2024 年预测:安全、人工智能、开发人员留用和未来之路
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
有兴趣了解更多吗?
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
Secure Code Warrior
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
2024 年预测:安全、人工智能、开发人员留用和未来之路
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
