从反应到预防的转变
因此,我认为我们在软件开发和安全方面所面临的挑战之一是,在过去的20年里,我们一直看到相同的或当前的软件漏洞。无论你是使用静态代码分析,还是使用漏洞评估,或者渗透测试,同样的问题在不同的技术和代码的不同部分重新出现。
我认为我们面临的第二个挑战是,无论你是使用静态代码分析还是使用漏洞评估和渗透测试,这些技术往往只指出了一个问题,而没有真正给你实际的实践解决方案和如何修复问题。我认为这就是为什么我们需要从反应到预防的原因之一,因为我们知道不仅要防止软件安全问题的再次发生,而且还要在软件开发周期中真正快速地解决它们。
因此,在Secure Code Warrior ,我们真正试图做的事情之一是融入开发人员的开发过程和工具,因为我们希望与软件开发人员有高度的相关性,并与他们的背景相关。我们希望在那里帮助他们指导和引导实际问题。一个例子是与票务系统的整合。我们希望在票务系统中,当一个安全漏洞被提出时,无论是静态代码分析工具,还是关于笔测试,我们都希望在那里,与开发人员一起提供一些相关的编码模式和信息,告诉他们现在如何能用你的特定编码语言快速修复这个问题。通过这种方式,我们想让自己真正成为一个有背景的人,并在开发者真正需要的时候出现在他或她身边。有了像sensei 这样的技术,我们实际上想在开发人员的IDE中实现上下文。当我们注意到一个新员工或初级开发人员正在进行或使用会导致安全漏洞的编码做法时,我们实际上想在那里,不仅检测问题并当场培训他们,而且我们想为他们提供如何快速修复的指导,甚至在他们的IDE中为他们自动重写代码。因此,以这种方式,我们想成为超相关的背景,并为开发人员提供他们自己的编码语言的解决方案,以便在他们的团队中修复和产生安全代码。
因此,我们的最终目标是在开发人员的DNA中建立安全。我们不想向左转,我们正在向左开始。我们想帮助开发者,让他们从一开始就能写出安全的代码。这就是为什么我们建立了一个环境,提供实践性的游戏化和有趣的学习经验,这些都是针对开发人员使用的编码和语言。因为我们想让安全成为一种建设,一种积极和有趣的经验,让他们能够快速地写出安全的代码。
那么,为什么开发人员喜欢Secure Code Warrior ?首先,因为我们基本上帮助他们提高自己的编码语言和框架的技能,无论你是一个用react编码的前端开发者,还是一个做Java或swift的移动开发者,甚至是专注于COBOL、RPG或Java和C#的老派开发者,我们基本上都建立了一个特定编码语言和框架的内容库,所以我们可以以实用的方式帮助你,了解并使安全问题不再可怕,而且是真正有趣的学习内容。

因此,我认为我们在软件开发和安全方面所面临的挑战之一是,在过去的20年里,我们一直看到相同的或当前的软件漏洞。无论你是使用静态代码分析,还是使用漏洞评估,或者渗透测试,同样的问题在不同的技术和代码的不同部分重新出现。
我认为我们面临的第二个挑战是,无论你是使用静态代码分析还是使用漏洞评估和渗透测试,这些技术往往只指出了一个问题,而没有真正给你实际的实践解决方案和如何修复问题。我认为这就是为什么我们需要从反应到预防的原因之一,因为我们知道不仅要防止软件安全问题的再次发生,而且还要在软件开发周期中真正快速地解决它们。
因此,在Secure Code Warrior ,我们真正试图做的事情之一是融入开发人员的开发过程和工具,因为我们希望与软件开发人员有高度的相关性,并与他们的背景相关。我们希望在那里帮助他们指导和引导实际问题。一个例子是与票务系统的整合。我们希望在票务系统中,当一个安全漏洞被提出时,无论是静态代码分析工具,还是关于笔测试,我们都希望在那里,与开发人员一起提供一些相关的编码模式和信息,告诉他们现在如何能用你的特定编码语言快速修复这个问题。通过这种方式,我们想让自己真正成为一个有背景的人,并在开发者真正需要的时候出现在他或她身边。有了像sensei 这样的技术,我们实际上想在开发人员的IDE中实现上下文。当我们注意到一个新员工或初级开发人员正在进行或使用会导致安全漏洞的编码做法时,我们实际上想在那里,不仅检测问题并当场培训他们,而且我们想为他们提供如何快速修复的指导,甚至在他们的IDE中为他们自动重写代码。因此,以这种方式,我们想成为超相关的背景,并为开发人员提供他们自己的编码语言的解决方案,以便在他们的团队中修复和产生安全代码。
因此,我们的最终目标是在开发人员的DNA中建立安全。我们不想向左转,我们正在向左开始。我们想帮助开发者,让他们从一开始就能写出安全的代码。这就是为什么我们建立了一个环境,提供实践性的游戏化和有趣的学习经验,这些都是针对开发人员使用的编码和语言。因为我们想让安全成为一种建设,一种积极和有趣的经验,让他们能够快速地写出安全的代码。
那么,为什么开发人员喜欢Secure Code Warrior ?首先,因为我们基本上帮助他们提高自己的编码语言和框架的技能,无论你是一个用react编码的前端开发者,还是一个做Java或swift的移动开发者,甚至是专注于COBOL、RPG或Java和C#的老派开发者,我们基本上都建立了一个特定编码语言和框架的内容库,所以我们可以以实用的方式帮助你,了解并使安全问题不再可怕,而且是真正有趣的学习内容。
