博客

信任度得分揭示了 "按设计确保安全 "提升计划的价值

马蒂亚斯-马杜博士
发布于 2024 年 11 月 13 日

改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践,并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而,安全编码不是一次性就能解决的问题,它必须成为一种生活方式,融入组织的基因。开发人员不仅要向左转,或从左开始,而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容,并在软件开发生命周期(SDLC)的初期就遵循最佳实践,将其作为日常工作的一部分。您需要跟踪开发人员的绩效,并根据内部标准和行业基准衡量他们的进步,从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性,并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性,同时确定需要改进的领域。此外,它还有助于确保符合一系列监管合规要求,无论是《通用数据保护条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS)、《加利福尼亚州消费者隐私法案》(CCPA)还是其他要求。

我们的研究表明,安全代码培训是有效的。信任分数》采用一种算法,从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点,揭示了该算法在减少漏洞方面的有效性,以及如何使这一举措更加有效。

如果开发人员接受培训,培训就能提高安全性 

多年来,在软件开发流程(SDLC)的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了,但并不是当前的首要任务。但是,随着软件开发速度的不断加快,以及复杂而具有破坏性的网络威胁(通常建立在针对软件漏洞的基础上)步伐的加快,安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置,该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据,发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的,如相关公司的规模(规模较小、开发人员相对较少的公司产生的结果范围更大),以及学习小组是否专注于某个特定问题,在这种情况下,他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计,由于开发人员提高了安全技能,漏洞将减少 47% 至 53%。例如,据统计,一家拥有 10,000 多名开发人员的平均水平公司(既不是平台上的佼佼者,也不是基准最高的公司)的漏洞减少了 53%。 

当然,最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能,使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训,这些场景应与开发人员的工作类型和使用的语言相匹配。此外,培训还应该足够灵活,以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说,技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方(如开源软件库)创建的软件。开发人员热衷于使用生成式人工智能模型,他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而,尽管在Snyk的一项调查中,76% 的受访者表示人工智能生成的代码比人类生成的代码更安全,但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现,80% 的开发人员跳过了应用人工智能代码安全策略,这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中,开发人员将与安全团队合作,而不是与他们分开,在 SDLC 的早期阶段解决这些问题,在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外,持续培训也至关重要。公司需要采用一种安全第一的文化,这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进,并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展,网络安全也不应该停止发展。对于生产软件的企业来说,经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性,还能让组织深入了解绩效数据,关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如,如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效,并确认他们是否已经掌握并正在使用必要的安全技能,从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目,同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题,影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉,甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性,它们一直在实施越来越严格的法规,并愿意对 CISO 以及其他可能的高层管理人员提起诉讼,甚至提出刑事指控,如UberSolarWinds 的案例。 

在当今的环境中,采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上,因此安全编码是这种文化的核心要素。作为文化思想的一部分,有针对性的培训和技能提升,再加上证明培训有助于改变文化的证据,可以让企业走上加强安全态势的道路。 


开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

查看资源
查看资源

我们的研究表明,安全代码培训是有效的。信任分数》采用一种算法,从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点,揭示了该算法在减少漏洞方面的有效性,以及如何使这一举措更加有效。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发布于 2024 年 11 月 13 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践,并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而,安全编码不是一次性就能解决的问题,它必须成为一种生活方式,融入组织的基因。开发人员不仅要向左转,或从左开始,而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容,并在软件开发生命周期(SDLC)的初期就遵循最佳实践,将其作为日常工作的一部分。您需要跟踪开发人员的绩效,并根据内部标准和行业基准衡量他们的进步,从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性,并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性,同时确定需要改进的领域。此外,它还有助于确保符合一系列监管合规要求,无论是《通用数据保护条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS)、《加利福尼亚州消费者隐私法案》(CCPA)还是其他要求。

