在未来的安全编码中,人的因素起到什么作用?
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
.avif)
.avif)
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
