别再打乱我的工作流程了！如何在正确的时间接受正确的安全培训

想想你上次工作的时候，也许是在一个软件项目团队里，在不可能的最后期限之前工作。然后，你的经理过来说，有一些强制性的安全培训要做，除了其他所有内容外，还需要将这些培训纳入你的工作日。

他们知道，你也知道。这是一个巨大的 PITA，但出于合规性的考虑，你将在后台播放一些无聊的训练视频，同时你继续编程，调整和调出这两个任务，同时全神贯注于两项任务。这是一种常见的情况；它具有很强的破坏性，会浪费每个人的时间。大多数安全培训过于笼统，很容易忽视那些在工作日中反复出现而没有实际价值的内容。

作为一家公司，我们的目标是为您提供更好、更有效的安全培训，而这源于确切地知道当您的每个优先事项不一致时，不理会 AppSec 团队告诉您的重要内容会是什么样子。但是，有趣的是，我们开始考虑可以做些什么来减少在你需要时接受培训的障碍——即使我们有完整的平台，在你仍然需要有帮助的推动但无法集中精力进行训练的时候，也有一些步骤可以让你离开工作。

我们研究了如何在 IDE 或问题跟踪器中以更无缝的方式将微学习应用到您的工作流程中。这就是我们想出的：

这是基于 Just-in-Time (JiT) 原则的，即在正确的时间为您提供正确的知识，以使其立即生效并发挥作用。这与以防万一的学习方法恰恰相反，后者通常是信息过载的状态，会占用宝贵的时间和空间来构建功能。

质量代码是安全的代码，如果你偶尔需要一个非侵入性的安全助手来协作，那么花点时间试用可能是值得的。

消除障碍，为你提供培训。

某些人可能会对网络安全感兴趣，但不是所有人都感兴趣。而且，任何人都不应指望开发人员成为安全专家——这仍然是AppSec专业团队的工作。但是，具有安全意识的开发人员因其技能以及他们从代码构建阶段就能为组织提供的保护而备受推崇。这是一个需求量很大的职位，随着时间的推移，你可以通过情境式微学习来打下基础。

现在，如果你认为综合训练更像 Clippy (愿他安息），那么值得注意的是，就Secure Code Warrior的集成而言，它们是由开发人员为开发人员构建的，因此刺激因素已经被考虑并消除了。

让我们来看看实际情况：

Github 版 Secure Code Warrior 会检查标签、问题标题和问题正文中的常见弱点枚举 (CWE) 或 OWASP 参考代码，以显示上下文适时训练。它的工作原理是，如果找到漏洞参考，将对该问题发表评论，以帮助快速解决和预防漏洞反复出现。它可以与问题融为一体，不会中断您的流程，也不会让您竭尽全力寻找解决方案。

如果你使用 Jira，过程是相似的：

现在，对于现任具有安全意识的超级巨星来说，重要的是要记住，让魔法发生并非全靠你。您将需要支持、培训，并有理由认真对待安全性并将其纳入自己的工作流程。幸运的是，这都是正常运行的DevSecOps流程的一部分，许多组织已经注意到了这一点。为什么不抢先一步？

立即下载它们，并告诉我们你的想法。