我们的研究表明,安全代码培训是有效的。信任分数》采用一种算法,从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点,揭示了该算法在减少漏洞方面的有效性,以及如何使这一举措更加有效。

如果开发人员接受培训,培训就能提高安全性 

多年来,在软件开发流程(SDLC)的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了,但并不是当前的首要任务。但是,随着软件开发速度的不断加快,以及复杂而具有破坏性的网络威胁(通常建立在针对软件漏洞的基础上)步伐的加快,安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置,该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据,发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的,如相关公司的规模(规模较小、开发人员相对较少的公司产生的结果范围更大),以及学习小组是否专注于某个特定问题,在这种情况下,他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计,由于开发人员提高了安全技能,漏洞将减少 47% 至 53%。例如,据统计,一家拥有 10,000 多名开发人员的平均水平公司(既不是平台上的佼佼者,也不是基准最高的公司)的漏洞减少了 53%。 

当然,最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能,使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训,这些场景应与开发人员的工作类型和使用的语言相匹配。此外,培训还应该足够灵活,以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说,技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方(如开源软件库)创建的软件。开发人员热衷于使用生成式人工智能模型,他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而,尽管在Snyk的一项调查中,76% 的受访者表示人工智能生成的代码比人类生成的代码更安全,但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现,80% 的开发人员跳过了应用人工智能代码安全策略,这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中,开发人员将与安全团队合作,而不是与他们分开,在 SDLC 的早期阶段解决这些问题,在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外,持续培训也至关重要。公司需要采用一种安全第一的文化,这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进,并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展,网络安全也不应该停止发展。对于生产软件的企业来说,经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性,还能让组织深入了解绩效数据,关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如,如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效,并确认他们是否已经掌握并正在使用必要的安全技能,从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目,同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题,影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉,甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性,它们一直在实施越来越严格的法规,并愿意对 CISO 以及其他可能的高层管理人员提起诉讼,甚至提出刑事指控,如UberSolarWinds 的案例。 

在当今的环境中,采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上,因此安全编码是这种文化的核心要素。作为文化思想的一部分,有针对性的培训和技能提升,再加上证明培训有助于改变文化的证据,可以让企业走上加强安全态势的道路。 


开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践,并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而,安全编码不是一次性就能解决的问题,它必须成为一种生活方式,融入组织的基因。开发人员不仅要向左转,或从左开始,而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容,并在软件开发生命周期(SDLC)的初期就遵循最佳实践,将其作为日常工作的一部分。您需要跟踪开发人员的绩效,并根据内部标准和行业基准衡量他们的进步,从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性,并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性,同时确定需要改进的领域。此外,它还有助于确保符合一系列监管合规要求,无论是《通用数据保护条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS)、《加利福尼亚州消费者隐私法案》(CCPA)还是其他要求。

我们的研究表明,安全代码培训是有效的。信任分数》采用一种算法,从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点,揭示了该算法在减少漏洞方面的有效性,以及如何使这一举措更加有效。

如果开发人员接受培训,培训就能提高安全性 

多年来,在软件开发流程(SDLC)的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了,但并不是当前的首要任务。但是,随着软件开发速度的不断加快,以及复杂而具有破坏性的网络威胁(通常建立在针对软件漏洞的基础上)步伐的加快,安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置,该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据,发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的,如相关公司的规模(规模较小、开发人员相对较少的公司产生的结果范围更大),以及学习小组是否专注于某个特定问题,在这种情况下,他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计,由于开发人员提高了安全技能,漏洞将减少 47% 至 53%。例如,据统计,一家拥有 10,000 多名开发人员的平均水平公司(既不是平台上的佼佼者,也不是基准最高的公司)的漏洞减少了 53%。 

