深度安全培训正在引起教育界的质疑
自从我们在2015年开始执行任务以来,我们的重点一直是为开发人员提供有趣、相关和有吸引力的安全编码培训。我们早就认识到让开发人员了解安全最佳实践的知识和工具的重要性,为什么它很重要,以及他们如何在编写代码时帮助加固软件免受恶意攻击。
然而,安全培训并不是一个新概念。我们当然没有先入为主,足够的安全措施在软件开发中已经考虑了很长时间。当然,有些类型的培训比其他类型的培训更有效,但获得一些安全教育是相对容易找到的,尤其是在今天。
...那么,我们到底为什么会有这么多的数据泄露?截至9月,仅在2019年就有超过40亿条记录在多个网络攻击中被曝光。
许多组织目前正在进行一场失败的战斗,以保持我们日益宝贵的数据安全。全世界的CISO和CIO们已经非常清楚,"向左转移 "仍然太晚了;我们必须从SDLC中的安全开始向左转移,这意味着开发人员必须有足够的安全知识,在代码被提交之前就能修复缺陷,更不用说公开发表。
应用安全专家不能成为安全知识的唯一看门人。
在过去,软件安全是一群非常特别的聪明的极客的领域,与编写代码的工程师几乎没有互动。他们的工作是测试、破解和阻止不安全的代码出现在阳光下。如果他们有交集,很可能是由于安全专家指出了代码中的缺陷......这保证会受到为其创建而辛勤工作的开发者的冷遇。
快进到今天,情况几乎是一样的,只是现在,有这么多的风险。我们生活的几乎每个方面都被数字化了......从社交媒体上的相册、医疗记录、银行业务和我们最宝贵的身份证明文件等一切。保护大部分离线、独立的软件和操作系统是一回事。必须抵御对数十亿行代码的威胁,并使数亿用户面临潜在的风险,则是另一回事。对于一组专家来说,要承担全部的责任实在是太重要了,这就是为什么我们必须在应用安全和开发团队之间架起桥梁。他们需要一起工作,分享知识,并作为一个有凝聚力、有安全意识的单位来运作。
只是有一个问题:开发人员很少有机会以有意义的方式学习安全编码技能。大多数高等教育几乎没有涉及到安全的最佳实践,而在职培训的质量也大不相同。
我们每隔一天就会看到巨大的漏洞,这有什么奇怪的?下载我们的应用安全检查表。
一个 "编码的许可证"。
尽管目前的形势很暗淡,但我对安全的未来还是很乐观的。空气中弥漫着一种变化,我为现在大量的组织认真对待安全编码而感到振奋。
越来越明显的是,开发人员需要获得正确的工具和知识来减少安全风险,而蓬勃发展的安全意识文化对于打击数据泄露至关重要。当开发人员在编写代码时承担起安全责任时,攻击者利用简单的缺陷并获得城堡的钥匙就变得不那么容易了。
一直以来,一些开发人员比其他人更有安全意识,这对企业来说是一个真正的挑战。虽然内部开发团队通常有一定程度的培训和技能监控,但当你把承包商、自由职业者和刚毕业的学生引入到这个组合中时,水就变得非常模糊了。他们是否以安全的心态行事?他们能成功地避免几十年来一直存在的跨站脚本等老旧缺陷吗?这很难讲,但他们经常被放任在软件构建的重要部分。呀。
值得庆幸的是,我们看到为开发人员制定的不可谈判的标准正在增加。例如,一些组织正在使用 Secure Code Warrior作为评估开发技能和颁发 "编码许可证 "的工具。如果没有通过基本的安全编码评估,他们就不能在任何项目上工作。这在帮助毕业生和实习生掌握安全技能方面是非常有价值的,同时,也灌输了安全编码的重要性意识。毕竟,在软件方面,安全必须是质量的同义词。
课外培训正将大学置于聚光灯下。
改变围绕安全编码的对话需要的不仅仅是这里的一篇文章,那里的一个主题演讲。它需要一个全社会的运动,很高兴看到这么多顶级组织注意到并建立高水平的安全计划,达到令人羡慕的标准。汇丰银行就是这样一家公司,其强大的计划正在确保最近的毕业生和新员工尽快踏上 "左手开始 "的旅程。作为汇丰银行印度技术学院的负责人,塞卡-巴布-塔塔瓦提发现深入的安全培训是必须的。
"在汇丰科技,我们希望确保我们的开发人员社区了解安全编码的意义,以保护银行免受漏洞的影响。在我们今年的毕业生培训计划中,我们认为这是一个巨大的机会,可以让他们抓住年轻的机会,使他们在上岗并开始在各自的项目中进行编码之前,能够自我学习并掌握最佳的安全编码实践。
