博客

有安全意识的开发者。AppSec需要你!

马蒂亚斯-马杜博士
发布日期:2021年10月29日

虽然对任何在软件开发之外工作的人来说,这可能是反直觉的,但多年来,许多受雇于应用安全的专业人员都在这些关键岗位上工作,几乎没有编程经验。这些应用安全专业人员是团队的一部分,他们负责确保没有漏洞潜入已成为许多行业和组织命脉的应用程序,但他们中很少有人能真正直接评估或修复代码。 

许多安全专家不是来自编码背景,而是从围绕攻击载体、威胁、漏洞和商业风险的关键知识的角度来对待他们的角色;他们对代码的看法有限。虽然不是每个AppSec大师都有相同的技能,但许多人的典型工作包括与代码审查员和扫描工具合作,以确保程序和系统按照组织标准或相关行业和政府框架进行安全。然后他们写出关于他们的发现的报告,并发回关于可能破坏代码的攻击载体的信息。然后由开发人员进行必要的修复,无论这对当前的工作有多大的干扰。

情况之所以发展成这样,是因为多年来的普遍逻辑是,保护网络和应用程序的工作非常庞大,期望每个从事网络安全的人都能胜任每个角色是没有意义的。深度编码技能被留给了开发人员,而对编写或编辑开发管道中更远处的代码的能力则没有给予重视。

这种心态正在迅速改变,这为开发人员提供了一个独特的机会,使他们能够跳槽到AppSec,并实现职业转变。 不是每个开发人员都想拥抱所谓的黑暗面,许多开发人员对AppSec团队的意见并不特别积极。但对于那些愿意的人来说,现在是抓住这个越来越诱人的铜环的最好时机。

DevSecOps几乎推动了每个行业的发展

在任何组织中,提高安全意识的程序员和开发人员的价值的最大因素之一,是几乎普遍地接受更敏捷的开发实践,如DevSecOps。当开发、安全和运营结合在一起时,网络安全就会成为一种共同的责任,从头到尾融入新软件的开发。在这种环境下,编码能力越来越多地被看作是一种宝贵的资产,这对那些天生就懂得安全的工程师来说尤其如此。

一个不仅对网络安全有高度了解,而且还了解使一切运作的代码的应用安全专业人员,对任何组织来说都比那些知识集中在理论上的人更有价值。能够快速发现和评估代码中的漏洞,然后缓解这些问题,是DevSecOps如此受欢迎的核心原因。

在AppSec工作的开发人员还为任何雇用他们的组织带来另一个很大的优势。他们来自开发部门,因此很容易与开发人员讨论安全和漏洞问题。这也使得他们更容易成为开发团队的教练,帮助他们成为更好的编码者。随着时间的推移,他们甚至能够消除AppSec的 "黑暗面 "的污名,并帮助统一整个组织的软件开发团队。

网络安全技能短缺的情况越来越严重

莎士比亚曾说过,这是一股恶风,吹不动任何人。他的意思是,即使是最黑暗的情况也可能对某人有利。网络安全技能的短缺就是一个很好的例子。

几乎所有的地方都能敏锐地感受到人员的短缺。在战略与国际研究中心最近进行的一项调查中,82%的IT决策者表示,他们的组织遭受了网络安全技能的短缺,71%的人表示,这种短缺已经对他们的组织造成了直接和可衡量的损害。为了更好地看待这一危机,该报告指出,仅在美国,2020年就有超过52万个网络安全职位未被填补,而这一领域只有约94万名雇员。

对于试图保护其基础设施、业务和数据免受日益危险的威胁的组织来说,网络安全人员的短缺是个坏消息。但对于希望进入AppSec和安全领域的开发者来说,这也是一个好机会。机会是,网络安全和AppSec职位几乎到处都有。随着网络安全职位如今平均需要多花21%的时间来填补,工资也在全面上涨。

