利用可重复的安全编码技能向左转(并实现合规)。

发表于2022年11月10日
由Secure Code Warrior
案例研究

利用可重复的安全编码技能向左转(并实现合规)。

发表于2022年11月10日
由Secure Code Warrior
查看资源
查看资源

如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。

合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。

虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。

为什么?

2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。

关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。

一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。

编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。

合规和安全培训很重要,但不同

组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。

他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。

因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。

相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。

如何实现向开发者驱动的安全转变?

开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。

23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。

很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。

通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。

无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。

进一步阅读

白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。
查看资源
查看资源

作者

Secure Code Warrior

Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

利用可重复的安全编码技能向左转(并实现合规)。

发表于2022年11月10日
通过Secure Code Warrior

如今,几乎每个开发团队都采用了某种形式的合规性培训,无论是用于确保公司在行业框架或政府法规范围内的初始认证过程的一部分,还是作为年度要求或审查的一部分。这是一个重要的步骤,因为如果一个组织不能满足基本的合规要求,那么它的员工就不能现实地履行他们的职责。

合规规则的存在是有原因的,因为在这些规则所涵盖的领域内工作的任何人都必须至少对所有相关的过程和程序以及任何适用的法律有一个基本的了解。

虽然合规培训很重要,但完成规定的最低要求并不能确保真正的应用安全。对于试图将安全编码技能融入日常工作流程的开发人员来说,这一点尤其重要。几乎每个开发人员都接受了某种形式的合规性培训,但在接受调查时,67%的人承认,他们经常在代码中留下漏洞。

为什么?

2021年12月,Secure Code Warrior ,与埃文斯数据公司合作进行了 "2022年开发者驱动的安全状况调查",这是第二年。我们在全球范围内调查了1200名开发人员,以了解安全编码实践时的技能、看法和行为,以及它们在软件开发生命周期(SDLC)中的影响和感知的相关性。

关于为什么合规性培训没有达到提高软件安全的目的,这是一个我们已经讨论了很久的问题。最近的调查只是点出了这个问题。

一方面,开发人员被要求加强新的角色,将网络安全纳入整个软件开发过程,包括在他们最初为应用程序和程序编写代码时。但是,编写安全代码,甚至只是了解所有可能影响它的网络安全问题和漏洞,并不是一件容易的事。在调查中,63%的开发人员表示,编写安全代码是一项困难的任务。

编写安全代码的难度不应该是一个惊喜。这么多高薪的网络安全工作没有得到满足是有原因的,据统计,全球有超过350万个职位空缺。如果它是容易的工作,每个人都会跳进这个领域。学习如何打击威胁和消除代码中的漏洞是很困难的,而且威胁的情况也在不断变化。静态合规培训或一次性课程无法跟上或提供开发人员所需的教育。它可能会在合规性方面打勾,但不能为你的组织提供真正的应用安全保证,或使开发人员能够编写安全的代码,或发现和修复代码漏洞的技能。

合规和安全培训很重要,但不同

组织必须开始意识到并承认合规性培训能做什么,以及不能做什么。不要放弃合规性培训,尤其是在法律规定的情况下。尤其是因为(即使采用目前的培训方法)92%的调查对象表示,他们至少需要一些与合规性有关的问题或安全框架的培训,其中50%强调需要大量的合规性培训。

他们对培训最感兴趣的合规性框架包括那些针对不同行业的框架,尽管一些一般的网络安全框架也在名单上。它们包括CIS安全框架、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、健康保险可携性和责任法案(HIPAA)以及其他。

因此,是的,在这些框架中进行培训,但要明白,在合规性培训上打勾并不等同于为持续创建安全代码提供基础。

相反,将合规性培训视为扩展开发人员安全编码技能的持续机会的一部分,可以在合规性周期之外重复进行,这样他们就可以每天创建和发布安全软件。将优先权从实现合规性转移到使开发团队能够通过持续学习进行安全编码。通过投入时间和资源给开发人员,那么那些每年的复选框合规性练习或考试对你的员工来说将变得轻而易举地通过和完成,同时受益于整体生产力的提高。

如何实现向开发者驱动的安全转变?

开发人员绝大多数都说培训是有价值的,但对他们多年来接受的安全编码培训的类型有异议。开发人员说,他们希望看到更多的强调使用与他们工作相关的真实世界的例子的实际培训(30%)。26%的受访者认为更多的互动性也是至关重要的,特别是如果他们能够实际练习编写安全代码作为这些练习的一部分。

23%的受访开发者认为,希望接受更多的指导性培训,专注于他们在行业或部门中最有可能遇到的特定漏洞,而22%的人希望在培训中看到更多真实世界的漏洞案例courses 。

很明显,简单地提供静态的、非互动的培训(这通常是合规性培训的经验)在可重复的开发人员安全技能方面没有什么价值。相反,企业应该把重点放在及时培训等方面,让开发人员在工作中学习安全知识。你甚至可以考虑实施一个分层的学习计划。

通过分层方法,较大的主题通常被分解成独立的学习经验或概念。随着开发人员的进步,更高级的概念被分层在那些已经掌握的概念之上,就像物理脚手架随着建筑物的升高而被建造。这使得像网络安全这样困难且不断发展的主题的教学成为一种行之有效的方法,首先将其分解成较小的、不那么复杂的块状,然后在此基础上建立更多的复杂性。

无论你决定如何处理你的开发人员安全技能计划,将其与合规性练习分开将是关键。合规性和安全培训都很重要,但两者都需要不同的方法来获得成功。

进一步阅读

白皮书。改善软件安全的挑战(和机遇)。
白皮书。软件安全的预防性开发者方法。
报告。开发者驱动的安全状况。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。