对于开发者来说，要帮助杀死网络犯罪野兽，训练是一项分为两部分的任务

这篇文章的一个版本出现在 Devops.com。它已在此处更新和发布。

众所周知，网络安全领域英雄和反派之间的竞争环境非常不公平。敏感数据是新的黄金，攻击者可以快速适应以规避防御，利用大大小小的安全漏洞获取潜在的利润。

生成的代码量太大，安全专家无法应对，而且日益稀缺，而数据泄露成本的上涨证明必须有所作为。幸运的是，为了我们的数字安全和各地首席信息安全官的理智，DevSecOps运动正在帮助开发人员从软件开发过程的一开始就踏上安全之旅。它们被公认为抵御网络攻击者的第一道防线，具有消除常见漏洞的能力触手可及。

但是，他们的防御能力取决于他们所接受的训练，这是安全小组需要应对的又一挑战。对于许多在工作中接受安全编码培训的开发人员来说，他们面临的关键挑战是在乏味、无动于衷的活动中保持清醒，这些活动既无效，也不会激励他们将安全放在首位。没有灵魂的视频课程无法让我们实现目标，象征性的年度 “勾选盒子” 活动是在浪费时间，没有人能战胜等待抓住机会的潜在恶意威胁行为者。

在我们行业的现阶段，我们已经发现，以相关的编程语言和框架提供的情境式动手教育是一种更具吸引力的方法，其挑战可以模仿开发人员在现实世界中可能遇到的挑战。

这是开发人员寻求帮助 AppSec 专家消除常见漏洞的第一阶段，但第二阶段是必须让一支充满活力、具有安全意识的防御部队的情景变为现实。

脚手架式学习在成人教育中至关重要

当涉及到课外课程或在职培训时，人们经常忽视成年人带来一定水平的经验和现有知识。良好的培训为这一基础奠定了基础，其结构可以让您在学习过程中获得更深入的理解和更快的自主权。

脚手架教育是一种强有力、积极的学习方法，旨在激活和增强以前的经验，同时继续培养可管理的新技能，使受训者能够更有信心地完成越来越困难的任务。通常，这种方法最好搭配健康的演示、视觉辅助工具和学生主导的探索。

如果我们将这种方法与开发人员安全培训联系起来，那么与基于理论的静态学习这种繁琐的工作相比，动态的、边做边学的方法长期以来更受青睐也就不足为奇了。他们可以自由地成为自己的领域的主人，并应确保自己的时间得到充分利用。

从这个意义上讲，学习在高度相关的上下文环境中安全地编写代码是关键，但此步骤的 “升级” 是要看到漏洞代码的漏洞利用正在发挥作用。在前端和后端视图的上下文并排的情况下，在编码过程中采取的操作与攻击者在偷工减料、配置错误或事故未发现和补救的情况下可能采取的措施之间存在切实的联系。

从召回转到申请，采用真正的预防性安全方法

亲身体验安全漏洞的影响是教育难题的重要组成部分，即使为开发人员提供了最现代的安全培训选项，它也是一种相当罕见的野兽。在磨练发现和修复漏洞的技能，以及回顾这种经历以消除代码编写过程中相同的错误上所花费的基础工作极其重要，但这并不是全部。去看看 如何 恶意行为者利用易受攻击的代码增加了强大的上下文层，这层环境确实使人们意识到保护代码的重要性，并运用来之不易的安全知识来关闭每一个机会之窗。

人们普遍认为，开发人员不喜欢安全，他们对安全培训的热爱甚至更少。他们与AppSec专家的交往可能非常冷淡，而安全团队将易受攻击的代码退回给开发人员进行补救所造成的返工是他们存在的祸根。对于已经分散的工程团队来说，安全是他人的问题，而不是他们的优先事项，也是他们天生创造力和建筑特征主要目标的障碍。但是，代码太多，漏洞太多，世界数据风险太大，这种心态无法持续下去。

功能性的 DevSecOps 流程让开发人员在 SDLC 之初就与安全团队和谐合作，而应用学习的机会让他们能够与模拟漏洞进行交互，看到安全性不佳的代码所产生的影响，这在很大程度上可以让开发人员与那些讨厌的 AppSec 人员（毕竟他们并不那么糟糕）达成共识。

交互式学习让开发者为 boss 之战做好准备

在撰写本文时，在7天内报告了两起重大违规行为：雷蛇宣布 超过100,000条敏感数据记录已被泄露，而办公用品连锁店Staples 还报告了类似的数据泄漏。到目前为止，2020年已经暴露了超过10亿条敏感记录，这种令人担忧的趋势没有放缓的迹象。简而言之，恶意行为者占了上风，迫切需要具有安全意识的开发人员作为前线防线。

侧重于模拟此类漏洞的互动挑战使开发者摆脱了被动召回，比如运用对真正的 boss 战斗有影响的技能：阻止攻击者前进。

‍