跃升至应用安全

对于开发人员来说,现在可能是最好的时机,让他们跳到生活中阳光灿烂的安全方面去,这是很有利可图的。有安全意识的开发人员不再被视为只是权宜之计的安全方法的一部分,而是作为网络安全防御者填补了一个完整和受尊重的角色。这对于那些接受了DevSecOps和其他更敏捷的开发方法的组织来说尤其如此。而网络安全人才的短缺意味着几乎每个公司、政府机构或组织都有职位。那些拥有正确技能的人可以选择他们想工作的地方。

转移到AppSec可能不适合每个人,当然,大多数开发人员将继续专注于构建惊人的功能。但对于那些正在考虑跳槽的人来说,投资于安全培训以增强他们现有的编码技能可以打开很多大门。最好的AppSec人员来自工程领域,因为他们深刻理解技术,并对其他开发者的困境感同身受。DevSecOps意味着无论如何现在每个人都要对安全负责,所以为什么不利用目前关键技能的短缺来推动你的职业生涯进入应用安全呢?现在是为你自己、你的家人和你的事业做出积极行动的最好时机。

查看资源
查看资源

开发人员处于有利可图的位置,可以跳槽到AppSec。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发布日期:2021年10月29日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

虽然对任何在软件开发之外工作的人来说,这可能是反直觉的,但多年来,许多受雇于应用安全的专业人员都在这些关键岗位上工作,几乎没有编程经验。这些应用安全专业人员是团队的一部分,他们负责确保没有漏洞潜入已成为许多行业和组织命脉的应用程序,但他们中很少有人能真正直接评估或修复代码。 

许多安全专家不是来自编码背景,而是从围绕攻击载体、威胁、漏洞和商业风险的关键知识的角度来对待他们的角色;他们对代码的看法有限。虽然不是每个AppSec大师都有相同的技能,但许多人的典型工作包括与代码审查员和扫描工具合作,以确保程序和系统按照组织标准或相关行业和政府框架进行安全。然后他们写出关于他们的发现的报告,并发回关于可能破坏代码的攻击载体的信息。然后由开发人员进行必要的修复,无论这对当前的工作有多大的干扰。

情况之所以发展成这样,是因为多年来的普遍逻辑是,保护网络和应用程序的工作非常庞大,期望每个从事网络安全的人都能胜任每个角色是没有意义的。深度编码技能被留给了开发人员,而对编写或编辑开发管道中更远处的代码的能力则没有给予重视。

这种心态正在迅速改变,这为开发人员提供了一个独特的机会,使他们能够跳槽到AppSec,并实现职业转变。 不是每个开发人员都想拥抱所谓的黑暗面,许多开发人员对AppSec团队的意见并不特别积极。但对于那些愿意的人来说,现在是抓住这个越来越诱人的铜环的最好时机。

DevSecOps几乎推动了每个行业的发展

在任何组织中,提高安全意识的程序员和开发人员的价值的最大因素之一,是几乎普遍地接受更敏捷的开发实践,如DevSecOps。当开发、安全和运营结合在一起时,网络安全就会成为一种共同的责任,从头到尾融入新软件的开发。在这种环境下,编码能力越来越多地被看作是一种宝贵的资产,这对那些天生就懂得安全的工程师来说尤其如此。

一个不仅对网络安全有高度了解,而且还了解使一切运作的代码的应用安全专业人员,对任何组织来说都比那些知识集中在理论上的人更有价值。能够快速发现和评估代码中的漏洞,然后缓解这些问题,是DevSecOps如此受欢迎的核心原因。

在AppSec工作的开发人员还为任何雇用他们的组织带来另一个很大的优势。他们来自开发部门,因此很容易与开发人员讨论安全和漏洞问题。这也使得他们更容易成为开发团队的教练,帮助他们成为更好的编码者。随着时间的推移,他们甚至能够消除AppSec的 "黑暗面 "的污名,并帮助统一整个组织的软件开发团队。

