软件开发生命周期（SDLC）似乎很无害；它是一个过程，我们这些软件人员一起创造了奇迹，并将所有这些社会不能缺少的数字产品运送出去。

除了......如果你曾经参与过一个软件开发项目，你就会知道这通常是一场战役，有许多任务要征服，有许多龙要杀死。这在一段时间内很有趣，但倦怠是真实的，对软件的需求使我们在最好的时候都以光速工作，尤其是开发团队。

现在想象一下，他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下，可能会导致一些人的房子倒塌，但更现实的情况是，它根本没有被列为优先事项，而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时（特别是如果他们的经理也没有优先考虑安全问题的话），我们看到频繁的数据泄露，有缺陷的应用程序发布，以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。

开发人员需要一个AppSec的推行者。

当考虑到上述情况时，你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里，而留给安全团队去解决。太多竞争性的最后期限，没有足够的培训，而且没有真正的理由在其他事情上关心安全问题。然而，对代码的需求实在太多，这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出，学习新技能，最重要的是，建立更安全的代码。

然而，重要的是要记住，管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域（当他们与有安全意识的开发人员合作时，将有更多的喘息空间，而不是重复修复常见的错误）。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任，而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力，他们愿意与开发人员密切合作，激励他们并推动积极的变化。

破坏性的培训比它的效果更令人讨厌，任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案，它可以在需要的时候将正确的信息送到他们面前。

以下是它的实际工作情况。

及时，而不是 "以备不时之需"。

到目前为止，上下文的实践学习是最有效的培训方式，在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"（JiT）培训，对于学习安全编码的开发人员来说是非常有效的。

源于丰田的精益生产原则，JiT培训的目的是在需要了解的基础上，在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限？如果一个小的后门被打开，允许攻击者远程执行代码呢？如果开发人员能够在需要的时候获取知识，而不是在Confluence中翻阅文档，或者在Google上搜索培训中提到的东西，那将会更令人难忘。

及时学习是 "以防万一 "的对立面；虽然后者是更常见的传授知识的方式，但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来，并在保持对他们现在正在进行的关键目标的关注的同时，看到提高技能对他们的职业生涯的好处。

不要再让开发者追逐培训了。

我们已经知道在一个工作日里有太多的事情要做，因此，开发人员有什么动机要去教室上课，或者通过上下文切换来获得静态的理论培训？

普遍的共识是，无论大多数组织正在做什么，如果造成数据泄露的漏洞数量是什么的话，都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出，43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训；没有在高等教育中接受培训，也没有作为工作场所提高技能措施的一部分。如果他们接受了培训，像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据，网络安全技能的短缺也不会失控。

所以，知道这是目前开发人员接受培训和熟悉安全的环境，为什么我们对糟糕的结果感到惊讶？这可能只是一个影响--一个积极的影响--对于开发者和组织来说，确保一个更顺畅、更综合、更不刺耳的培训体验，在他们实际工作的空间中，如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展，让安全意识变得更加容易，在这个环境中，安全意识不再是一种奢侈品。

准备好保障开发工作流程了吗？

具有安全意识的开发人员因其技能以及他们在代码构建阶段就能为组织提供的保护而受到尊重。安全不再是可有可无的，尤其是在GDPR罚款、PCI-DSS合规性规定、NIST管理......以及像Equifax那样被起诉到一个大型的数百万美元的集体诉讼的可能性。

一个综合的方法可能是催化剂，开始用较少的破坏性学习来赢得开发者，并为更深入的courses ，培训安全卫士，以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。

现在就下载Jira和GitHub的整合工具，并让我们知道你的想法。