博客

对于开发人员来说,要想帮助杀死网络犯罪的野兽,培训是一种追求,分为两个部分

马蒂亚斯-马杜博士
2021年2月4日出版

这篇文章的一个版本出现在 DevOps.com.它已被更新并在此转发。

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金,攻击者迅速适应以规避防御,利用大大小小的安全漏洞获取潜在的报酬。

正在产生的代码量太大,安全专家--越来越稀缺--无法应对,而数据泄露的成本不断上升,证明必须要有一些东西。幸运的是,为了我们的数字安全和各地CISO的理智,DevSecOps运动正在帮助开发者从软件开发过程的一开始就进入安全之旅。他们被认为是抵御网络攻击者的第一道防线,他们拥有消除常见漏洞的能力,唾手可得。

然而,他们的防御能力只和他们接受的培训一样好,而这又是安全团队要面对的另一个挑战。对于许多在工作中接受安全编码培训的开发人员来说,他们面临的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既不有效,也不能激励他们将安全放在首位。没有灵魂的视频courses ,不能让我们达到目的,象征性的年度 "打勾 "活动是浪费时间,没有人能够在潜在的恶意威胁者面前获胜,等待跳出一个小的机会窗口。

在我们这个行业的这个阶段,我们已经发现,用相关的编程语言和框架进行的情景式实践教育,以及模仿开发人员在现实世界中可能遇到的挑战,是一种更有吸引力的方法。

这是开发人员寻求帮助AppSec大师杀死常见漏洞的第一阶段,但第二阶段是场景必须变得真实的地方,以获得超强的安全意识的防御力量。

有支架的学习在成人教育中是至关重要的

当涉及到课外courses 或在职培训时,人们往往忽视了成年人带来了一定程度的经验和现有知识。好的培训会在这一基础上加以补充,并且在结构上允许在学习过程中加深理解和加快自主性。

脚手架教育是一种有效的、积极的学习方法,旨在激活和加强先前的经验,同时继续建立新的技能--在可管理的大块中--使受训者能够更加自信地处理越来越困难的任务。通常情况下,这种方法最好有健康的示范、视觉教具和学生主导的探索。

如果我们把这种方法与开发人员的安全培训联系起来,那么动态的、边做边学的方法长期以来一直比基于理论的静态学习的苦差事更受欢迎,这一点并不奇怪。他们可以自由地成为他们领域的主人,并且应该看到他们的时间得到了充分的利用。

从这个意义上说,在一个高度相关的环境中学习安全编码是关键,但从这一步开始的 "升级 "是在行动中看到对脆弱代码的利用。在前台和后台并列的情况下,在编码过程中采取的行动与攻击者可能利用偷工减料、错误配置或未被发现和补救的事故之间存在着切实的联系。

从召回到应用,实现真正的预防性安全方法

亲身体验安全漏洞的影响是教育拼图的重要部分,即使是针对开发人员的最现代的安全培训方案,这也是一个相当罕见的野兽。花在磨练发现和补救漏洞的技能上的基础工作,以及在编写代码时回顾这些经验以消除代码中的相同错误是非常重要的,但这并不是全部内容。看一看脆弱的代码是如何被恶意行为者利用的,这就增加了一个强大的背景,一个真正促使人们认识到保护代码安全的重要性,并应用来之不易的安全知识来关闭每个机会之窗。

人们普遍认为,开发人员并不热爱安全,他们对安全培训更是没有好感。他们与应用安全专家的接触可能是非常冷淡的,而安全团队将有漏洞的代码退回给开发人员进行补救所造成的返工,是他们生存的祸根。对于一个已经分身乏术的工程团队来说,安全是别人的问题,不是他们的首要任务,而且阻碍了他们的自然创造力和构建功能的主要目标。然而,有太多的代码,太多的漏洞,以及对世界上的数据有太多的风险,这种心态不能再继续下去。

一个实用的DevSecOps流程让开发人员在SDLC的初期就与安全团队和谐共处,并且有机会进行应用学习,让他们与模拟的漏洞进行互动,并看到安全性差的代码的影响,这对于让开发人员与那些讨厌的AppSec人员(毕竟他们并不那么坏)站在同一起跑线上有很大的帮助。

交互式学习为开发者准备好了老板的斗争

在撰写本报告时,在7天内有两起重大违规事件的报道。Razer宣布有超过10万条敏感数据记录被曝光,而办公用品连锁店Staples也报告了类似的数据泄露。2020年到目前为止,已经有超过10亿条敏感记录被曝光,而且这种令人担忧的趋势没有放缓的迹象。简而言之,恶意行为者占了上风,亟需有安全意识的开发人员来充当前线的防御。

