博客

安全 "不是一个肮脏的词:积极的方法将如何改变你的安全计划

Jaap Karan Singh
2019年4月17日发布

原文发表于 报道.

我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。

这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。

安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。

但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。

迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。

谁知道呢?他们甚至可能像我一样爱上它!

正面安全是提高应用安全的最快和最简单的方法

不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。

开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。

修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。

积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。

查看资源
查看资源

我曾经站在围栏的两边,我非常清楚当涉及到维护安全的最佳实践时,开发团队和AppSec专家之间可能出现的紧张关系。然而,有一种更好的方法。

想了解更多信息?

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
Jaap Karan Singh
2019年4月17日发布

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

分享到

原文发表于 报道.

我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。

这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。

安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。

但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。

迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。

谁知道呢?他们甚至可能像我一样爱上它!

正面安全是提高应用安全的最快和最简单的方法

不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。

开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。

修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。

积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

原文发表于 报道.

我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。

这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。

安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。

但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。

迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。

谁知道呢?他们甚至可能像我一样爱上它!

正面安全是提高应用安全的最快和最简单的方法

不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。

开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。

修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。

积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
Jaap Karan Singh
2019年4月17日发布

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

分享到

原文发表于 报道.

我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。

这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。

安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。

但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。

迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。

谁知道呢?他们甚至可能像我一样爱上它!

正面安全是提高应用安全的最快和最简单的方法

不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。

开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。

修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。

积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。

目录

下载PDF
查看资源
想了解更多信息?

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心