人为因素在未来的安全编码中起什么作用?
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
.avif)
.avif)
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