我们选择了Secure Code Warrior 平台,因为它为毕业生提供了精彩的游戏化学习方法,而他们并没有辜负我们的期望。他说:"我们很高兴,他们每个人除了完成不同技术的白带认证外,还热情地参与了tournament 。
更多的组织,就像汇丰银行一样,将安全编码能力视为开发人员层面的必要条件。而这实际上是对整个高等教育的一种照耀。CISO和CIO们开始质疑为什么新毕业的工程师在完成他们的教育时没有接受任何强大的安全培训。
高等教育创新。
虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分,但一些大学正在带头提供一流的培训,并从一开始就将安全作为开发过程的一部分来优先考虑,而不是由稀缺的AppSec专家在实地进行。
在澳大利亚昆士兰大学,Ryan Ko教授在培养下一波开发人员以保护我们免受不可避免的网络攻击的影响方面取得了重大进展。
"大多数软件漏洞都是在编码阶段引入的,所以如果我们能从源头(即程序员)解决这个问题,我们就能根除今天在CVE列表中发现的大多数反复出现的问题。他说:"由于软件影响到我们现代社会大多数人的生活和生计,大学和培训机构有道德和社会责任教导所有刚起步的程序员如何安全地编码。
这是从标准的courses ,那些提供很少的重大安全意识和技能的方式的一个令人兴奋的演变。而且,这是一个我不介意进一步传播的 "病毒"。令我高兴的是,麦考瑞大学也在用安全第一的思想感染他们的学生,这要归功于像Christophe Doche这样的人的努力:
"2016年推出的Optus麦考瑞大学网络安全中心是澳大利亚第一个这样的倡议,将信息安全、商业、犯罪学、情报、法律和心理学的学者与来自工业和政府的网络安全专家联系起来。
我们的使命是通过教育、研究和合作,使澳大利亚成为全球网络安全的领导者。其中一个重要方面是解决有据可查的网络安全方面的技能差距问题,预测显示2022年全球将有180万个工作岗位无法填补。
他说:"解决这一技能差距需要一个多管齐下的方法,这包括提高现有劳动力的技能和再技能,以及培训新一代的网络安全专家。
他们的方法令人难以置信,提供高参与度的精准学习,帮助弥合各部门之间的差距,创造一个蓬勃发展的安全意识心态。他们在战略中利用了微学习的优势,提供游戏化的、一口大小的学习模块,具有很高的保留率、参与度和重复播放率。我特别自豪的是,我们能够帮助他们创造性地吸引他们的学生:
"这种参与的一个很好的例子是与Secure Code warrior 的合作。在2019年8月由Secure Code Warrior 和网络安全中心组织的tournament 之后,我们现在正在考虑将Secure Code Warrior 平台嵌入我们的课程,特别是在我们新的安全应用开发单元中,"Christophe说。
像麦考瑞大学和昆士兰大学的倡议,是在教育领域真正开创了安全编码。作为应用安全专业人士、开发人员和更广泛的安全社区,我们的目标必须是将安全纳入我们所做的一切,并继续致力于从左边开始。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
自从我们在2015年开始执行任务以来,我们的重点一直是为开发人员提供有趣、相关和有吸引力的安全编码培训。我们早就认识到让开发人员了解安全最佳实践的知识和工具的重要性,为什么它很重要,以及他们如何在编写代码时帮助加固软件免受恶意攻击。
然而,安全培训并不是一个新概念。我们当然没有先入为主,足够的安全措施在软件开发中已经考虑了很长时间。当然,有些类型的培训比其他类型的培训更有效,但获得一些安全教育是相对容易找到的,尤其是在今天。
...那么,我们到底为什么会有这么多的数据泄露?截至9月,仅在2019年就有超过40亿条记录在多个网络攻击中被曝光。
许多组织目前正在进行一场失败的战斗,以保持我们日益宝贵的数据安全。全世界的CISO和CIO们已经非常清楚,"向左转移 "仍然太晚了;我们必须从SDLC中的安全开始向左转移,这意味着开发人员必须有足够的安全知识,在代码被提交之前就能修复缺陷,更不用说公开发表。
