安全 "不是一个肮脏的词:积极的方法将如何改变你的安全计划
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
