如何说服你的老板投资于安全编码培训

发表于2021年10月27日
由Secure Code Warrior
仔细说来?

毋庸置疑,这是个很好的机会。悬浮在空中的各种元素的三层结构。他说:"我的意思是说,我可以在这里工作,但我不能在这里工作,因为我不能在这里工作,因为我不能在这里工作。在这里,我想说的是,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是。在这里,我想说的是,我们的生命力是有限的。

如果你以任何方式与软件打交道,无论你是开发人员、QA、工程负责人还是AppSec专业人员,安全都是你工作的一部分。安全团队的工作是指出软件的漏洞,而开发者的工作则是尽力写出没有缺陷的代码。但是,为了尽可能有效地完成这些工作,重要的是,所有各方都要共同对付安全威胁,从你的应用程序所运行的代码开始。 

然而,有效地学习安全编码并保留这些知识,可能会使它看起来是固有的困难。有了正确的工具,它不一定是这样。但要说服利益相关者和上级投资于正确的培训并不容易。选择培训的唯一目的是为了勾选合规性,而且很多时候培训与开发人员的日常工作无关。但是,如果开发者可以在他们日常工作的语言和框架中实时学习安全知识,并从中获得乐趣,那会怎样?而最重要的是什么?你的组织同时也遵守了行业标准。

我们会支持你的。以下是一些策略,以获得你的同行、领导和组织内的最终决策者的效忠,从而加入以开发人员为重点的安全编码培训计划。   

从一开始就避免软件漏洞,可以节省不可估量的时间和金钱。

你是否发现自己花了太多的时间去寻找、报告或修复重复的安全问题?你并不孤单。 

想象一下下面的情景。一旦AppSec发现一个漏洞并将其报告给开发部门,开发人员就会跳进相关的培训课程,不仅学习如何修复该漏洞,而且学习如何避免在未来犯同样的错误。你认为结果会是什么?那位开发者很可能会因为那堂课的相关性而记住它,并且不太可能再犯同样的错误。这意味着,如果你在一个安全团队工作,那就是一个开发人员不太可能在不知情的情况下再次制造那个漏洞,而且同一个开发人员也不太可能再回去修复它。

请看我们的客户Contrast Security提供的视频,了解实时培训对他们的开发团队来说是多么强大。


如果所有的开发人员都参加了定期的安全代码培训,并拥有了实时了解安全问题的工具,那么重新获得的时间就可以创造出令人惊奇的软件并从事安全项目的工作,这是无法估量的。听起来像是一个很好的理由,让你的组织投资于这样一个工具,对吗? 

如果你发现了一个很好的工具,你很想用它来提高安全方面的技能,比如(咳嗽)。 Secure Code Warrior,这是一个很好的论据,可以向你组织内的CISO或CTO推荐它。 

被授权的开发者能提供更好的结果,他们会更高兴

时间和金钱对你的管理团队当然非常重要,但你的工作满意度也很重要。满意的员工会带来更好的结果,在他们的工作岗位上呆得更久,并为一个积极的工作环境做出贡献。这就是为什么职业建设和培训是一种投资,而不是一种成本。如果培训实际上是有趣的,并且教给你一些相关的东西?这就是一张通往成功的黄金门票。 

好消息是,开发人员通常有很强的动力去学习安全,因为他们知道安全对他们的工作有多重要。我们在与埃文斯数据公司的研究中调查了来自世界各地的开发者,发现开发者想学习安全知识的原因是:。 

  1. 它能提高生产力和效率
  2. 他们很好奇,并且个人有兴趣了解它
  3. 他们希望避免与不安全的代码有关的问题
  4. 他们明白这为职业发展提供了潜力。
  5. 这是对人力资源更有效的利用

(在此下载完整的白皮书。)

唯一的问题是,大多数安全编码培训都让他们失望。它与他们的日常工作无关,而且,让我们面对它,它是彻头彻尾的无聊。这些特点通常不会在保留信息和实际学习方面带来好的结果。然而,当learning platform ,以开发人员为中心,有趣和有吸引力,并与他们的工作相关时,它可以提供真正的结果,并创造出想要编写安全代码的授权个人。为什么你的老板,无论是开发领导还是CISO或CTO,都不希望开发人员对安全编码感兴趣并拥有这样的技能?