应用安全专家不能成为安全知识的唯一看门人。
在过去,软件安全是一群非常特别的聪明的极客的领域,与编写代码的工程师几乎没有互动。他们的工作是测试、破解和阻止不安全的代码出现在阳光下。如果他们有交集,很可能是由于安全专家指出了代码中的缺陷......这保证会受到为其创建而辛勤工作的开发者的冷遇。
快进到今天,情况几乎是一样的,只是现在,有这么多的风险。我们生活的几乎每个方面都被数字化了......从社交媒体上的相册、医疗记录、银行业务和我们最宝贵的身份证明文件等一切。保护大部分离线、独立的软件和操作系统是一回事。必须抵御对数十亿行代码的威胁,并使数亿用户面临潜在的风险,则是另一回事。对于一组专家来说,要承担全部的责任实在是太重要了,这就是为什么我们必须在应用安全和开发团队之间架起桥梁。他们需要一起工作,分享知识,并作为一个有凝聚力、有安全意识的单位来运作。
只是有一个问题:开发人员很少有机会以有意义的方式学习安全编码技能。大多数高等教育几乎没有涉及到安全的最佳实践,而在职培训的质量也大不相同。
我们每隔一天就会看到巨大的漏洞,这有什么奇怪的?下载我们的应用安全检查表。
一个 "编码的许可证"。
尽管目前的形势很暗淡,但我对安全的未来还是很乐观的。空气中弥漫着一种变化,我为现在大量的组织认真对待安全编码而感到振奋。
越来越明显的是,开发人员需要获得正确的工具和知识来减少安全风险,而蓬勃发展的安全意识文化对于打击数据泄露至关重要。当开发人员在编写代码时承担起安全责任时,攻击者利用简单的缺陷并获得城堡的钥匙就变得不那么容易了。
一直以来,一些开发人员比其他人更有安全意识,这对企业来说是一个真正的挑战。虽然内部开发团队通常有一定程度的培训和技能监控,但当你把承包商、自由职业者和刚毕业的学生引入到这个组合中时,水就变得非常模糊了。他们是否以安全的心态行事?他们能成功地避免几十年来一直存在的跨站脚本等老旧缺陷吗?这很难讲,但他们经常被放任在软件构建的重要部分。呀。
值得庆幸的是,我们看到为开发人员制定的不可谈判的标准正在增加。例如,一些组织正在使用 Secure Code Warrior作为评估开发技能和颁发 "编码许可证 "的工具。如果没有通过基本的安全编码评估,他们就不能在任何项目上工作。这在帮助毕业生和实习生掌握安全技能方面是非常有价值的,同时,也灌输了安全编码的重要性意识。毕竟,在软件方面,安全必须是质量的同义词。
课外培训正将大学置于聚光灯下。
改变围绕安全编码的对话需要的不仅仅是这里的一篇文章,那里的一个主题演讲。它需要一个全社会的运动,很高兴看到这么多顶级组织注意到并建立高水平的安全计划,达到令人羡慕的标准。汇丰银行就是这样一家公司,其强大的计划正在确保最近的毕业生和新员工尽快踏上 "左手开始 "的旅程。作为汇丰银行印度技术学院的负责人,塞卡-巴布-塔塔瓦提发现深入的安全培训是必须的。
"在汇丰科技,我们希望确保我们的开发人员社区了解安全编码的意义,以保护银行免受漏洞的影响。在我们今年的毕业生培训计划中,我们认为这是一个巨大的机会,可以让他们抓住年轻的机会,使他们在上岗并开始在各自的项目中进行编码之前,能够自我学习并掌握最佳的安全编码实践。
我们选择了Secure Code Warrior 平台,因为它为毕业生提供了精彩的游戏化学习方法,而他们并没有辜负我们的期望。他说:"我们很高兴,他们每个人除了完成不同技术的白带认证外,还热情地参与了tournament 。
更多的组织,就像汇丰银行一样,将安全编码能力视为开发人员层面的必要条件。而这实际上是对整个高等教育的一种照耀。CISO和CIO们开始质疑为什么新毕业的工程师在完成他们的教育时没有接受任何强大的安全培训。
高等教育创新。
虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分,但一些大学正在带头提供一流的培训,并从一开始就将安全作为开发过程的一部分来优先考虑,而不是由稀缺的AppSec专家在实地进行。
在澳大利亚昆士兰大学,Ryan Ko教授在培养下一波开发人员以保护我们免受不可避免的网络攻击的影响方面取得了重大进展。
