博客

您的安全计划为 CISA 的网络安全战略计划做好准备了吗?

皮特-丹休
出版日期:2024 年 6 月 6 日

本文的一个版本刊登在《福布斯》上。


‍《网络安全战略计划对大多数组织处理网络安全的方式进行了重大变革,而开发人员在帮助实现这些新目标方面处于独特的地位。

网络安全和基础设施安全局(CISA)自 2018 年成立以来,不仅在保护美国关键基础设施和计算网络方面发挥了重要作用,其影响力和专业知识也在全球范围内产生了反响。该机构的综合建议、安全咨询、漏洞报告和网络安全计划为可操作的最佳实践树立了全球基准,凸显了新发布的《CISA 2023-2025 年战略计划》在全球网络安全领域的重要意义。

CISA 的影响力和成就也远远超出了大多数政府机构所能达到的水平,特别是考虑到它才成立几年。这在很大程度上是因为威胁呈指数级增长,攻击者的入侵和利用手段也越来越娴熟。CISA 在打击网络犯罪分子和其他所谓的威胁行为者的斗争中发挥了领导作用,有条不紊地跟踪网络安全趋势,并就最佳实践提出建议。

然而,尽管该机构提供了很多有益的建议和指导,但它从未发布过旨在确定未来几年网络安全工作总体方向的总体战略计划。这不仅仅是另一项计划,而是一个里程碑,许多组织都希望研究并最终实施该计划。事实上,该计划要求对网络安全的处理方式进行重大变革,这可能会使遵循该指导具有挑战性,尽管如果获得正确的支持、工具和技能提升途径,开发社区在提供帮助方面具有独特的优势。

全球网络安全最佳实践正在发生变化

乍一看,我们很容易从 CISA 战略计划中感受到某种程度的挫败感,但 CISA 只是承认了一个事实,即如果我们继续做现在同样的事情,我们将继续看到同样的结果。要想改善网络安全状况,就需要全面进行重大变革,包括制造当今使用的软件和应用程序的公司。

将矛头指向软件,至少部分地指向软件,这是以前就提出过的概念。事实上,《美国国家安全战略》明确指出,"软件安全性差会大大增加整个数字生态系统的系统性风险"。CISA 战略计划提出了一项新战略,以应对和解决这一困境。

CISA 在网络安全方面倡导的最大变革是,要求软件制造商提供安全的产品。如果安全编码最佳实践得以确立和实施,那么潜伏在软件中供攻击者利用的漏洞,尤其是重大漏洞,就会大大减少。是的,这里或那里的一些漏洞仍有可能被忽视,需要努力查找和修复,但与目前的现状相比,这是一个可控的命题:每天都有数以百计的漏洞被发现,使网络安全防御者不堪重负。CISA 在其计划中明确指出,软件和其他技术的制造商需要对自己产品的安全性负责。

"CISA 战略计划指出:"作为一个社会,我们不能再接受这样一种模式,即每种技术产品在发布的那一刻就存在漏洞,而绝大多数的安全责任都由各个组织和用户承担。"技术在设计、开发和测试时,应尽量减少可利用缺陷的数量,然后再推向市场"。

该计划还表示,这种新方法最终可能不仅仅是建议性的,CISA 将使用 "所有可用的杠杆来影响组织领导者的风险决策"。该计划还暗示,像《2022 年关键基础设施网络事件报告法》(CIRCIA)这样目前对网络事件报告进行规范的法律,可以作为一种模式,最终将自愿遵守这些新法规转变为更具强制性。无论如何,如今大多数生产软件和其他技术的公司都将受益于这一新指南。

CISA 的指导意见提供了一个重要机会

面对更多潜在法规的前景,企业不应感到忐忑不安,而应抓住机会,利用 CISA 战略计划努力开发更好、更高质量的软件。这不仅是对合规性的要求,也是开发人员磨练技能、为更安全的数字环境做出贡献的机会。归根结底,生产安全的软件对每个人都有帮助,包括制造软件的公司、依赖软件的用户以及被软件或应用程序访问或存储数据的用户。如果大部分软件和应用程序的代码在进入生产环境之前就尽可能确保安全,那么攻击者就只能空手而归。

