効果的な開発者向けセキュリティ研修の実施方法:5つの重要なカリキュラム
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
%20(1).avif)
.avif)