对安全的理解使整体上成为更好的工程师 

当工程师了解软件如何容易受到攻击时,他们在工作中就会考虑到这一点。

不仅如此,质量差的代码更有可能包含软件漏洞,而且开发人员更容易在不知情的情况下将漏洞引入该代码中。为什么呢?因为他们做的很多事情都是阅读和修改代码。当这些代码组织得不好,使用的逻辑也不好时,执行这些任务需要更长的时间,而且更容易改变一些东西,意外地引入一个关键的安全漏洞。

当对安全和如何避免问题有了了解,你也会更努力地思考该代码的整体质量,以及如何以这样的方式编写代码,使错误不容易被意外地引入。安全培训是一个双赢的过程。开发人员学习安全编码,但同时他们也成为更好的工程师。 

数字的力量

另一个让你的领导买账采用安全编码的好策略learning platform ,就是让你的同事加入进来。对提高安全知识感兴趣的开发人员越多,就越容易说服管理层或C-suite进行投资。

那么,你是如何做到这一点的呢?鉴于大多数开发人员都明白需要在安全方面做得更好,并且想要学习,这应该不会太难。你也可以让他们看一下这个secure code warrior 开发者展示,偷看一下我们的产品,开始测试他们的安全编码技能。一旦他们看到不安全代码的影响,并了解到学习安全知识可以很有趣,他们就会觉得有能力去学习更多。

一旦你采用了正确的工具,让你的开发者参与进来的一个好方法就是进行一些健康的竞争。试着用一个tournament.NET平台来启动你的培训计划。 

看看Nelnet是如何通过tournaments ,在他们公司内部建立安全文化的。

持续的安全培训促进了理想的公司文化

培训不一定是枯燥的,也不应该是枯燥的。我们知道,讲座是昂贵的,难以组织--特别是在分布式团队中--而且你不太可能从讲座中得到什么。但是,企业继续为开发人员提供安全编码培训,而这些培训只是每年为合规性打勾而已。仅仅维持现状已经不够了。现在是时候让开发经理和AppSec加强他们的游戏,共同实施一个培训工具,以促进持续和参与的学习。而这要从说服决策人开始。

持续的实践培训是必要的,原因有很多。网络安全威胁在不断演变,因此,打击这些威胁的培训自然也要不断进行。不仅如此,如前所述,当我们实时学习时,我们更有可能保留我们所学的东西。在编码时考虑到安全问题是很难实现的,因为期望一个开发人员回忆起他们从幻灯片上学到的东西,也许是一年前的背景,是不现实的。但是,如果他们在某个软件漏洞被报告给他们的那一刻,就学会了如何避免这个漏洞,同时感觉自己在玩游戏,这就是一个全新的球赛。 

一旦实施了实践性的相关培训,安全就会成为公司文化的一部分,不再被当作事后的想法。它从软件开发生命周期的一开始就被纳入开发过程。 

那么你还在等什么呢?开始你的旅程,在你的组织内提高安全性,保护重要的公司和客户数据。让你的开发人员和老板们加入进来,在你的组织中把安全编码提高到一个新的水平。通过从一开始就考虑安全问题,一劳永逸地停止一次又一次经历同样的漏洞。 

需要更多资源?

下载完整的 "说服你的CISO/CTO工具包"

查看资源

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

如何说服你的老板投资于安全编码培训

发表于2023年2月3日
通过Secure Code Warrior

如果你以任何方式与软件打交道,无论你是开发人员、QA、工程负责人还是AppSec专业人员,安全都是你工作的一部分。安全团队的工作是指出软件的漏洞,而开发者的工作则是尽力写出没有缺陷的代码。但是,为了尽可能有效地完成这些工作,重要的是,所有各方都要共同对付安全威胁,从你的应用程序所运行的代码开始。 

然而,有效地学习安全编码并保留这些知识,可能会使它看起来是固有的困难。有了正确的工具,它不一定是这样。但要说服利益相关者和上级投资于正确的培训并不容易。选择培训的唯一目的是为了勾选合规性,而且很多时候培训与开发人员的日常工作无关。但是,如果开发者可以在他们日常工作的语言和框架中实时学习安全知识,并从中获得乐趣,那会怎样?而最重要的是什么?你的组织同时也遵守了行业标准。

我们会支持你的。以下是一些策略,以获得你的同行、领导和组织内的最终决策者的效忠,从而加入以开发人员为重点的安全编码培训计划。   

从一开始就避免软件漏洞,可以节省不可估量的时间和金钱。

你是否发现自己花了太多的时间去寻找、报告或修复重复的安全问题?你并不孤单。 

想象一下下面的情景。一旦AppSec发现一个漏洞并将其报告给开发部门,开发人员就会跳进相关的培训课程,不仅学习如何修复该漏洞,而且学习如何避免在未来犯同样的错误。你认为结果会是什么?那位开发者很可能会因为那堂课的相关性而记住它,并且不太可能再犯同样的错误。这意味着,如果你在一个安全团队工作,那就是一个开发人员不太可能在不知情的情况下再次制造那个漏洞,而且同一个开发人员也不太可能再回去修复它。

请看我们的客户Contrast Security提供的视频,了解实时培训对他们的开发团队来说是多么强大。


如果所有的开发人员都参加了定期的安全代码培训,并拥有了实时了解安全问题的工具,那么重新获得的时间就可以创造出令人惊奇的软件并从事安全项目的工作,这是无法估量的。听起来像是一个很好的理由,让你的组织投资于这样一个工具,对吗? 