网络安全技能短缺的情况越来越严重

莎士比亚曾说过,这是一股恶风,吹不动任何人。他的意思是,即使是最黑暗的情况也可能对某人有利。网络安全技能的短缺就是一个很好的例子。

几乎所有的地方都能敏锐地感受到人员的短缺。在战略与国际研究中心最近进行的一项调查中,82%的IT决策者表示,他们的组织遭受了网络安全技能的短缺,71%的人表示,这种短缺已经对他们的组织造成了直接和可衡量的损害。为了更好地看待这一危机,该报告指出,仅在美国,2020年就有超过52万个网络安全职位未被填补,而这一领域只有约94万名雇员。

对于试图保护其基础设施、业务和数据免受日益危险的威胁的组织来说,网络安全人员的短缺是个坏消息。但对于希望进入AppSec和安全领域的开发者来说,这也是一个好机会。机会是,网络安全和AppSec职位几乎到处都有。随着网络安全职位如今平均需要多花21%的时间来填补,工资也在全面上涨。

跃升至应用安全

对于开发人员来说,现在可能是最好的时机,让他们跳到生活中阳光灿烂的安全方面去,这是很有利可图的。有安全意识的开发人员不再被视为只是权宜之计的安全方法的一部分,而是作为网络安全防御者填补了一个完整和受尊重的角色。这对于那些接受了DevSecOps和其他更敏捷的开发方法的组织来说尤其如此。而网络安全人才的短缺意味着几乎每个公司、政府机构或组织都有职位。那些拥有正确技能的人可以选择他们想工作的地方。

转移到AppSec可能不适合每个人,当然,大多数开发人员将继续专注于构建惊人的功能。但对于那些正在考虑跳槽的人来说,投资于安全培训以增强他们现有的编码技能可以打开很多大门。最好的AppSec人员来自工程领域,因为他们深刻理解技术,并对其他开发者的困境感同身受。DevSecOps意味着无论如何现在每个人都要对安全负责,所以为什么不利用目前关键技能的短缺来推动你的职业生涯进入应用安全呢?现在是为你自己、你的家人和你的事业做出积极行动的最好时机。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

虽然对任何在软件开发之外工作的人来说,这可能是反直觉的,但多年来,许多受雇于应用安全的专业人员都在这些关键岗位上工作,几乎没有编程经验。这些应用安全专业人员是团队的一部分,他们负责确保没有漏洞潜入已成为许多行业和组织命脉的应用程序,但他们中很少有人能真正直接评估或修复代码。 

许多安全专家不是来自编码背景,而是从围绕攻击载体、威胁、漏洞和商业风险的关键知识的角度来对待他们的角色;他们对代码的看法有限。虽然不是每个AppSec大师都有相同的技能,但许多人的典型工作包括与代码审查员和扫描工具合作,以确保程序和系统按照组织标准或相关行业和政府框架进行安全。然后他们写出关于他们的发现的报告,并发回关于可能破坏代码的攻击载体的信息。然后由开发人员进行必要的修复,无论这对当前的工作有多大的干扰。

情况之所以发展成这样,是因为多年来的普遍逻辑是,保护网络和应用程序的工作非常庞大,期望每个从事网络安全的人都能胜任每个角色是没有意义的。深度编码技能被留给了开发人员,而对编写或编辑开发管道中更远处的代码的能力则没有给予重视。

这种心态正在迅速改变,这为开发人员提供了一个独特的机会,使他们能够跳槽到AppSec,并实现职业转变。 不是每个开发人员都想拥抱所谓的黑暗面,许多开发人员对AppSec团队的意见并不特别积极。但对于那些愿意的人来说,现在是抓住这个越来越诱人的铜环的最好时机。

DevSecOps几乎推动了每个行业的发展

在任何组织中,提高安全意识的程序员和开发人员的价值的最大因素之一,是几乎普遍地接受更敏捷的开发实践,如DevSecOps。当开发、安全和运营结合在一起时,网络安全就会成为一种共同的责任,从头到尾融入新软件的开发。在这种环境下,编码能力越来越多地被看作是一种宝贵的资产,这对那些天生就懂得安全的工程师来说尤其如此。