鉴于这一新方向,企业的开发人员(他们编写或提供所有代码)是实施更安全的编码和努力遵守 CISA 计划的最佳起点。但是,如果没有组织其他部门,特别是高层管理人员的支持,开发人员是无法单独完成这项工作的。让开发人员了解漏洞、如何编写安全代码以及如何在问题进入生产环境之前及早识别问题,将是企业最终承担代码交付责任的关键,正如 CISA 所说,"确保在对手利用漏洞造成危害之前发现并修复漏洞"。

需要注意的一个关键问题是,开发人员需要接受相当高级的培训。要想熟练地持续编写安全代码是一项极具挑战性的工作,而 "检查框 "式的合规措施根本无法完成这项任务。作为整体安全意识计划的一部分,开发人员将需要高水平、敏捷的学习方法,以提供实践、可消化和持续的学习成果,从而确保他们掌握所需的技能,以维持新 CISA 计划所要求的安全水平。 

理想情况下,为准备 CISA 计划而进行的技能提升还应纳入开发人员日常使用的许多先进方法和程序,如敏捷开发原则。例如,在敏捷开发中,工作被分解成易于管理的小块,在一个连续的循环中将冲刺阶段层层叠加。包含敏捷实践的良好教育计划可以帮助开发人员快速掌握支持 CISA 计划所需的技能,使他们几乎立即就能开始看到收益并开始更安全地编码。

好消息是,大多数开发人员都支持安全编码实践,并渴望帮助他们的组织遵守新的 CISA 指令。在对全球 1200 多名活跃的专业开发人员进行的调查中,绝大多数人表示支持创建安全代码的概念,并在其组织中建立更好的安全文化。 

开发人员需要精确的教育途径和充分的支持。如果组织能够提供这样的支持,他们的代码不仅会变得更加安全,而且在努力遵守或超越新的 CISA 网络安全战略计划中规定的指导方面也会走在前面。

安全文化的这一转变将充满挑战,但同时也是一个改变网络安全本质的绝佳机会,在这个世界上,让我们的生活变得更美好的技术不会被攻击者不断试图利用来达到自己的邪恶目的所困扰。我们有能力阻止他们,而 CISA 计划为实现这一非凡且最终可实现的目标指明了一条充满希望的道路。

查看资源
查看资源

网络安全战略计划》对大多数组织处理网络安全的方式提出了重大变革,而开发人员在帮助实现这些新目标方面处于独特的地位。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
出版日期:2024 年 6 月 6 日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

本文的一个版本刊登在《福布斯》上。


‍《网络安全战略计划对大多数组织处理网络安全的方式进行了重大变革,而开发人员在帮助实现这些新目标方面处于独特的地位。

网络安全和基础设施安全局(CISA)自 2018 年成立以来,不仅在保护美国关键基础设施和计算网络方面发挥了重要作用,其影响力和专业知识也在全球范围内产生了反响。该机构的综合建议、安全咨询、漏洞报告和网络安全计划为可操作的最佳实践树立了全球基准,凸显了新发布的《CISA 2023-2025 年战略计划》在全球网络安全领域的重要意义。

CISA 的影响力和成就也远远超出了大多数政府机构所能达到的水平,特别是考虑到它才成立几年。这在很大程度上是因为威胁呈指数级增长,攻击者的入侵和利用手段也越来越娴熟。CISA 在打击网络犯罪分子和其他所谓的威胁行为者的斗争中发挥了领导作用,有条不紊地跟踪网络安全趋势,并就最佳实践提出建议。

然而,尽管该机构提供了很多有益的建议和指导,但它从未发布过旨在确定未来几年网络安全工作总体方向的总体战略计划。这不仅仅是另一项计划,而是一个里程碑,许多组织都希望研究并最终实施该计划。事实上,该计划要求对网络安全的处理方式进行重大变革,这可能会使遵循该指导具有挑战性,尽管如果获得正确的支持、工具和技能提升途径,开发社区在提供帮助方面具有独特的优势。

全球网络安全最佳实践正在发生变化

乍一看,我们很容易从 CISA 战略计划中感受到某种程度的挫败感,但 CISA 只是承认了一个事实,即如果我们继续做现在同样的事情,我们将继续看到同样的结果。要想改善网络安全状况,就需要全面进行重大变革,包括制造当今使用的软件和应用程序的公司。