如果你发现了一个很好的工具,你很想用它来提高安全方面的技能,比如(咳嗽)。 Secure Code Warrior,这是一个很好的论据,可以向你组织内的CISO或CTO推荐它。 

被授权的开发者能提供更好的结果,他们会更高兴

时间和金钱对你的管理团队当然非常重要,但你的工作满意度也很重要。满意的员工会带来更好的结果,在他们的工作岗位上呆得更久,并为一个积极的工作环境做出贡献。这就是为什么职业建设和培训是一种投资,而不是一种成本。如果培训实际上是有趣的,并且教给你一些相关的东西?这就是一张通往成功的黄金门票。 

好消息是,开发人员通常有很强的动力去学习安全,因为他们知道安全对他们的工作有多重要。我们在与埃文斯数据公司的研究中调查了来自世界各地的开发者,发现开发者想学习安全知识的原因是:。 

  1. 它能提高生产力和效率
  2. 他们很好奇,并且个人有兴趣了解它
  3. 他们希望避免与不安全的代码有关的问题
  4. 他们明白这为职业发展提供了潜力。
  5. 这是对人力资源更有效的利用

(在此下载完整的白皮书。)

唯一的问题是,大多数安全编码培训都让他们失望。它与他们的日常工作无关,而且,让我们面对它,它是彻头彻尾的无聊。这些特点通常不会在保留信息和实际学习方面带来好的结果。然而,当learning platform ,以开发人员为中心,有趣和有吸引力,并与他们的工作相关时,它可以提供真正的结果,并创造出想要编写安全代码的授权个人。为什么你的老板,无论是开发领导还是CISO或CTO,都不希望开发人员对安全编码感兴趣并拥有这样的技能?

对安全的理解使整体上成为更好的工程师 

当工程师了解软件如何容易受到攻击时,他们在工作中就会考虑到这一点。

不仅如此,质量差的代码更有可能包含软件漏洞,而且开发人员更容易在不知情的情况下将漏洞引入该代码中。为什么呢?因为他们做的很多事情都是阅读和修改代码。当这些代码组织得不好,使用的逻辑也不好时,执行这些任务需要更长的时间,而且更容易改变一些东西,意外地引入一个关键的安全漏洞。

当对安全和如何避免问题有了了解,你也会更努力地思考该代码的整体质量,以及如何以这样的方式编写代码,使错误不容易被意外地引入。安全培训是一个双赢的过程。开发人员学习安全编码,但同时他们也成为更好的工程师。 

数字的力量

另一个让你的领导买账采用安全编码的好策略learning platform ,就是让你的同事加入进来。对提高安全知识感兴趣的开发人员越多,就越容易说服管理层或C-suite进行投资。

那么,你是如何做到这一点的呢?鉴于大多数开发人员都明白需要在安全方面做得更好,并且想要学习,这应该不会太难。你也可以让他们看一下这个secure code warrior 开发者展示,偷看一下我们的产品,开始测试他们的安全编码技能。一旦他们看到不安全代码的影响,并了解到学习安全知识可以很有趣,他们就会觉得有能力去学习更多。

一旦你采用了正确的工具,让你的开发者参与进来的一个好方法就是进行一些健康的竞争。试着用一个tournament.NET平台来启动你的培训计划。 

看看Nelnet是如何通过tournaments ,在他们公司内部建立安全文化的。

持续的安全培训促进了理想的公司文化

培训不一定是枯燥的,也不应该是枯燥的。我们知道,讲座是昂贵的,难以组织--特别是在分布式团队中--而且你不太可能从讲座中得到什么。但是,企业继续为开发人员提供安全编码培训,而这些培训只是每年为合规性打勾而已。仅仅维持现状已经不够了。现在是时候让开发经理和AppSec加强他们的游戏,共同实施一个培训工具,以促进持续和参与的学习。而这要从说服决策人开始。

持续的实践培训是必要的,原因有很多。网络安全威胁在不断演变,因此,打击这些威胁的培训自然也要不断进行。不仅如此,如前所述,当我们实时学习时,我们更有可能保留我们所学的东西。在编码时考虑到安全问题是很难实现的,因为期望一个开发人员回忆起他们从幻灯片上学到的东西,也许是一年前的背景,是不现实的。但是,如果他们在某个软件漏洞被报告给他们的那一刻,就学会了如何避免这个漏洞,同时感觉自己在玩游戏,这就是一个全新的球赛。 

一旦实施了实践性的相关培训,安全就会成为公司文化的一部分,不再被当作事后的想法。它从软件开发生命周期的一开始就被纳入开发过程。 

那么你还在等什么呢?开始你的旅程,在你的组织内提高安全性,保护重要的公司和客户数据。让你的开发人员和老板们加入进来,在你的组织中把安全编码提高到一个新的水平。通过从一开始就考虑安全问题,一劳永逸地停止一次又一次经历同样的漏洞。 

需要更多资源?

下载完整的 "说服你的CISO/CTO工具包"

输入你的详细资料以获取完整的报告。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

Oopsie daisy