一个不仅对网络安全有高度了解,而且还了解使一切运作的代码的应用安全专业人员,对任何组织来说都比那些知识集中在理论上的人更有价值。能够快速发现和评估代码中的漏洞,然后缓解这些问题,是DevSecOps如此受欢迎的核心原因。

在AppSec工作的开发人员还为任何雇用他们的组织带来另一个很大的优势。他们来自开发部门,因此很容易与开发人员讨论安全和漏洞问题。这也使得他们更容易成为开发团队的教练,帮助他们成为更好的编码者。随着时间的推移,他们甚至能够消除AppSec的 "黑暗面 "的污名,并帮助统一整个组织的软件开发团队。

网络安全技能短缺的情况越来越严重

莎士比亚曾说过,这是一股恶风,吹不动任何人。他的意思是,即使是最黑暗的情况也可能对某人有利。网络安全技能的短缺就是一个很好的例子。

几乎所有的地方都能敏锐地感受到人员的短缺。在战略与国际研究中心最近进行的一项调查中,82%的IT决策者表示,他们的组织遭受了网络安全技能的短缺,71%的人表示,这种短缺已经对他们的组织造成了直接和可衡量的损害。为了更好地看待这一危机,该报告指出,仅在美国,2020年就有超过52万个网络安全职位未被填补,而这一领域只有约94万名雇员。

对于试图保护其基础设施、业务和数据免受日益危险的威胁的组织来说,网络安全人员的短缺是个坏消息。但对于希望进入AppSec和安全领域的开发者来说,这也是一个好机会。机会是,网络安全和AppSec职位几乎到处都有。随着网络安全职位如今平均需要多花21%的时间来填补,工资也在全面上涨。

跃升至应用安全

对于开发人员来说,现在可能是最好的时机,让他们跳到生活中阳光灿烂的安全方面去,这是很有利可图的。有安全意识的开发人员不再被视为只是权宜之计的安全方法的一部分,而是作为网络安全防御者填补了一个完整和受尊重的角色。这对于那些接受了DevSecOps和其他更敏捷的开发方法的组织来说尤其如此。而网络安全人才的短缺意味着几乎每个公司、政府机构或组织都有职位。那些拥有正确技能的人可以选择他们想工作的地方。

转移到AppSec可能不适合每个人,当然,大多数开发人员将继续专注于构建惊人的功能。但对于那些正在考虑跳槽的人来说,投资于安全培训以增强他们现有的编码技能可以打开很多大门。最好的AppSec人员来自工程领域,因为他们深刻理解技术,并对其他开发者的困境感同身受。DevSecOps意味着无论如何现在每个人都要对安全负责,所以为什么不利用目前关键技能的短缺来推动你的职业生涯进入应用安全呢?现在是为你自己、你的家人和你的事业做出积极行动的最好时机。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发布日期:2021年10月29日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

虽然对任何在软件开发之外工作的人来说,这可能是反直觉的,但多年来,许多受雇于应用安全的专业人员都在这些关键岗位上工作,几乎没有编程经验。这些应用安全专业人员是团队的一部分,他们负责确保没有漏洞潜入已成为许多行业和组织命脉的应用程序,但他们中很少有人能真正直接评估或修复代码。 

许多安全专家不是来自编码背景,而是从围绕攻击载体、威胁、漏洞和商业风险的关键知识的角度来对待他们的角色;他们对代码的看法有限。虽然不是每个AppSec大师都有相同的技能,但许多人的典型工作包括与代码审查员和扫描工具合作,以确保程序和系统按照组织标准或相关行业和政府框架进行安全。然后他们写出关于他们的发现的报告,并发回关于可能破坏代码的攻击载体的信息。然后由开发人员进行必要的修复,无论这对当前的工作有多大的干扰。

