开发者驱动的安全的投资回报率
拙劣代码的代价
技术的飞跃使开发人员比以往任何时候都更容易以更快的速度交付代码。这对创新来说是令人振奋的,但当涉及到提高软件的质量和安全性时,却令人生畏。如果要保持代码交付的速度,证明额外的工具、培训计划和提高开发人员技能的投资是合理的,这似乎是一个 "不错的选择",而不是一个关键的业务功能。
运送代码的速度可能变得更快,但不幸的是,运送安全的代码并不容易,这使得企业比以往更容易受到威胁。在全球范围内,网络犯罪的成本是惊人的,而且正在迅速增加。事实上,在2020年,网络犯罪的成本约为1万亿美元。平均而言,数据泄露的成本为435万美元--包括现有客户和潜在客户的业务损失,以及处理检测、升级和返工的资源。
尽管有这些天文数字的成本,超过一半的组织没有要求开发人员每年进行正式的安全代码培训。
安全专家们都知道,在寻找和修复漏洞时,感觉就像在玩打地鼠的游戏。即使你已经有了一个带有修复策略的安全计划,也总是有机会改进。大多数组织发现,当他们的灾难恢复或备份能力受到考验时,他们的安全方法并不像他们曾经想象的那样强大。如果加强你的组织对网络攻击的恢复能力是你的首要任务之一,那么把留给你的开发人员的视角转移到你的计划之内,以继续改善你的安全态势。一个熟练的、被授权的开发者团队,从一开始就构建安全的代码,并有足够的知识来快速定位和修复漏洞,是你减轻风险的最经济的手段。
谈到开发者教育,一个误区是它只是企业的成本,甚至是一种保险政策。安联公司DevSec意识宣讲员Klaus Klinger认为,"整个事情必须从管理层的头脑开始。投资于开发人员的培训不是一项损失的投资,而是对质量、生产力和公司声誉的投资"。
在这个领域,投资回报率往往难以量化,但最终企业应该考虑的是他们的安全态势如何帮助他们降低风险,简化方法,并为他们的开发团队节省时间和生产力。
如何量化网络安全成本的投资回报率?
当涉及到投资回报率时,重要的是要在两个不同的框架内考虑它:减轻风险的成本节约与你的安全培训的影响。
让我们考虑一下这个太常见的例子:一个漏洞或漏洞导致一个电子商务网站被迫离线数天,而其团队正在寻找问题和如何修复它。未能补救的成本可以量化为中断期间的收入损失、被盗凭证的影响、客户信任的丧失(导致长期的销售减少),以及修复问题时的整体生产力损失。
这实际上可以归结为一个成本/效益分析。你要评估的关键领域是你公司的安全成熟度,你公司的风险接受程度,以及你的代码中需要维护或改进的地方。
人们经常关注错误的指标来确定成功和价值。也许我们应该少关注项目初始投资的回报,而是要衡量项目本身的影响 。
证明影响的措施
为了建立投资回报率,你必须建立可衡量的目标。这首先要评估你的开发人员的安全编码知识,了解他们在哪些方面需要增长技能。
一个起点是衡量参与度,以帮助你做出战略决策,即如何建立更丰富的培训项目。最重要的是--衡量影响。首先,在你开始在每个团队进行培训计划之前,通过代码分析、bug赏金或经典的漏洞测试,看看在软件开发生命周期中被发现的弱点数量。要知道你的培训计划是否达到了预期的效果,最简单的方法之一就是测量被引入到代码库中的漏洞的总体减少情况。
评估投资回报率的首要问题。
1.我们是否简化了我们的方法?
你是向问题投掷更多的工具,还是从根本上解决问题?在你的技术堆栈中增加更多的工具会产生一种 "瑞士奶酪 "的方法来寻找和修复漏洞。它们还增加了运营成本,而对许多漏洞的源头--代码却没有什么影响。尽管扫描和测试工具绝对应该是你武器库的一部分,但它们不应该是你的最后一道防线。
2.我们是否提高了效率和生产力?