"大多数软件漏洞都是在编码阶段引入的,所以如果我们能从源头(即程序员)解决这个问题,我们就能根除今天在CVE列表中发现的大多数反复出现的问题。他说:"由于软件影响到我们现代社会大多数人的生活和生计,大学和培训机构有道德和社会责任教导所有刚起步的程序员如何安全地编码。
这是从标准的courses ,那些提供很少的重大安全意识和技能的方式的一个令人兴奋的演变。而且,这是一个我不介意进一步传播的 "病毒"。令我高兴的是,麦考瑞大学也在用安全第一的思想感染他们的学生,这要归功于像Christophe Doche这样的人的努力:
"2016年推出的Optus麦考瑞大学网络安全中心是澳大利亚第一个这样的倡议,将信息安全、商业、犯罪学、情报、法律和心理学的学者与来自工业和政府的网络安全专家联系起来。
我们的使命是通过教育、研究和合作,使澳大利亚成为全球网络安全的领导者。其中一个重要方面是解决有据可查的网络安全方面的技能差距问题,预测显示2022年全球将有180万个工作岗位无法填补。
他说:"解决这一技能差距需要一个多管齐下的方法,这包括提高现有劳动力的技能和再技能,以及培训新一代的网络安全专家。
他们的方法令人难以置信,提供高参与度的精准学习,帮助弥合各部门之间的差距,创造一个蓬勃发展的安全意识心态。他们在战略中利用了微学习的优势,提供游戏化的、一口大小的学习模块,具有很高的保留率、参与度和重复播放率。我特别自豪的是,我们能够帮助他们创造性地吸引他们的学生:
"这种参与的一个很好的例子是与Secure Code warrior 的合作。在2019年8月由Secure Code Warrior 和网络安全中心组织的tournament 之后,我们现在正在考虑将Secure Code Warrior 平台嵌入我们的课程,特别是在我们新的安全应用开发单元中,"Christophe说。
像麦考瑞大学和昆士兰大学的倡议,是在教育领域真正开创了安全编码。作为应用安全专业人士、开发人员和更广泛的安全社区,我们的目标必须是将安全纳入我们所做的一切,并继续致力于从左边开始。
自从我们在2015年开始执行任务以来,我们的重点一直是为开发人员提供有趣、相关和有吸引力的安全编码培训。我们早就认识到让开发人员了解安全最佳实践的知识和工具的重要性,为什么它很重要,以及他们如何在编写代码时帮助加固软件免受恶意攻击。
然而,安全培训并不是一个新概念。我们当然没有先入为主,足够的安全措施在软件开发中已经考虑了很长时间。当然,有些类型的培训比其他类型的培训更有效,但获得一些安全教育是相对容易找到的,尤其是在今天。
...那么,我们到底为什么会有这么多的数据泄露?截至9月,仅在2019年就有超过40亿条记录在多个网络攻击中被曝光。
许多组织目前正在进行一场失败的战斗,以保持我们日益宝贵的数据安全。全世界的CISO和CIO们已经非常清楚,"向左转移 "仍然太晚了;我们必须从SDLC中的安全开始向左转移,这意味着开发人员必须有足够的安全知识,在代码被提交之前就能修复缺陷,更不用说公开发表。
应用安全专家不能成为安全知识的唯一看门人。
在过去,软件安全是一群非常特别的聪明的极客的领域,与编写代码的工程师几乎没有互动。他们的工作是测试、破解和阻止不安全的代码出现在阳光下。如果他们有交集,很可能是由于安全专家指出了代码中的缺陷......这保证会受到为其创建而辛勤工作的开发者的冷遇。
快进到今天,情况几乎是一样的,只是现在,有这么多的风险。我们生活的几乎每个方面都被数字化了......从社交媒体上的相册、医疗记录、银行业务和我们最宝贵的身份证明文件等一切。保护大部分离线、独立的软件和操作系统是一回事。必须抵御对数十亿行代码的威胁,并使数亿用户面临潜在的风险,则是另一回事。对于一组专家来说,要承担全部的责任实在是太重要了,这就是为什么我们必须在应用安全和开发团队之间架起桥梁。他们需要一起工作,分享知识,并作为一个有凝聚力、有安全意识的单位来运作。
只是有一个问题:开发人员很少有机会以有意义的方式学习安全编码技能。大多数高等教育几乎没有涉及到安全的最佳实践,而在职培训的质量也大不相同。
