为了应对像SolarWinds事件这样的重大安全漏洞，该事件利用软件更新程序感染了超过18000名流行的Orion管理软件的用户，其中包括许多顶级企业和政府机构，人们越来越多地推动更有效的开发者主导的安全工作。各种规模的组织都开始质疑他们的 "软件供应链"，并要求制作他们的软件的开发者具有经过验证的安全技能和意识。

甚至美国政府也在呼吁更好的由开发者主导的安全实践和加强软件供应链。这些概念是拜登总统发布的关于改善国家网络安全的行政命令的一个关键组成部分。

总的来说，通过DevSecOps这样的项目和运动，开发者社区已经接受了将安全转移到软件开发生命周期（SDLC）早期的想法。在最近的调查中，开发者社区表示，他们很重视为支持这一努力而接受的安全培训。

软件漏洞继续被利用，甚至开发人员也承认，他们有时会在代码中留下漏洞。

为什么？

该调查证实，编写高质量的代码是开发社区的首要任务。然而，调查也发现了几个原因，即对开发人员的培训虽然被认为是有价值的，但却远远达不到帮助保护软件供应链安全的目标。33%的人说，他们仍然在他们的代码中留下漏洞，因为即使在提供了任何培训之后，他们仍然不知道如何识别或修复已知的漏洞。92%的人说他们至少需要某种程度的额外安全培训，而50%的人说需要更多的培训。

很明显，开发人员社区重视他们所接受的任何培训。然而，当被问及采用安全编码做法的障碍时，缺乏时间被认为是头号原因，其次是五分之一的受访者认为缺乏一个统一的方法是罪魁祸首。培训被认为是一次性的活动，而不是持续的战略努力的一部分，将安全纳入开发人员的工作流程，并在日常的基础上使用。

因此，开发人员没有能力建立和保留安全编码技能，作为整个组织的凝聚力和持续计划的一部分。我们还可以得出结论，鉴于许多开发人员说他们仍然无法识别和修复常见的漏洞，目前接受的培训并不是特别有效或全面。

92%的开发者说他们至少需要某种程度的安全方面的额外培训，而92 50%的人说需要大量的培训。

各组织可以做什么来解决这个问题？

有趣的是，开发人员绝大多数都说他们需要更多的安全培训。虽然他们很重视他们所接受的培训，但这可能是一种情况，他们只是对他们能得到的任何东西感到高兴。

当被要求就如何改善他们的培训发表意见时，他们对这个问题的真实想法开始浮出水面。一般来说，开发人员接受的大多数培训都是有限的、非互动的，只是在一定程度上针对他们的工作职责，而且不是帮助提高组织的安全技能和意识的整体或持续计划的一部分。根据接受调查的开发人员，如果组织想要提高所提供的培训的有效性，它应该作为促进整个SDLC更加重视安全的综合方法的一部分。此外，开发人员还有一些具体的要求，以使他们的培训更有价值。最受欢迎的建议之一是包括更多的使用案例和他们可能从安全角度遇到的情况的实践案例。另一个提高有效性的流行反应是教育最终涵盖越来越复杂或困难的场景--此举可能还需要一个更有凝聚力的方法和一个持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性，甚至可能增加竞争元素。一般来说，如果用户只是看视频或听讲座，而没有机会亲身体验，在试图教授像安全编码这样复杂和（被认为是）困难的技能时，培训被认为是无效的或特别有价值的。

开发人员还强调需要更多的互动性，甚至可能加入竞争元素。

在采用有凝聚力的安全方法时，还有哪些因素是重要的？

在试图提高组织的开发人员社区的安全意识和技能时，培训当然是至关重要的。而确保学习是持续的、互动的、相关的和有背景的，是必要的。但是，一个真正有凝聚力的方法来提高安全意识，甚至超越了这个范围。

真正有凝聚力的方法必须考虑培养真正由开发人员主导的安全文化所需的内容。这可能需要改变管理和建立开发人员团队的典型方式的重点。例如，传统上对开发人员的评估是基于他们编码的速度。但是，一个有凝聚力的安全方法可能需要改变那些长期持有的衡量标准和价值观。相反，评估的重点可以从奖励原始速度转移到奖励那些能够创建高质量代码的开发者，这些代码也是安全的，也就是说，它没有漏洞。

它也可以让开发者社区本身作为努力的一部分。这些人将是有才华和安全意识的开发人员，他们在培训中或作为新的重点指标评估的一部分而表现突出。他们也应该愿意帮助其他开发者提高他们的技能，从而从内部改善开发社区。

真正有凝聚力的方法必须考虑培养真正由开发人员主导的安全文化所需的内容。这可能需要改变管理和建立开发人员团队的典型方式的重点。

进一步阅读

白皮书。提高软件安全的挑战（和机遇）。

白皮书。预防性的开发者驱动的软件安全方法

白皮书。DevSecOps Superbowl。安全卫士如何支持你的团队取得对后期漏洞的胜利

报告。开发者驱动的安全现状 2022年