专注于模拟这种破坏的互动式挑战使开发人员从被动的回忆,到应用对真正的老板斗争有影响的技能:在他们的轨道上阻止攻击者。

查看资源
查看资源

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金,攻击者迅速适应以规避防御,利用大大小小的安全漏洞获取潜在的报酬。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
2021年2月4日出版

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在 DevOps.com.它已被更新并在此转发。

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金,攻击者迅速适应以规避防御,利用大大小小的安全漏洞获取潜在的报酬。

正在产生的代码量太大,安全专家--越来越稀缺--无法应对,而数据泄露的成本不断上升,证明必须要有一些东西。幸运的是,为了我们的数字安全和各地CISO的理智,DevSecOps运动正在帮助开发者从软件开发过程的一开始就进入安全之旅。他们被认为是抵御网络攻击者的第一道防线,他们拥有消除常见漏洞的能力,唾手可得。

然而,他们的防御能力只和他们接受的培训一样好,而这又是安全团队要面对的另一个挑战。对于许多在工作中接受安全编码培训的开发人员来说,他们面临的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既不有效,也不能激励他们将安全放在首位。没有灵魂的视频courses ,不能让我们达到目的,象征性的年度 "打勾 "活动是浪费时间,没有人能够在潜在的恶意威胁者面前获胜,等待跳出一个小的机会窗口。

在我们这个行业的这个阶段,我们已经发现,用相关的编程语言和框架进行的情景式实践教育,以及模仿开发人员在现实世界中可能遇到的挑战,是一种更有吸引力的方法。

这是开发人员寻求帮助AppSec大师杀死常见漏洞的第一阶段,但第二阶段是场景必须变得真实的地方,以获得超强的安全意识的防御力量。

有支架的学习在成人教育中是至关重要的

当涉及到课外courses 或在职培训时,人们往往忽视了成年人带来了一定程度的经验和现有知识。好的培训会在这一基础上加以补充,并且在结构上允许在学习过程中加深理解和加快自主性。

脚手架教育是一种有效的、积极的学习方法,旨在激活和加强先前的经验,同时继续建立新的技能--在可管理的大块中--使受训者能够更加自信地处理越来越困难的任务。通常情况下,这种方法最好有健康的示范、视觉教具和学生主导的探索。

如果我们把这种方法与开发人员的安全培训联系起来,那么动态的、边做边学的方法长期以来一直比基于理论的静态学习的苦差事更受欢迎,这一点并不奇怪。他们可以自由地成为他们领域的主人,并且应该看到他们的时间得到了充分的利用。

从这个意义上说,在一个高度相关的环境中学习安全编码是关键,但从这一步开始的 "升级 "是在行动中看到对脆弱代码的利用。在前台和后台并列的情况下,在编码过程中采取的行动与攻击者可能利用偷工减料、错误配置或未被发现和补救的事故之间存在着切实的联系。

从召回到应用,实现真正的预防性安全方法

亲身体验安全漏洞的影响是教育拼图的重要部分,即使是针对开发人员的最现代的安全培训方案,这也是一个相当罕见的野兽。花在磨练发现和补救漏洞的技能上的基础工作,以及在编写代码时回顾这些经验以消除代码中的相同错误是非常重要的,但这并不是全部内容。看一看脆弱的代码是如何被恶意行为者利用的,这就增加了一个强大的背景,一个真正促使人们认识到保护代码安全的重要性,并应用来之不易的安全知识来关闭每个机会之窗。

人们普遍认为,开发人员并不热爱安全,他们对安全培训更是没有好感。他们与应用安全专家的接触可能是非常冷淡的,而安全团队将有漏洞的代码退回给开发人员进行补救所造成的返工,是他们生存的祸根。对于一个已经分身乏术的工程团队来说,安全是别人的问题,不是他们的首要任务,而且阻碍了他们的自然创造力和构建功能的主要目标。然而,有太多的代码,太多的漏洞,以及对世界上的数据有太多的风险,这种心态不能再继续下去。

一个实用的DevSecOps流程让开发人员在SDLC的初期就与安全团队和谐共处,并且有机会进行应用学习,让他们与模拟的漏洞进行互动,并看到安全性差的代码的影响,这对于让开发人员与那些讨厌的AppSec人员(毕竟他们并不那么坏)站在同一起跑线上有很大的帮助。

交互式学习为开发者准备好了老板的斗争

在撰写本报告时,在7天内有两起重大违规事件的报道。Razer宣布有超过10万条敏感数据记录被曝光,而办公用品连锁店Staples也报告了类似的数据泄露。2020年到目前为止,已经有超过10亿条敏感记录被曝光,而且这种令人担忧的趋势没有放缓的迹象。简而言之,恶意行为者占了上风,亟需有安全意识的开发人员来充当前线的防御。