花费在详尽的代码审查和从AppSec发回的代码的重做上的时间会导致生产力的重大损失。通过授权并让开发人员团队亲身参与安全代码培训来减少消防演习,应该是评估你的安全计划的积极影响的良好基准。
3.我们是否降低了风险?
寻找和修复一个漏洞就像解决一个大难题,有时需要几天、几周甚至几个月的时间才能完成一个强大的解决方案。赋予开发者在源头上拥有修复的权力,可以让AppSec专注于风险监控和加强组织的安全态势。
4.我们是否在提高速度(但仍然保持质量)?
快速发送代码并不总是一件好事。偷工减料和在代码中引入漏洞会在未来造成许多麻烦,并积累技术债务。短期思维在这里不是答案。人们可以通过从一开始就保护他们的代码来减少风险,这样问题就不会在未来变得复杂。
建议跟踪的指标。
- 参与度--你为培训预算了多少时间,开发人员如何参与?他们是否完成了courses 、评估,并参与了tournaments ?
- 技能--优势领域在哪里?你确定哪些领域需要改进?
- 漏洞的减少--你是否注意到在代码审查期间漏洞的明显减少?你是否看到AppSec回来的返工减少了?
- 生产率--补救一个问题需要多长时间?你是否注意到随着漏洞的减少,生产力或速度有所提高?
通过左移创造价值
违规行为和漏洞每年都在迅速增加。重要的是开始积极主动地建立一个整体的安全方法--首先从你的代码开始。这将有助于。
- 通过投资于你最有价值的资源--你的员工来降低复杂性,而不是把钱扔在那些只能解决部分问题的工具上。
- 通过限制通常由AppSec在代码部署后发现的返工或修复,来提高效率和整体效益。
- 降低风险,实现合规性,避免昂贵的罚款,失去客户的信任,或者更糟糕的是--数据泄露的代价。
避免短期思维和快速修复。它们只能导致技术债务和更多的成本。通过利用提高技能的力量,使你的开发人员成为防止漏洞和网络犯罪的最佳防线,并看到自己的影响和成本节约,从而进行长期规划。
有兴趣了解更多吗?
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
Secure Code Warrior
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
开发者驱动的安全的投资回报率
拙劣代码的代价
技术的飞跃使开发人员比以往任何时候都更容易以更快的速度交付代码。这对创新来说是令人振奋的,但当涉及到提高软件的质量和安全性时,却令人生畏。如果要保持代码交付的速度,证明额外的工具、培训计划和提高开发人员技能的投资是合理的,这似乎是一个 "不错的选择",而不是一个关键的业务功能。
运送代码的速度可能变得更快,但不幸的是,运送安全的代码并不容易,这使得企业比以往更容易受到威胁。在全球范围内,网络犯罪的成本是惊人的,而且正在迅速增加。事实上,在2020年,网络犯罪的成本约为1万亿美元。平均而言,数据泄露的成本为435万美元--包括现有客户和潜在客户的业务损失,以及处理检测、升级和返工的资源。
尽管有这些天文数字的成本,超过一半的组织没有要求开发人员每年进行正式的安全代码培训。
安全专家们都知道,在寻找和修复漏洞时,感觉就像在玩打地鼠的游戏。即使你已经有了一个带有修复策略的安全计划,也总是有机会改进。大多数组织发现,当他们的灾难恢复或备份能力受到考验时,他们的安全方法并不像他们曾经想象的那样强大。如果加强你的组织对网络攻击的恢复能力是你的首要任务之一,那么把留给你的开发人员的视角转移到你的计划之内,以继续改善你的安全态势。一个熟练的、被授权的开发者团队,从一开始就构建安全的代码,并有足够的知识来快速定位和修复漏洞,是你减轻风险的最经济的手段。
谈到开发者教育,一个误区是它只是企业的成本,甚至是一种保险政策。安联公司DevSec意识宣讲员Klaus Klinger认为,"整个事情必须从管理层的头脑开始。投资于开发人员的培训不是一项损失的投资,而是对质量、生产力和公司声誉的投资"。
在这个领域,投资回报率往往难以量化,但最终企业应该考虑的是他们的安全态势如何帮助他们降低风险,简化方法,并为他们的开发团队节省时间和生产力。
如何量化网络安全成本的投资回报率?
