向左移位
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果一个开发者在用JavaScript编码时写了一个跨站脚本错误,而他们能够在创造这个缺陷的几分钟内发现这个错误,那么它很可能只需要几分钟或几秒钟就能修复。
而如果这个缺陷在两周后被人工测试人员发现,那么它就会被输入到缺陷跟踪系统中。它将被分流。它将被放入某人的错误队列中。
随着鉴定的延迟,它将不得不在原来的背景下进行研究,并将放慢发展速度。现在,你有可能说要花几个小时的时间来修复同一个缺陷。也许要花10倍或100倍的时间的规模
我非常同意Chris Wysopal(Veracode的首席技术官)在他最近与O'Reilly Security Podcast的播客中的观点,他解释了为什么在敏捷环境中,将安全转移到左边(在开发生命周期的开始阶段转移到开发人员)是保持步伐和速度的关键。
应该通过使用IDE插件、扫描器和教育他们掌握基本的安全技能(卫生),使安全对开发者来说变得简单。组织不应该仅仅依靠安全专家或一个集中的安全团队来验证所有的变化。
我们典型的安全操作方式被打破了(叫专家来!),我们需要将安全融入开发团队,以确保在保持敏捷性的同时保持质量。
资源
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
%20(1).avif)
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