情况之所以发展成这样,是因为多年来的普遍逻辑是,保护网络和应用程序的工作非常庞大,期望每个从事网络安全的人都能胜任每个角色是没有意义的。深度编码技能被留给了开发人员,而对编写或编辑开发管道中更远处的代码的能力则没有给予重视。

这种心态正在迅速改变,这为开发人员提供了一个独特的机会,使他们能够跳槽到AppSec,并实现职业转变。 不是每个开发人员都想拥抱所谓的黑暗面,许多开发人员对AppSec团队的意见并不特别积极。但对于那些愿意的人来说,现在是抓住这个越来越诱人的铜环的最好时机。

DevSecOps几乎推动了每个行业的发展

在任何组织中,提高安全意识的程序员和开发人员的价值的最大因素之一,是几乎普遍地接受更敏捷的开发实践,如DevSecOps。当开发、安全和运营结合在一起时,网络安全就会成为一种共同的责任,从头到尾融入新软件的开发。在这种环境下,编码能力越来越多地被看作是一种宝贵的资产,这对那些天生就懂得安全的工程师来说尤其如此。

一个不仅对网络安全有高度了解,而且还了解使一切运作的代码的应用安全专业人员,对任何组织来说都比那些知识集中在理论上的人更有价值。能够快速发现和评估代码中的漏洞,然后缓解这些问题,是DevSecOps如此受欢迎的核心原因。

在AppSec工作的开发人员还为任何雇用他们的组织带来另一个很大的优势。他们来自开发部门,因此很容易与开发人员讨论安全和漏洞问题。这也使得他们更容易成为开发团队的教练,帮助他们成为更好的编码者。随着时间的推移,他们甚至能够消除AppSec的 "黑暗面 "的污名,并帮助统一整个组织的软件开发团队。

网络安全技能短缺的情况越来越严重

莎士比亚曾说过,这是一股恶风,吹不动任何人。他的意思是,即使是最黑暗的情况也可能对某人有利。网络安全技能的短缺就是一个很好的例子。

几乎所有的地方都能敏锐地感受到人员的短缺。在战略与国际研究中心最近进行的一项调查中,82%的IT决策者表示,他们的组织遭受了网络安全技能的短缺,71%的人表示,这种短缺已经对他们的组织造成了直接和可衡量的损害。为了更好地看待这一危机,该报告指出,仅在美国,2020年就有超过52万个网络安全职位未被填补,而这一领域只有约94万名雇员。

对于试图保护其基础设施、业务和数据免受日益危险的威胁的组织来说,网络安全人员的短缺是个坏消息。但对于希望进入AppSec和安全领域的开发者来说,这也是一个好机会。机会是,网络安全和AppSec职位几乎到处都有。随着网络安全职位如今平均需要多花21%的时间来填补,工资也在全面上涨。

跃升至应用安全

对于开发人员来说,现在可能是最好的时机,让他们跳到生活中阳光灿烂的安全方面去,这是很有利可图的。有安全意识的开发人员不再被视为只是权宜之计的安全方法的一部分,而是作为网络安全防御者填补了一个完整和受尊重的角色。这对于那些接受了DevSecOps和其他更敏捷的开发方法的组织来说尤其如此。而网络安全人才的短缺意味着几乎每个公司、政府机构或组织都有职位。那些拥有正确技能的人可以选择他们想工作的地方。

转移到AppSec可能不适合每个人,当然,大多数开发人员将继续专注于构建惊人的功能。但对于那些正在考虑跳槽的人来说,投资于安全培训以增强他们现有的编码技能可以打开很多大门。最好的AppSec人员来自工程领域,因为他们深刻理解技术,并对其他开发者的困境感同身受。DevSecOps意味着无论如何现在每个人都要对安全负责,所以为什么不利用目前关键技能的短缺来推动你的职业生涯进入应用安全呢?现在是为你自己、你的家人和你的事业做出积极行动的最好时机。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心