当涉及到投资回报率时,重要的是要在两个不同的框架内考虑它:减轻风险的成本节约与你的安全培训的影响。
让我们考虑一下这个太常见的例子:一个漏洞或漏洞导致一个电子商务网站被迫离线数天,而其团队正在寻找问题和如何修复它。未能补救的成本可以量化为中断期间的收入损失、被盗凭证的影响、客户信任的丧失(导致长期的销售减少),以及修复问题时的整体生产力损失。
这实际上可以归结为一个成本/效益分析。你要评估的关键领域是你公司的安全成熟度,你公司的风险接受程度,以及你的代码中需要维护或改进的地方。
人们经常关注错误的指标来确定成功和价值。也许我们应该少关注项目初始投资的回报,而是要衡量项目本身的影响 。
证明影响的措施
为了建立投资回报率,你必须建立可衡量的目标。这首先要评估你的开发人员的安全编码知识,了解他们在哪些方面需要增长技能。
一个起点是衡量参与度,以帮助你做出战略决策,即如何建立更丰富的培训项目。最重要的是--衡量影响。首先,在你开始在每个团队进行培训计划之前,通过代码分析、bug赏金或经典的漏洞测试,看看在软件开发生命周期中被发现的弱点数量。要知道你的培训计划是否达到了预期的效果,最简单的方法之一就是测量被引入到代码库中的漏洞的总体减少情况。
评估投资回报率的首要问题。
1.我们是否简化了我们的方法?
你是向问题投掷更多的工具,还是从根本上解决问题?在你的技术堆栈中增加更多的工具会产生一种 "瑞士奶酪 "的方法来寻找和修复漏洞。它们还增加了运营成本,而对许多漏洞的源头--代码却没有什么影响。尽管扫描和测试工具绝对应该是你武器库的一部分,但它们不应该是你的最后一道防线。
2.我们是否提高了效率和生产力?
花费在详尽的代码审查和从AppSec发回的代码的重做上的时间会导致生产力的重大损失。通过授权并让开发人员团队亲身参与安全代码培训来减少消防演习,应该是评估你的安全计划的积极影响的良好基准。
3.我们是否降低了风险?
寻找和修复一个漏洞就像解决一个大难题,有时需要几天、几周甚至几个月的时间才能完成一个强大的解决方案。赋予开发者在源头上拥有修复的权力,可以让AppSec专注于风险监控和加强组织的安全态势。
4.我们是否在提高速度(但仍然保持质量)?
快速发送代码并不总是一件好事。偷工减料和在代码中引入漏洞会在未来造成许多麻烦,并积累技术债务。短期思维在这里不是答案。人们可以通过从一开始就保护他们的代码来减少风险,这样问题就不会在未来变得复杂。
建议跟踪的指标。
- 参与度--你为培训预算了多少时间,开发人员如何参与?他们是否完成了courses 、评估,并参与了tournaments ?
- 技能--优势领域在哪里?你确定哪些领域需要改进?
- 漏洞的减少--你是否注意到在代码审查期间漏洞的明显减少?你是否看到AppSec回来的返工减少了?
- 生产率--补救一个问题需要多长时间?你是否注意到随着漏洞的减少,生产力或速度有所提高?
通过左移创造价值
违规行为和漏洞每年都在迅速增加。重要的是开始积极主动地建立一个整体的安全方法--首先从你的代码开始。这将有助于。
- 通过投资于你最有价值的资源--你的员工来降低复杂性,而不是把钱扔在那些只能解决部分问题的工具上。
- 通过限制通常由AppSec在代码部署后发现的返工或修复,来提高效率和整体效益。
- 降低风险,实现合规性,避免昂贵的罚款,失去客户的信任,或者更糟糕的是--数据泄露的代价。
避免短期思维和快速修复。它们只能导致技术债务和更多的成本。通过利用提高技能的力量,使你的开发人员成为防止漏洞和网络犯罪的最佳防线,并看到自己的影响和成本节约,从而进行长期规划。
