改善开发社区。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。
供进一步阅读
白皮书:提高软件安全性的挑战(和机遇)
白皮书: 开发人员驱动的预防性软件安全方法
白皮书:DevSecOps 超级碗:安全卫士如何支持您的团队战胜后期漏洞
报告:开发者驱动的安全现状 2022
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
针对诸如SolarWinds活动之类的重大安全漏洞,该活动使用软件更新流程感染了广受欢迎的Orion管理软件的18,000多名用户,包括许多顶级公司和政府机构,人们越来越多地推动更有效的开发人员主导的安全工作。各种规模的组织都开始质疑他们的 “软件供应链”,并要求开发软件的开发人员具有经过验证的安全技能和意识。
甚至美国政府也呼吁采取更好的开发者主导的安全措施,加强软件供应链。这些概念是拜登总统发布的改善国家网络安全的行政命令的关键组成部分。
总体而言,开发者社区已经接受了通过诸如devSeCops之类的计划和活动将安全性转移到软件开发生命周期(SDLC)早期的想法。在最近的调查中,开发人员社区表示,他们重视为支持这项工作而接受的安全培训。
软件漏洞 继续被利用,甚至开发人员也承认他们有时会在代码中留下漏洞。
为什么?
调查证实,编写高质量的代码是开发社区的重中之重。但是,该调查还确定了向开发人员提供的培训虽然被视为有价值,但仍远未达到帮助保护软件供应链的目标的几个原因。33%的人表示,他们的代码中仍然存在漏洞,因为即使在提供了任何培训之后,他们仍然不知道如何识别或修复已知漏洞。压倒性的92%的人表示他们至少需要一定程度的额外安全培训,而50%的人表示需要更多的培训。
很明显,开发者社区重视他们接受的任何培训。但是,当被问及采用安全编码实践的障碍时,缺乏时间被视为首要原因,其次是五分之一的受访者认为缺乏凝聚力的方法是罪魁祸首。培训更多地被视为一次性活动,而不是将安全性纳入开发人员工作流程并每天使用的持续战略努力的一部分。
因此,开发人员无法培养和保留安全的编程技能,这是其组织内部紧密而持续的计划的一部分。我们还可以得出结论,鉴于许多开发人员表示他们仍然无法识别和修复常见漏洞,目前接受的培训并不是特别有效或全面。
92% 的开发人员表示他们至少需要一定程度的额外安全培训,而 92% 的开发人员表示需要更多的培训。
组织可以做些什么来解决这种情况?
有趣的是,绝大多数开发人员表示他们需要更多的安全培训。尽管他们重视所接受的培训,但这种情况可能是他们对所能得到的一切感到满意。
当被要求评论如何改善训练时,他们对这个问题的真实想法开始浮出水面。总的来说,开发人员接受的大多数培训都是有限的、非互动的,只是在某种程度上针对他们的工作职责,而不是帮助提高组织安全技能和意识的总体或持续计划的一部分。根据接受调查的开发人员,如果组织想提高所提供培训的有效性,则应将其作为促进整个SDLC更加重视安全的全面方法的一部分。此外,开发人员提出了具体的要求,要求他们提高培训的价值。最受欢迎的建议之一是包括更多的用例和从安全角度来看他们可能遇到的情况的实际示例。提高效率的另一种流行对策是让教育最终涵盖越来越复杂或困难的情景——此举可能还需要更具凝聚力的方法以及持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性,甚至可能增加竞争元素。通常,在尝试教授诸如安全编码等复杂且(被认为是)困难的技能时,用户只需观看视频或听讲座而没有机会进行动手和情境式学习的培训并不有效或特别有价值。
开发人员还强调需要更多的互动性,甚至可能增加竞争元素。
在采用统一的安全方法时,还有哪些其他要素很重要?
当然,在努力提高组织开发者社区的安全意识和技能时,培训至关重要。而且,确保学习是持续的、互动的、相关的、符合情境的也是必要的。但是,提高安全意识的真正凝聚力的方法甚至不止于此。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。例如,传统上对开发人员进行评估的标准是他们编写代码的速度。但是,统一的安全方法可能涉及更改这些长期存在的指标和价值。取而代之的是,评估可以将重点从奖励原始速度上转移到奖励那些能够创建安全的高质量代码的开发人员——这意味着它没有漏洞。
作为工作的一部分,它还可能让开发者社区本身参与进来。与其简单地强制开发人员提供安全保障,不如考虑从社区中创建或任命安全倡导者。这些人将是才华横溢且具有安全意识的开发人员,他们在培训或作为新重点指标评估的一部分中脱颖而出。他们还应该愿意帮助其他开发人员提高技能,从而从内部改善开发社区。
真正具有凝聚力的方法必须考虑培养真正由开发者主导的安全文化所需的条件。这可能需要将重点从管理和建立开发团队的典型方式中转移。
供进一步阅读
白皮书:提高软件安全性的挑战(和机遇)
白皮书: 开发人员驱动的预防性软件安全方法
白皮书:DevSecOps 超级碗:安全卫士如何支持您的团队战胜后期漏洞
报告:开发者驱动的安全现状 2022
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