将矛头指向软件,至少部分地指向软件,这是以前就提出过的概念。事实上,《美国国家安全战略》明确指出,"软件安全性差会大大增加整个数字生态系统的系统性风险"。CISA 战略计划提出了一项新战略,以应对和解决这一困境。

CISA 在网络安全方面倡导的最大变革是,要求软件制造商提供安全的产品。如果安全编码最佳实践得以确立和实施,那么潜伏在软件中供攻击者利用的漏洞,尤其是重大漏洞,就会大大减少。是的,这里或那里的一些漏洞仍有可能被忽视,需要努力查找和修复,但与目前的现状相比,这是一个可控的命题:每天都有数以百计的漏洞被发现,使网络安全防御者不堪重负。CISA 在其计划中明确指出,软件和其他技术的制造商需要对自己产品的安全性负责。

"CISA 战略计划指出:"作为一个社会,我们不能再接受这样一种模式,即每种技术产品在发布的那一刻就存在漏洞,而绝大多数的安全责任都由各个组织和用户承担。"技术在设计、开发和测试时,应尽量减少可利用缺陷的数量,然后再推向市场"。

该计划还表示,这种新方法最终可能不仅仅是建议性的,CISA 将使用 "所有可用的杠杆来影响组织领导者的风险决策"。该计划还暗示,像《2022 年关键基础设施网络事件报告法》(CIRCIA)这样目前对网络事件报告进行规范的法律,可以作为一种模式,最终将自愿遵守这些新法规转变为更具强制性。无论如何,如今大多数生产软件和其他技术的公司都将受益于这一新指南。

CISA 的指导意见提供了一个重要机会

面对更多潜在法规的前景,企业不应感到忐忑不安,而应抓住机会,利用 CISA 战略计划努力开发更好、更高质量的软件。这不仅是对合规性的要求,也是开发人员磨练技能、为更安全的数字环境做出贡献的机会。归根结底,生产安全的软件对每个人都有帮助,包括制造软件的公司、依赖软件的用户以及被软件或应用程序访问或存储数据的用户。如果大部分软件和应用程序的代码在进入生产环境之前就尽可能确保安全,那么攻击者就只能空手而归。

鉴于这一新方向,企业的开发人员(他们编写或提供所有代码)是实施更安全的编码和努力遵守 CISA 计划的最佳起点。但是,如果没有组织其他部门,特别是高层管理人员的支持,开发人员是无法单独完成这项工作的。让开发人员了解漏洞、如何编写安全代码以及如何在问题进入生产环境之前及早识别问题,将是企业最终承担代码交付责任的关键,正如 CISA 所说,"确保在对手利用漏洞造成危害之前发现并修复漏洞"。

需要注意的一个关键问题是,开发人员需要接受相当高级的培训。要想熟练地持续编写安全代码是一项极具挑战性的工作,而 "检查框 "式的合规措施根本无法完成这项任务。作为整体安全意识计划的一部分,开发人员将需要高水平、敏捷的学习方法,以提供实践、可消化和持续的学习成果,从而确保他们掌握所需的技能,以维持新 CISA 计划所要求的安全水平。 

理想情况下,为准备 CISA 计划而进行的技能提升还应纳入开发人员日常使用的许多先进方法和程序,如敏捷开发原则。例如,在敏捷开发中,工作被分解成易于管理的小块,在一个连续的循环中将冲刺阶段层层叠加。包含敏捷实践的良好教育计划可以帮助开发人员快速掌握支持 CISA 计划所需的技能,使他们几乎立即就能开始看到收益并开始更安全地编码。

好消息是,大多数开发人员都支持安全编码实践,并渴望帮助他们的组织遵守新的 CISA 指令。在对全球 1200 多名活跃的专业开发人员进行的调查中,绝大多数人表示支持创建安全代码的概念,并在其组织中建立更好的安全文化。 

开发人员需要精确的教育途径和充分的支持。如果组织能够提供这样的支持,他们的代码不仅会变得更加安全,而且在努力遵守或超越新的 CISA 网络安全战略计划中规定的指导方面也会走在前面。

安全文化的这一转变将充满挑战,但同时也是一个改变网络安全本质的绝佳机会,在这个世界上,让我们的生活变得更美好的技术不会被攻击者不断试图利用来达到自己的邪恶目的所困扰。我们有能力阻止他们,而 CISA 计划为实现这一非凡且最终可实现的目标指明了一条充满希望的道路。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

