将重点从被动转向主动,以人为主导的安全编码
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在人和业务的影响中浑浑噩噩。但现在一项新的研究指出了一个新的、以人为本的方向。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