专注于模拟这种破坏的互动式挑战使开发人员从被动的回忆,到应用对真正的老板斗争有影响的技能:在他们的轨道上阻止攻击者。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

这篇文章的一个版本出现在 DevOps.com.它已被更新并在此转发。

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金,攻击者迅速适应以规避防御,利用大大小小的安全漏洞获取潜在的报酬。

正在产生的代码量太大,安全专家--越来越稀缺--无法应对,而数据泄露的成本不断上升,证明必须要有一些东西。幸运的是,为了我们的数字安全和各地CISO的理智,DevSecOps运动正在帮助开发者从软件开发过程的一开始就进入安全之旅。他们被认为是抵御网络攻击者的第一道防线,他们拥有消除常见漏洞的能力,唾手可得。

然而,他们的防御能力只和他们接受的培训一样好,而这又是安全团队要面对的另一个挑战。对于许多在工作中接受安全编码培训的开发人员来说,他们面临的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既不有效,也不能激励他们将安全放在首位。没有灵魂的视频courses ,不能让我们达到目的,象征性的年度 "打勾 "活动是浪费时间,没有人能够在潜在的恶意威胁者面前获胜,等待跳出一个小的机会窗口。

在我们这个行业的这个阶段,我们已经发现,用相关的编程语言和框架进行的情景式实践教育,以及模仿开发人员在现实世界中可能遇到的挑战,是一种更有吸引力的方法。

这是开发人员寻求帮助AppSec大师杀死常见漏洞的第一阶段,但第二阶段是场景必须变得真实的地方,以获得超强的安全意识的防御力量。

有支架的学习在成人教育中是至关重要的

当涉及到课外courses 或在职培训时,人们往往忽视了成年人带来了一定程度的经验和现有知识。好的培训会在这一基础上加以补充,并且在结构上允许在学习过程中加深理解和加快自主性。

脚手架教育是一种有效的、积极的学习方法,旨在激活和加强先前的经验,同时继续建立新的技能--在可管理的大块中--使受训者能够更加自信地处理越来越困难的任务。通常情况下,这种方法最好有健康的示范、视觉教具和学生主导的探索。

如果我们把这种方法与开发人员的安全培训联系起来,那么动态的、边做边学的方法长期以来一直比基于理论的静态学习的苦差事更受欢迎,这一点并不奇怪。他们可以自由地成为他们领域的主人,并且应该看到他们的时间得到了充分的利用。

从这个意义上说,在一个高度相关的环境中学习安全编码是关键,但从这一步开始的 "升级 "是在行动中看到对脆弱代码的利用。在前台和后台并列的情况下,在编码过程中采取的行动与攻击者可能利用偷工减料、错误配置或未被发现和补救的事故之间存在着切实的联系。

从召回到应用,实现真正的预防性安全方法

亲身体验安全漏洞的影响是教育拼图的重要部分,即使是针对开发人员的最现代的安全培训方案,这也是一个相当罕见的野兽。花在磨练发现和补救漏洞的技能上的基础工作,以及在编写代码时回顾这些经验以消除代码中的相同错误是非常重要的,但这并不是全部内容。看一看脆弱的代码是如何被恶意行为者利用的,这就增加了一个强大的背景,一个真正促使人们认识到保护代码安全的重要性,并应用来之不易的安全知识来关闭每个机会之窗。

人们普遍认为,开发人员并不热爱安全,他们对安全培训更是没有好感。他们与应用安全专家的接触可能是非常冷淡的,而安全团队将有漏洞的代码退回给开发人员进行补救所造成的返工,是他们生存的祸根。对于一个已经分身乏术的工程团队来说,安全是别人的问题,不是他们的首要任务,而且阻碍了他们的自然创造力和构建功能的主要目标。然而,有太多的代码,太多的漏洞,以及对世界上的数据有太多的风险,这种心态不能再继续下去。

一个实用的DevSecOps流程让开发人员在SDLC的初期就与安全团队和谐共处,并且有机会进行应用学习,让他们与模拟的漏洞进行互动,并看到安全性差的代码的影响,这对于让开发人员与那些讨厌的AppSec人员(毕竟他们并不那么坏)站在同一起跑线上有很大的帮助。

交互式学习为开发者准备好了老板的斗争

在撰写本报告时,在7天内有两起重大违规事件的报道。Razer宣布有超过10万条敏感数据记录被曝光,而办公用品连锁店Staples也报告了类似的数据泄露。2020年到目前为止,已经有超过10亿条敏感记录被曝光,而且这种令人担忧的趋势没有放缓的迹象。简而言之,恶意行为者占了上风,亟需有安全意识的开发人员来充当前线的防御。