我们每隔一天就会看到巨大的漏洞,这有什么奇怪的?下载我们的应用安全检查表。
一个 "编码的许可证"。
尽管目前的形势很暗淡,但我对安全的未来还是很乐观的。空气中弥漫着一种变化,我为现在大量的组织认真对待安全编码而感到振奋。
越来越明显的是,开发人员需要获得正确的工具和知识来减少安全风险,而蓬勃发展的安全意识文化对于打击数据泄露至关重要。当开发人员在编写代码时承担起安全责任时,攻击者利用简单的缺陷并获得城堡的钥匙就变得不那么容易了。
一直以来,一些开发人员比其他人更有安全意识,这对企业来说是一个真正的挑战。虽然内部开发团队通常有一定程度的培训和技能监控,但当你把承包商、自由职业者和刚毕业的学生引入到这个组合中时,水就变得非常模糊了。他们是否以安全的心态行事?他们能成功地避免几十年来一直存在的跨站脚本等老旧缺陷吗?这很难讲,但他们经常被放任在软件构建的重要部分。呀。
值得庆幸的是,我们看到为开发人员制定的不可谈判的标准正在增加。例如,一些组织正在使用 Secure Code Warrior作为评估开发技能和颁发 "编码许可证 "的工具。如果没有通过基本的安全编码评估,他们就不能在任何项目上工作。这在帮助毕业生和实习生掌握安全技能方面是非常有价值的,同时,也灌输了安全编码的重要性意识。毕竟,在软件方面,安全必须是质量的同义词。
课外培训正将大学置于聚光灯下。
改变围绕安全编码的对话需要的不仅仅是这里的一篇文章,那里的一个主题演讲。它需要一个全社会的运动,很高兴看到这么多顶级组织注意到并建立高水平的安全计划,达到令人羡慕的标准。汇丰银行就是这样一家公司,其强大的计划正在确保最近的毕业生和新员工尽快踏上 "左手开始 "的旅程。作为汇丰银行印度技术学院的负责人,塞卡-巴布-塔塔瓦提发现深入的安全培训是必须的。
"在汇丰科技,我们希望确保我们的开发人员社区了解安全编码的意义,以保护银行免受漏洞的影响。在我们今年的毕业生培训计划中,我们认为这是一个巨大的机会,可以让他们抓住年轻的机会,使他们在上岗并开始在各自的项目中进行编码之前,能够自我学习并掌握最佳的安全编码实践。
我们选择了Secure Code Warrior 平台,因为它为毕业生提供了精彩的游戏化学习方法,而他们并没有辜负我们的期望。他说:"我们很高兴,他们每个人除了完成不同技术的白带认证外,还热情地参与了tournament 。
更多的组织,就像汇丰银行一样,将安全编码能力视为开发人员层面的必要条件。而这实际上是对整个高等教育的一种照耀。CISO和CIO们开始质疑为什么新毕业的工程师在完成他们的教育时没有接受任何强大的安全培训。
高等教育创新。
虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分,但一些大学正在带头提供一流的培训,并从一开始就将安全作为开发过程的一部分来优先考虑,而不是由稀缺的AppSec专家在实地进行。
在澳大利亚昆士兰大学,Ryan Ko教授在培养下一波开发人员以保护我们免受不可避免的网络攻击的影响方面取得了重大进展。
"大多数软件漏洞都是在编码阶段引入的,所以如果我们能从源头(即程序员)解决这个问题,我们就能根除今天在CVE列表中发现的大多数反复出现的问题。他说:"由于软件影响到我们现代社会大多数人的生活和生计,大学和培训机构有道德和社会责任教导所有刚起步的程序员如何安全地编码。
这是从标准的courses ,那些提供很少的重大安全意识和技能的方式的一个令人兴奋的演变。而且,这是一个我不介意进一步传播的 "病毒"。令我高兴的是,麦考瑞大学也在用安全第一的思想感染他们的学生,这要归功于像Christophe Doche这样的人的努力:
"2016年推出的Optus麦考瑞大学网络安全中心是澳大利亚第一个这样的倡议,将信息安全、商业、犯罪学、情报、法律和心理学的学者与来自工业和政府的网络安全专家联系起来。
我们的使命是通过教育、研究和合作,使澳大利亚成为全球网络安全的领导者。其中一个重要方面是解决有据可查的网络安全方面的技能差距问题,预测显示2022年全球将有180万个工作岗位无法填补。
他说:"解决这一技能差距需要一个多管齐下的方法,这包括提高现有劳动力的技能和再技能,以及培训新一代的网络安全专家。
