将重点从被动转向主动,以人为主导的安全编码
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在人和业务的影响中浑浑噩噩。但现在一项新的研究指出了一个新的、以人为本的方向。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
