博客

被动安全与预防安全:预防是更好的治疗

马蒂亚斯-马杜博士
出版日期:2024 年 10 月 31 日

在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change HealthcareAT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。

迄今为止,事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

查看资源
查看资源

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
出版日期:2024 年 10 月 31 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change HealthcareAT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。

迄今为止,事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change HealthcareAT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。

迄今为止,事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
出版日期:2024 年 10 月 31 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change HealthcareAT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。

迄今为止,事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

目录

查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心