他们的方法令人难以置信,提供高参与度的精准学习,帮助弥合各部门之间的差距,创造一个蓬勃发展的安全意识心态。他们在战略中利用了微学习的优势,提供游戏化的、一口大小的学习模块,具有很高的保留率、参与度和重复播放率。我特别自豪的是,我们能够帮助他们创造性地吸引他们的学生:
"这种参与的一个很好的例子是与Secure Code warrior 的合作。在2019年8月由Secure Code Warrior 和网络安全中心组织的tournament 之后,我们现在正在考虑将Secure Code Warrior 平台嵌入我们的课程,特别是在我们新的安全应用开发单元中,"Christophe说。
像麦考瑞大学和昆士兰大学的倡议,是在教育领域真正开创了安全编码。作为应用安全专业人士、开发人员和更广泛的安全社区,我们的目标必须是将安全纳入我们所做的一切,并继续致力于从左边开始。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
自从我们在2015年开始执行任务以来,我们的重点一直是为开发人员提供有趣、相关和有吸引力的安全编码培训。我们早就认识到让开发人员了解安全最佳实践的知识和工具的重要性,为什么它很重要,以及他们如何在编写代码时帮助加固软件免受恶意攻击。
然而,安全培训并不是一个新概念。我们当然没有先入为主,足够的安全措施在软件开发中已经考虑了很长时间。当然,有些类型的培训比其他类型的培训更有效,但获得一些安全教育是相对容易找到的,尤其是在今天。
...那么,我们到底为什么会有这么多的数据泄露?截至9月,仅在2019年就有超过40亿条记录在多个网络攻击中被曝光。
许多组织目前正在进行一场失败的战斗,以保持我们日益宝贵的数据安全。全世界的CISO和CIO们已经非常清楚,"向左转移 "仍然太晚了;我们必须从SDLC中的安全开始向左转移,这意味着开发人员必须有足够的安全知识,在代码被提交之前就能修复缺陷,更不用说公开发表。
应用安全专家不能成为安全知识的唯一看门人。
在过去,软件安全是一群非常特别的聪明的极客的领域,与编写代码的工程师几乎没有互动。他们的工作是测试、破解和阻止不安全的代码出现在阳光下。如果他们有交集,很可能是由于安全专家指出了代码中的缺陷......这保证会受到为其创建而辛勤工作的开发者的冷遇。
快进到今天,情况几乎是一样的,只是现在,有这么多的风险。我们生活的几乎每个方面都被数字化了......从社交媒体上的相册、医疗记录、银行业务和我们最宝贵的身份证明文件等一切。保护大部分离线、独立的软件和操作系统是一回事。必须抵御对数十亿行代码的威胁,并使数亿用户面临潜在的风险,则是另一回事。对于一组专家来说,要承担全部的责任实在是太重要了,这就是为什么我们必须在应用安全和开发团队之间架起桥梁。他们需要一起工作,分享知识,并作为一个有凝聚力、有安全意识的单位来运作。
只是有一个问题:开发人员很少有机会以有意义的方式学习安全编码技能。大多数高等教育几乎没有涉及到安全的最佳实践,而在职培训的质量也大不相同。
我们每隔一天就会看到巨大的漏洞,这有什么奇怪的?下载我们的应用安全检查表。
一个 "编码的许可证"。
尽管目前的形势很暗淡,但我对安全的未来还是很乐观的。空气中弥漫着一种变化,我为现在大量的组织认真对待安全编码而感到振奋。
越来越明显的是,开发人员需要获得正确的工具和知识来减少安全风险,而蓬勃发展的安全意识文化对于打击数据泄露至关重要。当开发人员在编写代码时承担起安全责任时,攻击者利用简单的缺陷并获得城堡的钥匙就变得不那么容易了。
一直以来,一些开发人员比其他人更有安全意识,这对企业来说是一个真正的挑战。虽然内部开发团队通常有一定程度的培训和技能监控,但当你把承包商、自由职业者和刚毕业的学生引入到这个组合中时,水就变得非常模糊了。他们是否以安全的心态行事?他们能成功地避免几十年来一直存在的跨站脚本等老旧缺陷吗?这很难讲,但他们经常被放任在软件构建的重要部分。呀。