专注于模拟这种破坏的互动式挑战使开发人员从被动的回忆,到应用对真正的老板斗争有影响的技能:在他们的轨道上阻止攻击者。

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
下载PDF
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
2021年2月4日出版

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在 DevOps.com.它已被更新并在此转发。

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金,攻击者迅速适应以规避防御,利用大大小小的安全漏洞获取潜在的报酬。

正在产生的代码量太大,安全专家--越来越稀缺--无法应对,而数据泄露的成本不断上升,证明必须要有一些东西。幸运的是,为了我们的数字安全和各地CISO的理智,DevSecOps运动正在帮助开发者从软件开发过程的一开始就进入安全之旅。他们被认为是抵御网络攻击者的第一道防线,他们拥有消除常见漏洞的能力,唾手可得。

然而,他们的防御能力只和他们接受的培训一样好,而这又是安全团队要面对的另一个挑战。对于许多在工作中接受安全编码培训的开发人员来说,他们面临的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既不有效,也不能激励他们将安全放在首位。没有灵魂的视频courses ,不能让我们达到目的,象征性的年度 "打勾 "活动是浪费时间,没有人能够在潜在的恶意威胁者面前获胜,等待跳出一个小的机会窗口。

在我们这个行业的这个阶段,我们已经发现,用相关的编程语言和框架进行的情景式实践教育,以及模仿开发人员在现实世界中可能遇到的挑战,是一种更有吸引力的方法。

这是开发人员寻求帮助AppSec大师杀死常见漏洞的第一阶段,但第二阶段是场景必须变得真实的地方,以获得超强的安全意识的防御力量。

有支架的学习在成人教育中是至关重要的

当涉及到课外courses 或在职培训时,人们往往忽视了成年人带来了一定程度的经验和现有知识。好的培训会在这一基础上加以补充,并且在结构上允许在学习过程中加深理解和加快自主性。

脚手架教育是一种有效的、积极的学习方法,旨在激活和加强先前的经验,同时继续建立新的技能--在可管理的大块中--使受训者能够更加自信地处理越来越困难的任务。通常情况下,这种方法最好有健康的示范、视觉教具和学生主导的探索。

如果我们把这种方法与开发人员的安全培训联系起来,那么动态的、边做边学的方法长期以来一直比基于理论的静态学习的苦差事更受欢迎,这一点并不奇怪。他们可以自由地成为他们领域的主人,并且应该看到他们的时间得到了充分的利用。

从这个意义上说,在一个高度相关的环境中学习安全编码是关键,但从这一步开始的 "升级 "是在行动中看到对脆弱代码的利用。在前台和后台并列的情况下,在编码过程中采取的行动与攻击者可能利用偷工减料、错误配置或未被发现和补救的事故之间存在着切实的联系。

从召回到应用,实现真正的预防性安全方法

亲身体验安全漏洞的影响是教育拼图的重要部分,即使是针对开发人员的最现代的安全培训方案,这也是一个相当罕见的野兽。花在磨练发现和补救漏洞的技能上的基础工作,以及在编写代码时回顾这些经验以消除代码中的相同错误是非常重要的,但这并不是全部内容。看一看脆弱的代码是如何被恶意行为者利用的,这就增加了一个强大的背景,一个真正促使人们认识到保护代码安全的重要性,并应用来之不易的安全知识来关闭每个机会之窗。

人们普遍认为,开发人员并不热爱安全,他们对安全培训更是没有好感。他们与应用安全专家的接触可能是非常冷淡的,而安全团队将有漏洞的代码退回给开发人员进行补救所造成的返工,是他们生存的祸根。对于一个已经分身乏术的工程团队来说,安全是别人的问题,不是他们的首要任务,而且阻碍了他们的自然创造力和构建功能的主要目标。然而,有太多的代码,太多的漏洞,以及对世界上的数据有太多的风险,这种心态不能再继续下去。

一个实用的DevSecOps流程让开发人员在SDLC的初期就与安全团队和谐共处,并且有机会进行应用学习,让他们与模拟的漏洞进行互动,并看到安全性差的代码的影响,这对于让开发人员与那些讨厌的AppSec人员(毕竟他们并不那么坏)站在同一起跑线上有很大的帮助。

交互式学习为开发者准备好了老板的斗争

在撰写本报告时,在7天内有两起重大违规事件的报道。Razer宣布有超过10万条敏感数据记录被曝光,而办公用品连锁店Staples也报告了类似的数据泄露。2020年到目前为止,已经有超过10亿条敏感记录被曝光,而且这种令人担忧的趋势没有放缓的迹象。简而言之,恶意行为者占了上风,亟需有安全意识的开发人员来充当前线的防御。

专注于模拟这种破坏的互动式挑战使开发人员从被动的回忆,到应用对真正的老板斗争有影响的技能:在他们的轨道上阻止攻击者。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心