每个开发者都应该向他们的潜在雇主提出的一百万美元的问题
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
现在,数据泄露的平均成本为360万美元。你的公司今年被入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员从大学毕业时并没有将安全编码和安全能力植入他们的DNA中。
为什么?软件工程仍然是一个相对年轻的职业。重点是教人们如何快速构建代码,使其优雅和实用,但对使代码安全的关注非常有限。方法论、技术、语言和机会的变化速度只会加剧这些关键技能的差距。
我们不可能迅速改变学术体系,所以开发者和公司都应该期望,开发者需要在工作中学习安全的编码技能。在一些职业中,你可以通过犯错来学习,但对其他职业来说,这不是一个选项。网络安全也是如此。
事实表明,我们的在职开发人员安全培训也没有做得很好。世界上大多数重大的安全漏洞都是由于编码错误,使黑客获得了计算机网络的权限,使他们能够访问和收获有价值的数据。2017年Verizon数据泄露调查报告(DBIR),显示30%的泄露事件是由网络应用程序安全的弱点直接造成的,这个结论自2013年以来在DBIR报告中是一致的。
2017年8月发布的2017年全球DevSecOps技能调查,证实了我们已经知道的事情:虽然65%的DevOps专业人士认为在进入IT行业时,拥有DevSecOps的知识非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近40%的受访招聘经理表示,最难找到的员工是具有足够安全测试知识的全能型高端开发人员。70%的受访者表示,他们所接受的安全教育并不能满足他们目前的职位需要。事实上,只有不到4%的人说他们根本没有得到机会。
当我花了近十年时间与多个专业白帽黑客团队合作时,我亲眼看到了这一点。我们以悲剧性的规律闯入大型企业、初创企业和政府部门;总是发现同样的弱点。
这就是为什么开发人员需要在你被雇用的时候说出来。如果你的未来雇主没有认真对待你的开发者安全培训,你应该考虑一下你正在考虑加入什么样的公司。
你应该问的第二个问题是他们计划如何提供。它是亲身实践和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论的开发人员安全培训不可能直接帮助你进行编码。他们是否能确保你能持续地了解最新的漏洞?是否有一个安全公会或社区可以让你学习?如果你需要帮助,是否有安全专家可以帮助你?
对你的安全编码技能的承诺需要通过特定编码框架的实践挑战来持续学习,让你在多个场景中面对不同的漏洞。你根本无法通过一个例子来学习SQL注入。你需要接触不同类型的多个例子,这样你才能学会识别这些危险的编码模式。
我们的一个客户要求他们的开发人员在两个月内每天进行一次挑战(5分钟)。它在培训期前后测试了他们的技能,并观察到在数百名开发人员中,安全编码能力提高了60%。这意味着在生命周期的后期,花在寻找和修复安全漏洞上的资源更少,并可长期节省大量资金。这意味着黑客不会利用你的代码来破坏你公司的数据。
根据IDC的研究,2014年世界上有1100万专业开发人员。2015年,Burning Glass发现有多达700万个工作职业需要编码技能,并且编程工作的平均增长速度比市场快12%。
外面有很多软件工作。因此,要表明立场,选择那些致力于照顾他们的安全、你的安全和他们客户的安全的雇主。 推而广之,选择那些投资于你的公司。
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。


有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
现在,数据泄露的平均成本为360万美元。你的公司今年被入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员从大学毕业时并没有将安全编码和安全能力植入他们的DNA中。
为什么?软件工程仍然是一个相对年轻的职业。重点是教人们如何快速构建代码,使其优雅和实用,但对使代码安全的关注非常有限。方法论、技术、语言和机会的变化速度只会加剧这些关键技能的差距。
我们不可能迅速改变学术体系,所以开发者和公司都应该期望,开发者需要在工作中学习安全的编码技能。在一些职业中,你可以通过犯错来学习,但对其他职业来说,这不是一个选项。网络安全也是如此。
事实表明,我们的在职开发人员安全培训也没有做得很好。世界上大多数重大的安全漏洞都是由于编码错误,使黑客获得了计算机网络的权限,使他们能够访问和收获有价值的数据。2017年Verizon数据泄露调查报告(DBIR),显示30%的泄露事件是由网络应用程序安全的弱点直接造成的,这个结论自2013年以来在DBIR报告中是一致的。
2017年8月发布的2017年全球DevSecOps技能调查,证实了我们已经知道的事情:虽然65%的DevOps专业人士认为在进入IT行业时,拥有DevSecOps的知识非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近40%的受访招聘经理表示,最难找到的员工是具有足够安全测试知识的全能型高端开发人员。70%的受访者表示,他们所接受的安全教育并不能满足他们目前的职位需要。事实上,只有不到4%的人说他们根本没有得到机会。
当我花了近十年时间与多个专业白帽黑客团队合作时,我亲眼看到了这一点。我们以悲剧性的规律闯入大型企业、初创企业和政府部门;总是发现同样的弱点。
这就是为什么开发人员需要在你被雇用的时候说出来。如果你的未来雇主没有认真对待你的开发者安全培训,你应该考虑一下你正在考虑加入什么样的公司。
你应该问的第二个问题是他们计划如何提供。它是亲身实践和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论的开发人员安全培训不可能直接帮助你进行编码。他们是否能确保你能持续地了解最新的漏洞?是否有一个安全公会或社区可以让你学习?如果你需要帮助,是否有安全专家可以帮助你?