值得庆幸的是,我们看到为开发人员制定的不可谈判的标准正在增加。例如,一些组织正在使用 Secure Code Warrior作为评估开发技能和颁发 "编码许可证 "的工具。如果没有通过基本的安全编码评估,他们就不能在任何项目上工作。这在帮助毕业生和实习生掌握安全技能方面是非常有价值的,同时,也灌输了安全编码的重要性意识。毕竟,在软件方面,安全必须是质量的同义词。
课外培训正将大学置于聚光灯下。
改变围绕安全编码的对话需要的不仅仅是这里的一篇文章,那里的一个主题演讲。它需要一个全社会的运动,很高兴看到这么多顶级组织注意到并建立高水平的安全计划,达到令人羡慕的标准。汇丰银行就是这样一家公司,其强大的计划正在确保最近的毕业生和新员工尽快踏上 "左手开始 "的旅程。作为汇丰银行印度技术学院的负责人,塞卡-巴布-塔塔瓦提发现深入的安全培训是必须的。
"在汇丰科技,我们希望确保我们的开发人员社区了解安全编码的意义,以保护银行免受漏洞的影响。在我们今年的毕业生培训计划中,我们认为这是一个巨大的机会,可以让他们抓住年轻的机会,使他们在上岗并开始在各自的项目中进行编码之前,能够自我学习并掌握最佳的安全编码实践。
我们选择了Secure Code Warrior 平台,因为它为毕业生提供了精彩的游戏化学习方法,而他们并没有辜负我们的期望。他说:"我们很高兴,他们每个人除了完成不同技术的白带认证外,还热情地参与了tournament 。
更多的组织,就像汇丰银行一样,将安全编码能力视为开发人员层面的必要条件。而这实际上是对整个高等教育的一种照耀。CISO和CIO们开始质疑为什么新毕业的工程师在完成他们的教育时没有接受任何强大的安全培训。
高等教育创新。
虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分,但一些大学正在带头提供一流的培训,并从一开始就将安全作为开发过程的一部分来优先考虑,而不是由稀缺的AppSec专家在实地进行。
在澳大利亚昆士兰大学,Ryan Ko教授在培养下一波开发人员以保护我们免受不可避免的网络攻击的影响方面取得了重大进展。
"大多数软件漏洞都是在编码阶段引入的,所以如果我们能从源头(即程序员)解决这个问题,我们就能根除今天在CVE列表中发现的大多数反复出现的问题。他说:"由于软件影响到我们现代社会大多数人的生活和生计,大学和培训机构有道德和社会责任教导所有刚起步的程序员如何安全地编码。
这是从标准的courses ,那些提供很少的重大安全意识和技能的方式的一个令人兴奋的演变。而且,这是一个我不介意进一步传播的 "病毒"。令我高兴的是,麦考瑞大学也在用安全第一的思想感染他们的学生,这要归功于像Christophe Doche这样的人的努力:
"2016年推出的Optus麦考瑞大学网络安全中心是澳大利亚第一个这样的倡议,将信息安全、商业、犯罪学、情报、法律和心理学的学者与来自工业和政府的网络安全专家联系起来。
我们的使命是通过教育、研究和合作,使澳大利亚成为全球网络安全的领导者。其中一个重要方面是解决有据可查的网络安全方面的技能差距问题,预测显示2022年全球将有180万个工作岗位无法填补。
他说:"解决这一技能差距需要一个多管齐下的方法,这包括提高现有劳动力的技能和再技能,以及培训新一代的网络安全专家。
他们的方法令人难以置信,提供高参与度的精准学习,帮助弥合各部门之间的差距,创造一个蓬勃发展的安全意识心态。他们在战略中利用了微学习的优势,提供游戏化的、一口大小的学习模块,具有很高的保留率、参与度和重复播放率。我特别自豪的是,我们能够帮助他们创造性地吸引他们的学生:
"这种参与的一个很好的例子是与Secure Code warrior 的合作。在2019年8月由Secure Code Warrior 和网络安全中心组织的tournament 之后,我们现在正在考虑将Secure Code Warrior 平台嵌入我们的课程,特别是在我们新的安全应用开发单元中,"Christophe说。
像麦考瑞大学和昆士兰大学的倡议,是在教育领域真正开创了安全编码。作为应用安全专业人士、开发人员和更广泛的安全社区,我们的目标必须是将安全纳入我们所做的一切,并继续致力于从左边开始。