本文的一个版本刊登在《福布斯》上。


‍《网络安全战略计划对大多数组织处理网络安全的方式进行了重大变革,而开发人员在帮助实现这些新目标方面处于独特的地位。

网络安全和基础设施安全局(CISA)自 2018 年成立以来,不仅在保护美国关键基础设施和计算网络方面发挥了重要作用,其影响力和专业知识也在全球范围内产生了反响。该机构的综合建议、安全咨询、漏洞报告和网络安全计划为可操作的最佳实践树立了全球基准,凸显了新发布的《CISA 2023-2025 年战略计划》在全球网络安全领域的重要意义。

CISA 的影响力和成就也远远超出了大多数政府机构所能达到的水平,特别是考虑到它才成立几年。这在很大程度上是因为威胁呈指数级增长,攻击者的入侵和利用手段也越来越娴熟。CISA 在打击网络犯罪分子和其他所谓的威胁行为者的斗争中发挥了领导作用,有条不紊地跟踪网络安全趋势,并就最佳实践提出建议。

然而,尽管该机构提供了很多有益的建议和指导,但它从未发布过旨在确定未来几年网络安全工作总体方向的总体战略计划。这不仅仅是另一项计划,而是一个里程碑,许多组织都希望研究并最终实施该计划。事实上,该计划要求对网络安全的处理方式进行重大变革,这可能会使遵循该指导具有挑战性,尽管如果获得正确的支持、工具和技能提升途径,开发社区在提供帮助方面具有独特的优势。

全球网络安全最佳实践正在发生变化

乍一看,我们很容易从 CISA 战略计划中感受到某种程度的挫败感,但 CISA 只是承认了一个事实,即如果我们继续做现在同样的事情,我们将继续看到同样的结果。要想改善网络安全状况,就需要全面进行重大变革,包括制造当今使用的软件和应用程序的公司。

将矛头指向软件,至少部分地指向软件,这是以前就提出过的概念。事实上,《美国国家安全战略》明确指出,"软件安全性差会大大增加整个数字生态系统的系统性风险"。CISA 战略计划提出了一项新战略,以应对和解决这一困境。

CISA 在网络安全方面倡导的最大变革是,要求软件制造商提供安全的产品。如果安全编码最佳实践得以确立和实施,那么潜伏在软件中供攻击者利用的漏洞,尤其是重大漏洞,就会大大减少。是的,这里或那里的一些漏洞仍有可能被忽视,需要努力查找和修复,但与目前的现状相比,这是一个可控的命题:每天都有数以百计的漏洞被发现,使网络安全防御者不堪重负。CISA 在其计划中明确指出,软件和其他技术的制造商需要对自己产品的安全性负责。

"CISA 战略计划指出:"作为一个社会,我们不能再接受这样一种模式,即每种技术产品在发布的那一刻就存在漏洞,而绝大多数的安全责任都由各个组织和用户承担。"技术在设计、开发和测试时,应尽量减少可利用缺陷的数量,然后再推向市场"。

该计划还表示,这种新方法最终可能不仅仅是建议性的,CISA 将使用 "所有可用的杠杆来影响组织领导者的风险决策"。该计划还暗示,像《2022 年关键基础设施网络事件报告法》(CIRCIA)这样目前对网络事件报告进行规范的法律,可以作为一种模式,最终将自愿遵守这些新法规转变为更具强制性。无论如何,如今大多数生产软件和其他技术的公司都将受益于这一新指南。

CISA 的指导意见提供了一个重要机会

面对更多潜在法规的前景,企业不应感到忐忑不安,而应抓住机会,利用 CISA 战略计划努力开发更好、更高质量的软件。这不仅是对合规性的要求,也是开发人员磨练技能、为更安全的数字环境做出贡献的机会。归根结底,生产安全的软件对每个人都有帮助,包括制造软件的公司、依赖软件的用户以及被软件或应用程序访问或存储数据的用户。如果大部分软件和应用程序的代码在进入生产环境之前就尽可能确保安全,那么攻击者就只能空手而归。

