揭秘:网络行业如何定义设计安全
越来越清楚的是,公司必须将 "设计安全 "原则纳入其产品开发流程,这不仅是为了合规,也是一项重要的业务要求。企业在将产品推向市场之前,必须先确定并减少产品中可被利用的缺陷。如果企业将这些准则视为基础支柱,而不是附加物,那么根据这些原则开发的产品往往能在竞争日益激烈的市场中保持领先地位。
但是,自美国政府网络安全与基础设施安全局(CISA)发布 "安全设计 "指导方针两年以来,实际的、现实世界中的实施仍然是我们难以解决的全行业难题。我们都知道这些原则很重要,但如何才能有效地大规模实施这些原则呢?
在我们的最新白皮书中,我们的联合创始人 Pieter Danhieux 和 Matias Madou 博士与二十多位企业安全领导者(包括 CISO、AppSec 领导者和安全专业人士)坐在一起,找出了这一难题的关键部分,并揭示了 "设计确保安全 "运动背后的现实。这是整个安全团队的共同抱负,但没有共同的游戏规则。
了解一些重要发现:
- 大多数安全从业人员和企业领导者都认同 "设计确保安全 "计划的理念和价值;然而,在某种程度上,对它的解释仍然是开放的,也没有全行业的标准实施方法。
- 威胁建模不仅仅是在合规性清单上打勾的东西,它还是一种关键、一致的做法,可帮助精通安全的开发人员及其应用程序安全同行在风险变成漏洞之前保持领先。
- 人工智能这把双刃剑--人工智能既是一种突破,也是一种潜在的安全风险,它极大地扩展了攻击面。它的爆炸式增长带来了快速发展的风险,不熟练的开发人员和资源不足的 AppSec 团队往往难以缓解这些风险。
问题并不在于对应用 "安全设计 "原则的重要性缺乏了解--如果说有什么问题的话,那就是对安全软件的需求已成为一种基本需求和基本期望。现在缺少的是一种协调的、可扩展的战略,将这些原则贯穿于整个软件开发生命周期。
我们似乎也缺乏明确的基准或可衡量的结果来确定成功的推广。没有这些,团队就只能猜测他们的努力是否真正产生了影响。目前,我们似乎有一个统一的战线,但没有共同的战略。
设计安全 "是必要的,也是不可避免的,它不仅适用于高合规性行业。还必须增强开发人员的能力,而不是加重他们的负担。如果配备了正确的技能、工具和支持,他们从本质上就不仅仅是建设者,而是捍卫者,在最重要的地方嵌入安全性:在源头。
立即下载 了解您的团队如何利用强大的开发人员风险管理策略和精确测量,在企业内部成功推动统一的 "设计安全 "计划。
在我们的最新白皮书中,我们的联合创始人 Pieter Danhieux 和 Matias Madou 博士与二十多位企业安全领导者(包括 CISO、AppSec 领导者和安全专业人士)坐在一起,找出了这一难题的关键部分,并揭示了 "设计确保安全 "运动背后的现实。这是整个安全团队的共同抱负,但没有共同的游戏规则。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
越来越清楚的是,公司必须将 "设计安全 "原则纳入其产品开发流程,这不仅是为了合规,也是一项重要的业务要求。企业在将产品推向市场之前,必须先确定并减少产品中可被利用的缺陷。如果企业将这些准则视为基础支柱,而不是附加物,那么根据这些原则开发的产品往往能在竞争日益激烈的市场中保持领先地位。
但是,自美国政府网络安全与基础设施安全局(CISA)发布 "安全设计 "指导方针两年以来,实际的、现实世界中的实施仍然是我们难以解决的全行业难题。我们都知道这些原则很重要,但如何才能有效地大规模实施这些原则呢?
在我们的最新白皮书中,我们的联合创始人 Pieter Danhieux 和 Matias Madou 博士与二十多位企业安全领导者(包括 CISO、AppSec 领导者和安全专业人士)坐在一起,找出了这一难题的关键部分,并揭示了 "设计确保安全 "运动背后的现实。这是整个安全团队的共同抱负,但没有共同的游戏规则。
了解一些重要发现:
- 大多数安全从业人员和企业领导者都认同 "设计确保安全 "计划的理念和价值;然而,在某种程度上,对它的解释仍然是开放的,也没有全行业的标准实施方法。
- 威胁建模不仅仅是在合规性清单上打勾的东西,它还是一种关键、一致的做法,可帮助精通安全的开发人员及其应用程序安全同行在风险变成漏洞之前保持领先。
- 人工智能这把双刃剑--人工智能既是一种突破,也是一种潜在的安全风险,它极大地扩展了攻击面。它的爆炸式增长带来了快速发展的风险,不熟练的开发人员和资源不足的 AppSec 团队往往难以缓解这些风险。
问题并不在于对应用 "安全设计 "原则的重要性缺乏了解--如果说有什么问题的话,那就是对安全软件的需求已成为一种基本需求和基本期望。现在缺少的是一种协调的、可扩展的战略,将这些原则贯穿于整个软件开发生命周期。
我们似乎也缺乏明确的基准或可衡量的结果来确定成功的推广。没有这些,团队就只能猜测他们的努力是否真正产生了影响。目前,我们似乎有一个统一的战线,但没有共同的战略。
设计安全 "是必要的,也是不可避免的,它不仅适用于高合规性行业。还必须增强开发人员的能力,而不是加重他们的负担。如果配备了正确的技能、工具和支持,他们从本质上就不仅仅是建设者,而是捍卫者,在最重要的地方嵌入安全性:在源头。
立即下载 了解您的团队如何利用强大的开发人员风险管理策略和精确测量,在企业内部成功推动统一的 "设计安全 "计划。
越来越清楚的是,公司必须将 "设计安全 "原则纳入其产品开发流程,这不仅是为了合规,也是一项重要的业务要求。企业在将产品推向市场之前,必须先确定并减少产品中可被利用的缺陷。如果企业将这些准则视为基础支柱,而不是附加物,那么根据这些原则开发的产品往往能在竞争日益激烈的市场中保持领先地位。
但是,自美国政府网络安全与基础设施安全局(CISA)发布 "安全设计 "指导方针两年以来,实际的、现实世界中的实施仍然是我们难以解决的全行业难题。我们都知道这些原则很重要,但如何才能有效地大规模实施这些原则呢?
