利用可重复的安全编码技能向左转(并实现合规)。
如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。
合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。
虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。
为什么?
2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。
关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。
一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。
编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。
合规和安全培训很重要,但不同
组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。
他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。
因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。
相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。
如何实现向开发者驱动的安全转变?
开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。
23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。
很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。
通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。
无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。
进一步阅读
白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。
如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规性要求,那么它的员工就不能现实地履行他们的职责。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。
合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。
虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。
为什么?
2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。
关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。
一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。
编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。
合规和安全培训很重要,但不同
组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。
他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。
因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。
相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。
如何实现向开发者驱动的安全转变?
开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。
23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。
很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。
通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。
无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。
进一步阅读
白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。
如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。
合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。
虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。
为什么?
2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。
关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。
一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。
编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。
合规和安全培训很重要,但不同
组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。
他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。
因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。
相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。
如何实现向开发者驱动的安全转变?
开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。
23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。
很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。
通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。
无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。
进一步阅读
白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。
合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。
虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。
为什么?
2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。
关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。
一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。
编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。
合规和安全培训很重要,但不同
组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。
他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。
因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。
相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。
如何实现向开发者驱动的安全转变?
开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。
23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。
很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。
通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。
无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。
进一步阅读
白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