因此,我认为我们在软件开发和安全方面所面临的挑战之一是,在过去的20年里,我们一直看到相同的或当前的软件漏洞。无论你是使用静态代码分析,还是使用漏洞评估,或者渗透测试,同样的问题在不同的技术和代码的不同部分重新出现。
我认为我们面临的第二个挑战是,无论你是使用静态代码分析还是使用漏洞评估和渗透测试,这些技术往往只指出了一个问题,而没有真正给你实际的实践解决方案和如何修复问题。我认为这就是为什么我们需要从反应到预防的原因之一,因为我们知道不仅要防止软件安全问题的再次发生,而且还要在软件开发周期中真正快速地解决它们。
因此,在Secure Code Warrior ,我们真正试图做的事情之一是融入开发人员的开发过程和工具,因为我们希望与软件开发人员有高度的相关性,并与他们的背景相关。我们希望在那里帮助他们指导和引导实际问题。一个例子是与票务系统的整合。我们希望在票务系统中,当一个安全漏洞被提出时,无论是静态代码分析工具,还是关于笔测试,我们都希望在那里,与开发人员一起提供一些相关的编码模式和信息,告诉他们现在如何能用你的特定编码语言快速修复这个问题。通过这种方式,我们想让自己真正成为一个有背景的人,并在开发者真正需要的时候出现在他或她身边。有了像sensei 这样的技术,我们实际上想在开发人员的IDE中实现上下文。当我们注意到一个新员工或初级开发人员正在进行或使用会导致安全漏洞的编码做法时,我们实际上想在那里,不仅检测问题并当场培训他们,而且我们想为他们提供如何快速修复的指导,甚至在他们的IDE中为他们自动重写代码。因此,以这种方式,我们想成为超相关的背景,并为开发人员提供他们自己的编码语言的解决方案,以便在他们的团队中修复和产生安全代码。
因此,我们的最终目标是在开发人员的DNA中建立安全。我们不想向左转,我们正在向左开始。我们想帮助开发者,让他们从一开始就能写出安全的代码。这就是为什么我们建立了一个环境,提供实践性的游戏化和有趣的学习经验,这些都是针对开发人员使用的编码和语言。因为我们想让安全成为一种建设,一种积极和有趣的经验,让他们能够快速地写出安全的代码。
那么,为什么开发人员喜欢Secure Code Warrior ?首先,因为我们基本上帮助他们提高自己的编码语言和框架的技能,无论你是一个用react编码的前端开发者,还是一个做Java或swift的移动开发者,甚至是专注于COBOL、RPG或Java和C#的老派开发者,我们基本上都建立了一个特定编码语言和框架的内容库,所以我们可以以实用的方式帮助你,了解并使安全问题不再可怕,而且是真正有趣的学习内容。
因此,我认为我们在软件开发和安全方面所面临的挑战之一是,在过去的20年里,我们一直看到相同的或当前的软件漏洞。无论你是使用静态代码分析,还是使用漏洞评估,或者渗透测试,同样的问题在不同的技术和代码的不同部分重新出现。
我认为我们面临的第二个挑战是,无论你是使用静态代码分析还是使用漏洞评估和渗透测试,这些技术往往只指出了一个问题,而没有真正给你实际的实践解决方案和如何修复问题。我认为这就是为什么我们需要从反应到预防的原因之一,因为我们知道不仅要防止软件安全问题的再次发生,而且还要在软件开发周期中真正快速地解决它们。
因此,在Secure Code Warrior ,我们真正试图做的事情之一是融入开发人员的开发过程和工具,因为我们希望与软件开发人员有高度的相关性,并与他们的背景相关。我们希望在那里帮助他们指导和引导实际问题。一个例子是与票务系统的整合。我们希望在票务系统中,当一个安全漏洞被提出时,无论是静态代码分析工具,还是关于笔测试,我们都希望在那里,与开发人员一起提供一些相关的编码模式和信息,告诉他们现在如何能用你的特定编码语言快速修复这个问题。通过这种方式,我们想让自己真正成为一个有背景的人,并在开发者真正需要的时候出现在他或她身边。有了像sensei 这样的技术,我们实际上想在开发人员的IDE中实现上下文。当我们注意到一个新员工或初级开发人员正在进行或使用会导致安全漏洞的编码做法时,我们实际上想在那里,不仅检测问题并当场培训他们,而且我们想为他们提供如何快速修复的指导,甚至在他们的IDE中为他们自动重写代码。因此,以这种方式,我们想成为超相关的背景,并为开发人员提供他们自己的编码语言的解决方案,以便在他们的团队中修复和产生安全代码。
因此,我们的最终目标是在开发人员的DNA中建立安全。我们不想向左转,我们正在向左开始。我们想帮助开发者,让他们从一开始就能写出安全的代码。这就是为什么我们建立了一个环境,提供实践性的游戏化和有趣的学习经验,这些都是针对开发人员使用的编码和语言。因为我们想让安全成为一种建设,一种积极和有趣的经验,让他们能够快速地写出安全的代码。
那么,为什么开发人员喜欢Secure Code Warrior ?首先,因为我们基本上帮助他们提高自己的编码语言和框架的技能,无论你是一个用react编码的前端开发者,还是一个做Java或swift的移动开发者,甚至是专注于COBOL、RPG或Java和C#的老派开发者,我们基本上都建立了一个特定编码语言和框架的内容库,所以我们可以以实用的方式帮助你,了解并使安全问题不再可怕,而且是真正有趣的学习内容。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。