为什么游戏化是提升软件安全水平的关键
应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。
无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。
然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。
目前的情况
开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。
说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。
BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。
游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto。
然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。
嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。
游戏化。简单的前进方式。
我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。
我不是一个人在思考。
游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。
所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。
现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。
我们已经知道,成功的培训看起来是这样的。
- 开发人员能够在真正的代码和自己的语言/框架中工作
- 挑战很短,涵盖所有常见的安全漏洞
- 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
- 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
- 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。
我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。
你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?
我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
为什么游戏化是提升软件安全水平的关键
应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。
无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。
然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。
目前的情况
开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。
说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。
BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。
游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto。
然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。
嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。
游戏化。简单的前进方式。
我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。
我不是一个人在思考。
游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。
所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。
现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。
我们已经知道,成功的培训看起来是这样的。
- 开发人员能够在真正的代码和自己的语言/框架中工作
- 挑战很短,涵盖所有常见的安全漏洞
- 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
- 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
- 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。
我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。
你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?
我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。
