如何配置安全代码培训以获得更好的安全编码结果

在为开发人员提供安全代码培训方面，教育成果还有很多不足之处。许多公司花费巨资，但实际回报却微乎其微。这也就不足为奇了。 目前的研究*表明，开发人员认为学习安全代码很无聊，学习如何实现安全代码具有挑战性。 需要新的安全编码培训方法，因此，在2020年，Secure Code Warrior与Evans Data Corp. 合作，对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究（下载白皮书） 这里）。

当有机会批评所提供的培训时，开发人员毫不留情，声称当前的安全代码培训是：

• 在真空中教学-40%
• 过于理论化，与他们的工作无关，而且 “动手” 不够—— 40%
• 通常不频繁，与他们的工作或参与度无关—— 30%。
  

这些统计数据是严肃的；它们告诉我们，当前的安全代码培训与上下文无关，与开发人员的日常工作没有任何有意义的关系。

通常，他们无法将所学知识应用到工作环境中。这使得如此多的安全培训浪费了时间和金钱。

创建开发人员想要的培训的五种方法

当谈到开发人员想要的培训时，有五点非常明确。

1. ‍75% 的开发人员更喜欢结构化的在职培训，发现这是最有效和最令人满意的学习方式。
   
   当涉及到培训应包括的内容时，开发人员有一些非常明确和具体的要求：
2. 65% 说需要对特定语言的漏洞进行更多培训
3. 65% 想在那里接受更多训练 OWASP 前 10 名。
4. 许多人还想重点关注 合规安全框架，包括NIST（58％）CIS（52％）和PCI DSS（50％）。
5. 78% 希望将非正式的同伴指导和指导作为培训的一部分。

但最重要的是，开发人员需要切实可行且植根于日常工作环境的安全代码培训。开发人员不想坐在那里听讲师的讲话，他们想亲自尝试一些东西。他们希望将重点放在实际应用上，这是当前的培训计划所严重缺乏的。根据我们调查的开发人员，良好培训的五大特征是：

• 更实用的培训，展示实际工作场景（30%）。
• 针对特定代码或漏洞的指导性活动（24%）。
• 包含更多示例或用例（24%）为参加培训提供一些具体的优势（< 20%）纳入更多的团队建设练习（< 20%）。
• 为参加培训提供了一些切实的好处。
• 包含更多团队建设练习。
  

开发者想要 安全代码培训 这可以传授基本技能和真正的认可。由于安全编码技能受到雇主的高度追求和认可，开发人员表现出了与同行区分开来的热情，尤其是在申请新工作时。寻求展示其精通技术或专业技能的开发人员长期以来一直在使用正式的认证计划。当被问及是否寻求结构化培训计划进行认证时，70％的人表示他们正在寻找这些计划。重要的动机是寻求官方认可所获得的技能，提高工作效率，并成为公司不可估量的宝贵财富。

说到更好的教育成果，以开发者为中心的培训是关键。结构化安全代码培训是开发人员理想的——但前提是它能为他们提供他们想要的东西。迎接挑战并根据开发人员需求重新配置安全代码培训的公司将受益于减少反复出现的漏洞、更快的代码交付速度以及由此提高的声誉。

明确的证据是，开发人员希望使用相关的编程语言和框架进行情境式的动手教育，这些挑战要模仿他们在现实世界中面临的挑战。作为安全编码变革的拥护者，Secure Code Warrior采用以人为本的方法来满足开发人员的要求。如果你想了解对团队更快地发布安全代码能力的潜在影响， 立即申请演示。

*从反应转向预防：应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020