对你的安全编码技能的承诺需要通过特定编码框架的实践挑战来持续学习,让你在多个场景中面对不同的漏洞。你根本无法通过一个例子来学习SQL注入。你需要接触不同类型的多个例子,这样你才能学会识别这些危险的编码模式。
我们的一个客户要求他们的开发人员在两个月内每天进行一次挑战(5分钟)。它在培训期前后测试了他们的技能,并观察到在数百名开发人员中,安全编码能力提高了60%。这意味着在生命周期的后期,花在寻找和修复安全漏洞上的资源更少,并可长期节省大量资金。这意味着黑客不会利用你的代码来破坏你公司的数据。
根据IDC的研究,2014年世界上有1100万专业开发人员。2015年,Burning Glass发现有多达700万个工作职业需要编码技能,并且编程工作的平均增长速度比市场快12%。
外面有很多软件工作。因此,要表明立场,选择那些致力于照顾他们的安全、你的安全和他们客户的安全的雇主。 推而广之,选择那些投资于你的公司。
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?

有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
现在,数据泄露的平均成本为360万美元。你的公司今年被入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员从大学毕业时并没有将安全编码和安全能力植入他们的DNA中。
为什么?软件工程仍然是一个相对年轻的职业。重点是教人们如何快速构建代码,使其优雅和实用,但对使代码安全的关注非常有限。方法论、技术、语言和机会的变化速度只会加剧这些关键技能的差距。
我们不可能迅速改变学术体系,所以开发者和公司都应该期望,开发者需要在工作中学习安全的编码技能。在一些职业中,你可以通过犯错来学习,但对其他职业来说,这不是一个选项。网络安全也是如此。
事实表明,我们的在职开发人员安全培训也没有做得很好。世界上大多数重大的安全漏洞都是由于编码错误,使黑客获得了计算机网络的权限,使他们能够访问和收获有价值的数据。2017年Verizon数据泄露调查报告(DBIR),显示30%的泄露事件是由网络应用程序安全的弱点直接造成的,这个结论自2013年以来在DBIR报告中是一致的。
2017年8月发布的2017年全球DevSecOps技能调查,证实了我们已经知道的事情:虽然65%的DevOps专业人士认为在进入IT行业时,拥有DevSecOps的知识非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近40%的受访招聘经理表示,最难找到的员工是具有足够安全测试知识的全能型高端开发人员。70%的受访者表示,他们所接受的安全教育并不能满足他们目前的职位需要。事实上,只有不到4%的人说他们根本没有得到机会。
当我花了近十年时间与多个专业白帽黑客团队合作时,我亲眼看到了这一点。我们以悲剧性的规律闯入大型企业、初创企业和政府部门;总是发现同样的弱点。
这就是为什么开发人员需要在你被雇用的时候说出来。如果你的未来雇主没有认真对待你的开发者安全培训,你应该考虑一下你正在考虑加入什么样的公司。
你应该问的第二个问题是他们计划如何提供。它是亲身实践和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论的开发人员安全培训不可能直接帮助你进行编码。他们是否能确保你能持续地了解最新的漏洞?是否有一个安全公会或社区可以让你学习?如果你需要帮助,是否有安全专家可以帮助你?