当然,最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能,使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训,这些场景应与开发人员的工作类型和使用的语言相匹配。此外,培训还应该足够灵活,以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说,技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方(如开源软件库)创建的软件。开发人员热衷于使用生成式人工智能模型,他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而,尽管在Snyk的一项调查中,76% 的受访者表示人工智能生成的代码比人类生成的代码更安全,但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现,80% 的开发人员跳过了应用人工智能代码安全策略,这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中,开发人员将与安全团队合作,而不是与他们分开,在 SDLC 的早期阶段解决这些问题,在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外,持续培训也至关重要。公司需要采用一种安全第一的文化,这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进,并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展,网络安全也不应该停止发展。对于生产软件的企业来说,经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性,还能让组织深入了解绩效数据,关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如,如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效,并确认他们是否已经掌握并正在使用必要的安全技能,从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目,同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题,影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉,甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性,它们一直在实施越来越严格的法规,并愿意对 CISO 以及其他可能的高层管理人员提起诉讼,甚至提出刑事指控,如UberSolarWinds 的案例。 

在当今的环境中,采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上,因此安全编码是这种文化的核心要素。作为文化思想的一部分,有针对性的培训和技能提升,再加上证明培训有助于改变文化的证据,可以让企业走上加强安全态势的道路。 


开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发布于 2024 年 11 月 13 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践,并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而,安全编码不是一次性就能解决的问题,它必须成为一种生活方式,融入组织的基因。开发人员不仅要向左转,或从左开始,而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容,并在软件开发生命周期(SDLC)的初期就遵循最佳实践,将其作为日常工作的一部分。您需要跟踪开发人员的绩效,并根据内部标准和行业基准衡量他们的进步,从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性,并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性,同时确定需要改进的领域。此外,它还有助于确保符合一系列监管合规要求,无论是《通用数据保护条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS)、《加利福尼亚州消费者隐私法案》(CCPA)还是其他要求。

我们的研究表明,安全代码培训是有效的。信任分数》采用一种算法,从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点,揭示了该算法在减少漏洞方面的有效性,以及如何使这一举措更加有效。

如果开发人员接受培训,培训就能提高安全性 

多年来,在软件开发流程(SDLC)的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了,但并不是当前的首要任务。但是,随着软件开发速度的不断加快,以及复杂而具有破坏性的网络威胁(通常建立在针对软件漏洞的基础上)步伐的加快,安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置,该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据,发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的,如相关公司的规模(规模较小、开发人员相对较少的公司产生的结果范围更大),以及学习小组是否专注于某个特定问题,在这种情况下,他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计,由于开发人员提高了安全技能,漏洞将减少 47% 至 53%。例如,据统计,一家拥有 10,000 多名开发人员的平均水平公司(既不是平台上的佼佼者,也不是基准最高的公司)的漏洞减少了 53%。 

当然,最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能,使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训,这些场景应与开发人员的工作类型和使用的语言相匹配。此外,培训还应该足够灵活,以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说,技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方(如开源软件库)创建的软件。开发人员热衷于使用生成式人工智能模型,他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而,尽管在Snyk的一项调查中,76% 的受访者表示人工智能生成的代码比人类生成的代码更安全,但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现,80% 的开发人员跳过了应用人工智能代码安全策略,这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中,开发人员将与安全团队合作,而不是与他们分开,在 SDLC 的早期阶段解决这些问题,在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外,持续培训也至关重要。公司需要采用一种安全第一的文化,这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进,并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展,网络安全也不应该停止发展。对于生产软件的企业来说,经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性,还能让组织深入了解绩效数据,关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如,如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效,并确认他们是否已经掌握并正在使用必要的安全技能,从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目,同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题,影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉,甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性,它们一直在实施越来越严格的法规,并愿意对 CISO 以及其他可能的高层管理人员提起诉讼,甚至提出刑事指控,如UberSolarWinds 的案例。 

在当今的环境中,采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上,因此安全编码是这种文化的核心要素。作为文化思想的一部分,有针对性的培训和技能提升,再加上证明培训有助于改变文化的证据,可以让企业走上加强安全态势的道路。 


开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心