鉴于这一新方向,企业的开发人员(他们编写或提供所有代码)是实施更安全的编码和努力遵守 CISA 计划的最佳起点。但是,如果没有组织其他部门,特别是高层管理人员的支持,开发人员是无法单独完成这项工作的。让开发人员了解漏洞、如何编写安全代码以及如何在问题进入生产环境之前及早识别问题,将是企业最终承担代码交付责任的关键,正如 CISA 所说,"确保在对手利用漏洞造成危害之前发现并修复漏洞"。

需要注意的一个关键问题是,开发人员需要接受相当高级的培训。要想熟练地持续编写安全代码是一项极具挑战性的工作,而 "检查框 "式的合规措施根本无法完成这项任务。作为整体安全意识计划的一部分,开发人员将需要高水平、敏捷的学习方法,以提供实践、可消化和持续的学习成果,从而确保他们掌握所需的技能,以维持新 CISA 计划所要求的安全水平。 

理想情况下,为准备 CISA 计划而进行的技能提升还应纳入开发人员日常使用的许多先进方法和程序,如敏捷开发原则。例如,在敏捷开发中,工作被分解成易于管理的小块,在一个连续的循环中将冲刺阶段层层叠加。包含敏捷实践的良好教育计划可以帮助开发人员快速掌握支持 CISA 计划所需的技能,使他们几乎立即就能开始看到收益并开始更安全地编码。

好消息是,大多数开发人员都支持安全编码实践,并渴望帮助他们的组织遵守新的 CISA 指令。在对全球 1200 多名活跃的专业开发人员进行的调查中,绝大多数人表示支持创建安全代码的概念,并在其组织中建立更好的安全文化。 

开发人员需要精确的教育途径和充分的支持。如果组织能够提供这样的支持,他们的代码不仅会变得更加安全,而且在努力遵守或超越新的 CISA 网络安全战略计划中规定的指导方面也会走在前面。

安全文化的这一转变将充满挑战,但同时也是一个改变网络安全本质的绝佳机会,在这个世界上,让我们的生活变得更美好的技术不会被攻击者不断试图利用来达到自己的邪恶目的所困扰。我们有能力阻止他们,而 CISA 计划为实现这一非凡且最终可实现的目标指明了一条充满希望的道路。

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
下载PDF
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
出版日期:2024 年 6 月 6 日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

本文的一个版本刊登在《福布斯》上。


‍《网络安全战略计划对大多数组织处理网络安全的方式进行了重大变革,而开发人员在帮助实现这些新目标方面处于独特的地位。

网络安全和基础设施安全局(CISA)自 2018 年成立以来,不仅在保护美国关键基础设施和计算网络方面发挥了重要作用,其影响力和专业知识也在全球范围内产生了反响。该机构的综合建议、安全咨询、漏洞报告和网络安全计划为可操作的最佳实践树立了全球基准,凸显了新发布的《CISA 2023-2025 年战略计划》在全球网络安全领域的重要意义。

CISA 的影响力和成就也远远超出了大多数政府机构所能达到的水平,特别是考虑到它才成立几年。这在很大程度上是因为威胁呈指数级增长,攻击者的入侵和利用手段也越来越娴熟。CISA 在打击网络犯罪分子和其他所谓的威胁行为者的斗争中发挥了领导作用,有条不紊地跟踪网络安全趋势,并就最佳实践提出建议。

然而,尽管该机构提供了很多有益的建议和指导,但它从未发布过旨在确定未来几年网络安全工作总体方向的总体战略计划。这不仅仅是另一项计划,而是一个里程碑,许多组织都希望研究并最终实施该计划。事实上,该计划要求对网络安全的处理方式进行重大变革,这可能会使遵循该指导具有挑战性,尽管如果获得正确的支持、工具和技能提升途径,开发社区在提供帮助方面具有独特的优势。

全球网络安全最佳实践正在发生变化

乍一看,我们很容易从 CISA 战略计划中感受到某种程度的挫败感,但 CISA 只是承认了一个事实,即如果我们继续做现在同样的事情,我们将继续看到同样的结果。要想改善网络安全状况,就需要全面进行重大变革,包括制造当今使用的软件和应用程序的公司。

将矛头指向软件,至少部分地指向软件,这是以前就提出过的概念。事实上,《美国国家安全战略》明确指出,"软件安全性差会大大增加整个数字生态系统的系统性风险"。CISA 战略计划提出了一项新战略,以应对和解决这一困境。