对你的安全编码技能的承诺需要通过特定编码框架的实践挑战来持续学习,让你在多个场景中面对不同的漏洞。你根本无法通过一个例子来学习SQL注入。你需要接触不同类型的多个例子,这样你才能学会识别这些危险的编码模式。
我们的一个客户要求他们的开发人员在两个月内每天进行一次挑战(5分钟)。它在培训期前后测试了他们的技能,并观察到在数百名开发人员中,安全编码能力提高了60%。这意味着在生命周期的后期,花在寻找和修复安全漏洞上的资源更少,并可长期节省大量资金。这意味着黑客不会利用你的代码来破坏你公司的数据。
根据IDC的研究,2014年世界上有1100万专业开发人员。2015年,Burning Glass发现有多达700万个工作职业需要编码技能,并且编程工作的平均增长速度比市场快12%。
外面有很多软件工作。因此,要表明立场,选择那些致力于照顾他们的安全、你的安全和他们客户的安全的雇主。 推而广之,选择那些投资于你的公司。
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?

点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
现在,数据泄露的平均成本为360万美元。你的公司今年被入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员从大学毕业时并没有将安全编码和安全能力植入他们的DNA中。
为什么?软件工程仍然是一个相对年轻的职业。重点是教人们如何快速构建代码,使其优雅和实用,但对使代码安全的关注非常有限。方法论、技术、语言和机会的变化速度只会加剧这些关键技能的差距。
我们不可能迅速改变学术体系,所以开发者和公司都应该期望,开发者需要在工作中学习安全的编码技能。在一些职业中,你可以通过犯错来学习,但对其他职业来说,这不是一个选项。网络安全也是如此。
事实表明,我们的在职开发人员安全培训也没有做得很好。世界上大多数重大的安全漏洞都是由于编码错误,使黑客获得了计算机网络的权限,使他们能够访问和收获有价值的数据。2017年Verizon数据泄露调查报告(DBIR),显示30%的泄露事件是由网络应用程序安全的弱点直接造成的,这个结论自2013年以来在DBIR报告中是一致的。
2017年8月发布的2017年全球DevSecOps技能调查,证实了我们已经知道的事情:虽然65%的DevOps专业人士认为在进入IT行业时,拥有DevSecOps的知识非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近40%的受访招聘经理表示,最难找到的员工是具有足够安全测试知识的全能型高端开发人员。70%的受访者表示,他们所接受的安全教育并不能满足他们目前的职位需要。事实上,只有不到4%的人说他们根本没有得到机会。
当我花了近十年时间与多个专业白帽黑客团队合作时,我亲眼看到了这一点。我们以悲剧性的规律闯入大型企业、初创企业和政府部门;总是发现同样的弱点。
这就是为什么开发人员需要在你被雇用的时候说出来。如果你的未来雇主没有认真对待你的开发者安全培训,你应该考虑一下你正在考虑加入什么样的公司。
你应该问的第二个问题是他们计划如何提供。它是亲身实践和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论的开发人员安全培训不可能直接帮助你进行编码。他们是否能确保你能持续地了解最新的漏洞?是否有一个安全公会或社区可以让你学习?如果你需要帮助,是否有安全专家可以帮助你?
对你的安全编码技能的承诺需要通过特定编码框架的实践挑战来持续学习,让你在多个场景中面对不同的漏洞。你根本无法通过一个例子来学习SQL注入。你需要接触不同类型的多个例子,这样你才能学会识别这些危险的编码模式。
我们的一个客户要求他们的开发人员在两个月内每天进行一次挑战(5分钟)。它在培训期前后测试了他们的技能,并观察到在数百名开发人员中,安全编码能力提高了60%。这意味着在生命周期的后期,花在寻找和修复安全漏洞上的资源更少,并可长期节省大量资金。这意味着黑客不会利用你的代码来破坏你公司的数据。
根据IDC的研究,2014年世界上有1100万专业开发人员。2015年,Burning Glass发现有多达700万个工作职业需要编码技能,并且编程工作的平均增长速度比市场快12%。
外面有很多软件工作。因此,要表明立场,选择那些致力于照顾他们的安全、你的安全和他们客户的安全的雇主。 推而广之,选择那些投资于你的公司。
有一个问题是需要每个开发者问的,无论你是毕业生还是老手。而答案很重要。在敏捷的世界里,这个问题变得更加重要,因为它将直接影响你在软件工程方面的成功,以及你对你的下一个雇主的价值。
这是一个百万美元的问题。事实上,这是个价值几百万美元的问题!
你是否致力于帮助我安全地编码?
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。