在我们的最新白皮书中,我们的联合创始人 Pieter Danhieux 和 Matias Madou 博士与二十多位企业安全领导者(包括 CISO、AppSec 领导者和安全专业人士)坐在一起,找出了这一难题的关键部分,并揭示了 "设计确保安全 "运动背后的现实。这是整个安全团队的共同抱负,但没有共同的游戏规则。
了解一些重要发现:
- 大多数安全从业人员和企业领导者都认同 "设计确保安全 "计划的理念和价值;然而,在某种程度上,对它的解释仍然是开放的,也没有全行业的标准实施方法。
- 威胁建模不仅仅是在合规性清单上打勾的东西,它还是一种关键、一致的做法,可帮助精通安全的开发人员及其应用程序安全同行在风险变成漏洞之前保持领先。
- 人工智能这把双刃剑--人工智能既是一种突破,也是一种潜在的安全风险,它极大地扩展了攻击面。它的爆炸式增长带来了快速发展的风险,不熟练的开发人员和资源不足的 AppSec 团队往往难以缓解这些风险。
问题并不在于对应用 "安全设计 "原则的重要性缺乏了解--如果说有什么问题的话,那就是对安全软件的需求已成为一种基本需求和基本期望。现在缺少的是一种协调的、可扩展的战略,将这些原则贯穿于整个软件开发生命周期。
我们似乎也缺乏明确的基准或可衡量的结果来确定成功的推广。没有这些,团队就只能猜测他们的努力是否真正产生了影响。目前,我们似乎有一个统一的战线,但没有共同的战略。
设计安全 "是必要的,也是不可避免的,它不仅适用于高合规性行业。还必须增强开发人员的能力,而不是加重他们的负担。如果配备了正确的技能、工具和支持,他们从本质上就不仅仅是建设者,而是捍卫者,在最重要的地方嵌入安全性:在源头。
立即下载 了解您的团队如何利用强大的开发人员风险管理策略和精确测量,在企业内部成功推动统一的 "设计安全 "计划。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
越来越清楚的是,公司必须将 "设计安全 "原则纳入其产品开发流程,这不仅是为了合规,也是一项重要的业务要求。企业在将产品推向市场之前,必须先确定并减少产品中可被利用的缺陷。如果企业将这些准则视为基础支柱,而不是附加物,那么根据这些原则开发的产品往往能在竞争日益激烈的市场中保持领先地位。
但是,自美国政府网络安全与基础设施安全局(CISA)发布 "安全设计 "指导方针两年以来,实际的、现实世界中的实施仍然是我们难以解决的全行业难题。我们都知道这些原则很重要,但如何才能有效地大规模实施这些原则呢?
在我们的最新白皮书中,我们的联合创始人 Pieter Danhieux 和 Matias Madou 博士与二十多位企业安全领导者(包括 CISO、AppSec 领导者和安全专业人士)坐在一起,找出了这一难题的关键部分,并揭示了 "设计确保安全 "运动背后的现实。这是整个安全团队的共同抱负,但没有共同的游戏规则。
了解一些重要发现:
- 大多数安全从业人员和企业领导者都认同 "设计确保安全 "计划的理念和价值;然而,在某种程度上,对它的解释仍然是开放的,也没有全行业的标准实施方法。
- 威胁建模不仅仅是在合规性清单上打勾的东西,它还是一种关键、一致的做法,可帮助精通安全的开发人员及其应用程序安全同行在风险变成漏洞之前保持领先。
- 人工智能这把双刃剑--人工智能既是一种突破,也是一种潜在的安全风险,它极大地扩展了攻击面。它的爆炸式增长带来了快速发展的风险,不熟练的开发人员和资源不足的 AppSec 团队往往难以缓解这些风险。
问题并不在于对应用 "安全设计 "原则的重要性缺乏了解--如果说有什么问题的话,那就是对安全软件的需求已成为一种基本需求和基本期望。现在缺少的是一种协调的、可扩展的战略,将这些原则贯穿于整个软件开发生命周期。
我们似乎也缺乏明确的基准或可衡量的结果来确定成功的推广。没有这些,团队就只能猜测他们的努力是否真正产生了影响。目前,我们似乎有一个统一的战线,但没有共同的战略。
设计安全 "是必要的,也是不可避免的,它不仅适用于高合规性行业。还必须增强开发人员的能力,而不是加重他们的负担。如果配备了正确的技能、工具和支持,他们从本质上就不仅仅是建设者,而是捍卫者,在最重要的地方嵌入安全性:在源头。
立即下载 了解您的团队如何利用强大的开发人员风险管理策略和精确测量,在企业内部成功推动统一的 "设计安全 "计划。
资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