CISA 在网络安全方面倡导的最大变革是,要求软件制造商提供安全的产品。如果安全编码最佳实践得以确立和实施,那么潜伏在软件中供攻击者利用的漏洞,尤其是重大漏洞,就会大大减少。是的,这里或那里的一些漏洞仍有可能被忽视,需要努力查找和修复,但与目前的现状相比,这是一个可控的命题:每天都有数以百计的漏洞被发现,使网络安全防御者不堪重负。CISA 在其计划中明确指出,软件和其他技术的制造商需要对自己产品的安全性负责。

"CISA 战略计划指出:"作为一个社会,我们不能再接受这样一种模式,即每种技术产品在发布的那一刻就存在漏洞,而绝大多数的安全责任都由各个组织和用户承担。"技术在设计、开发和测试时,应尽量减少可利用缺陷的数量,然后再推向市场"。

该计划还表示,这种新方法最终可能不仅仅是建议性的,CISA 将使用 "所有可用的杠杆来影响组织领导者的风险决策"。该计划还暗示,像《2022 年关键基础设施网络事件报告法》(CIRCIA)这样目前对网络事件报告进行规范的法律,可以作为一种模式,最终将自愿遵守这些新法规转变为更具强制性。无论如何,如今大多数生产软件和其他技术的公司都将受益于这一新指南。

CISA 的指导意见提供了一个重要机会

面对更多潜在法规的前景,企业不应感到忐忑不安,而应抓住机会,利用 CISA 战略计划努力开发更好、更高质量的软件。这不仅是对合规性的要求,也是开发人员磨练技能、为更安全的数字环境做出贡献的机会。归根结底,生产安全的软件对每个人都有帮助,包括制造软件的公司、依赖软件的用户以及被软件或应用程序访问或存储数据的用户。如果大部分软件和应用程序的代码在进入生产环境之前就尽可能确保安全,那么攻击者就只能空手而归。

鉴于这一新方向,企业的开发人员(他们编写或提供所有代码)是实施更安全的编码和努力遵守 CISA 计划的最佳起点。但是,如果没有组织其他部门,特别是高层管理人员的支持,开发人员是无法单独完成这项工作的。让开发人员了解漏洞、如何编写安全代码以及如何在问题进入生产环境之前及早识别问题,将是企业最终承担代码交付责任的关键,正如 CISA 所说,"确保在对手利用漏洞造成危害之前发现并修复漏洞"。

需要注意的一个关键问题是,开发人员需要接受相当高级的培训。要想熟练地持续编写安全代码是一项极具挑战性的工作,而 "检查框 "式的合规措施根本无法完成这项任务。作为整体安全意识计划的一部分,开发人员将需要高水平、敏捷的学习方法,以提供实践、可消化和持续的学习成果,从而确保他们掌握所需的技能,以维持新 CISA 计划所要求的安全水平。 

理想情况下,为准备 CISA 计划而进行的技能提升还应纳入开发人员日常使用的许多先进方法和程序,如敏捷开发原则。例如,在敏捷开发中,工作被分解成易于管理的小块,在一个连续的循环中将冲刺阶段层层叠加。包含敏捷实践的良好教育计划可以帮助开发人员快速掌握支持 CISA 计划所需的技能,使他们几乎立即就能开始看到收益并开始更安全地编码。

好消息是,大多数开发人员都支持安全编码实践,并渴望帮助他们的组织遵守新的 CISA 指令。在对全球 1200 多名活跃的专业开发人员进行的调查中,绝大多数人表示支持创建安全代码的概念,并在其组织中建立更好的安全文化。 

开发人员需要精确的教育途径和充分的支持。如果组织能够提供这样的支持,他们的代码不仅会变得更加安全,而且在努力遵守或超越新的 CISA 网络安全战略计划中规定的指导方面也会走在前面。

安全文化的这一转变将充满挑战,但同时也是一个改变网络安全本质的绝佳机会,在这个世界上,让我们的生活变得更美好的技术不会被攻击者不断试图利用来达到自己的邪恶目的所困扰。我们有能力阻止他们,而 CISA 计划为实现这一非凡且最终可实现的目标指明了一条充满希望的道路。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心