博客

在未来的安全编码中,人的因素起到什么作用?

Secure Code Warrior
出版日期:2021年3月30日

随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).

这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。  

任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码? 

安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。

当前的观点--被动与主动

当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。

  • 在已部署的应用程序上使用扫描工具。
  • 手动审查代码中的漏洞。
  • 编写受保护的软件的积极和持续的做法,以防止漏洞。

正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。

同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。 

安全在SDLC中的位置? 

当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。

但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。 

人的因素准备好了吗?

97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。 

人的因素需要什么? 

为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。

为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。

如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。

你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。


查看资源
查看资源

随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。

想了解更多信息?

Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
Secure Code Warrior
出版日期:2021年3月30日

Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。

本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。

分享到

随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).

这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。  

任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码? 

安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。

当前的观点--被动与主动

当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。

  • 在已部署的应用程序上使用扫描工具。
  • 手动审查代码中的漏洞。
  • 编写受保护的软件的积极和持续的做法,以防止漏洞。

正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。

同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。 

安全在SDLC中的位置? 

当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。

但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。 

人的因素准备好了吗?

97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。 

人的因素需要什么? 

为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。

为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。

如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。

你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。


查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).

这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。  

任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码? 

安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。

当前的观点--被动与主动

当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。

  • 在已部署的应用程序上使用扫描工具。
  • 手动审查代码中的漏洞。
  • 编写受保护的软件的积极和持续的做法,以防止漏洞。

正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。

同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。 

安全在SDLC中的位置? 

当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。

但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。 

人的因素准备好了吗?

97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。 

人的因素需要什么? 

为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。

为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。

如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。

你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。


开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
Secure Code Warrior
出版日期:2021年3月30日

Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。

本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。

分享到

随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).

这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。  

任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码? 

安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。

当前的观点--被动与主动

当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。

  • 在已部署的应用程序上使用扫描工具。
  • 手动审查代码中的漏洞。
  • 编写受保护的软件的积极和持续的做法,以防止漏洞。

正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。

同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。 

安全在SDLC中的位置? 

当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。

但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。 

人的因素准备好了吗?

97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。 

人的因素需要什么? 

为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。

为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。

如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。

你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。


目录

下载PDF
查看资源
想了解更多信息?

Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心