如何推出有效的开发者安全培训:5条重要经验
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
