博客

为什么游戏化是提升软件安全水平的关键

皮特-丹休
发布日期:2018年08月01日

应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。

无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。

然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。

目前的情况

开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。

说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。

BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。

游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto

然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。

嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。

游戏化。简单的前进方式。

我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。

我不是一个人在思考。

游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。

所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。

现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。

我们已经知道,成功的培训看起来是这样的。

  • 开发人员能够在真正的代码和自己的语言/框架中工作
  • 挑战很短,涵盖所有常见的安全漏洞
  • 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
  • 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
  • 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。

我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。

你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?

我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。
查看资源
查看资源

我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
发布日期:2018年08月01日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。

无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。

然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。

目前的情况

开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。

说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。

BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。

游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto

然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。

嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。

游戏化。简单的前进方式。

我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。

我不是一个人在思考。

游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。

所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。

现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。

我们已经知道,成功的培训看起来是这样的。

  • 开发人员能够在真正的代码和自己的语言/框架中工作
  • 挑战很短,涵盖所有常见的安全漏洞
  • 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
  • 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
  • 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。

我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。

你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?

我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。
查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。

无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。

然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。

目前的情况

开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。

说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。

BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。

游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto

然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。

嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。

游戏化。简单的前进方式。

我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。

我不是一个人在思考。

游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。

所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。

现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。

我们已经知道,成功的培训看起来是这样的。

  • 开发人员能够在真正的代码和自己的语言/框架中工作
  • 挑战很短,涵盖所有常见的安全漏洞
  • 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
  • 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
  • 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。

我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。

你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?

我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。
访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
下载PDF
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
发布日期:2018年08月01日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

应用安全经理、CISO、CIO、网络安全专家--在我自己从事软件开发和安全工作的过程中,我和他们中的许多人谈过,他们在世界各地的各种公司工作。

无论他们的情况有多不同,他们的团队有多有经验,或者在这个不断变化的数字世界中,有一个问题始终保持不变:他们很少能够积极地让他们的开发团队参与安全。安全仍然是一个肮脏的词,是团队之间冲突的源头,是行业中彻头彻尾的痛苦。

然而,软件安全对于我们的普遍心态来说实在是太重要了,以至于无法继续走这条路。我们必须努力改变这种对话,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式赋予开发人员安全方面的权力和参与。

目前的情况

开发人员在离开大学的时候,很少有关于提供安全代码的实践知识,他们的工作中,安全培训很少是优先事项(即使有,也通常是围绕健康和安全的强制性合规视频的一部分,这些视频是如此乏味,没有人会关心安全编码)。很多时候,他们对安全的第一次体验是一个审计或测试的错误报告,它突然停止了未来的发布,成为他们创造性思维的一个瞬间的最优先的干扰。他们发现自己与那些负责安全报告的人对立起来,所以 "安全 "在他们心中成了 "批评 "的同义词。讨厌。

说实话,这种对软件安全的负面看法如此盛行,实在是令人遗憾。毕竟,在我的职业生涯中,一些最美好的记忆与学习软件安全有关。在我早期的黑客生涯中,我曾参加过一些会议,在那里我不仅可以测试我的技能(说实话,还可以炫耀一下),与那些和我一样喜欢破解软件的志同道合的人见面,也是非常有趣的。

BruCon、DefCon、BlackHat......这些活动为像我一样的人提供了在友好竞争中发挥自己技能的机会。虽然我从不承认参与这种反社会的事情,但有些人甚至会通过侵入其他与会者的手机来展示他们的黑客能力,将他们的信息显示在演示屏幕上供所有人观看。这成了一种游戏,找到这些缺陷--利用并修复它们--以使软件变得更好。几年前,我曾有幸在中东地区数百名孩子面前,向他们传授网络安全知识。我仍然记得我的学生中有一个八岁的女孩,她在玩游戏的时候学习了密码破解和base64编码。

游戏化也被用于教授编码技能。世界各地的教育机构都在利用这种方法向非常年轻的孩子教授编码,甚至一直到高中生。现在年仅四岁的孩子经常参加像CodeCamp这样的假期活动,而且有很多奇妙的在线课程,教孩子们如何用Python和其他语言进行编码。我甚至为我四岁的女儿买了神奇的无屏幕编码工具Cubetto

然而,尽管有这么多的乐趣和进步,还是有一个缺口。没有人想到利用游戏化来培训开发人员如何编写安全代码的可能性。

嗯......几乎没有人。几年前,我意识到,我们需要使安全问题再次得到启发,并真正激励开发者参与并开始游戏。

游戏化。简单的前进方式。

我内心深处有一种动力,那就是用安全知识来提升和增强开发人员的能力,正是这种激情导致我创建了Secure Code Warrior 。软件安全是如此重要,而且它真的可以令人激动。

我不是一个人在思考。

游戏化可以使最平凡的任务变得更加有趣,并使人们有足够的兴趣继续玩下去,赢得胜利,取得进步--只要看看《Pok̩ Go!》如何使最懒惰的人离开沙发,到户外去寻找想象中的生物,或者FitBit如何使许多人的每日目标是达到他们的步数......如果没有达到这些目标,如果连胜被终止,没有获得徽章,就会有一种非常真实的失望感。

所以,回到安全培训。我们已经和许多客户证明,游戏化是真正改变企业安全文化的关键,在应用安全和开发团队之间建立桥梁,并普遍帮助他们建立更高标准的软件。

现在,安全并不是开发者的首要任务。通过在你的训练方法中加入友好、竞争和参与的元素,你正在激励他们不仅 "玩",而且不断回来赚取更多的分数,打败高分,变得更加准确,并挑战他们的同伴。

我们已经知道,成功的培训看起来是这样的。

  • 开发人员能够在真正的代码和自己的语言/框架中工作
  • 挑战很短,涵盖所有常见的安全漏洞
  • 挑战不断扩大和更新,因此开发人员可以随着时间的推移继续培养他们的技能
  • 挑战的复杂程度各不相同,因此对高级开发人员和经验不足的开发人员来说都很有吸引力。
  • 开发人员和他们的经理能够查看进展情况,包括他们完成了哪些挑战,他们的优势和劣势,用于培训的时间和他们的总体准确性。

我们最大的一个客户在他们的推广中展示了游戏化平台的真正魔力,用主题团队装备装饰他们的开发人员,为游戏赢家提供惊人的奖品,真正使他们的tournament ,成为值得纪念的一天。此后,他们还举办了国际比赛,他们的整个团队至今仍在认真地训练。

你自己的软件革命从这里开始。澳大利亚银行业在打击不良代码的斗争中正引领着游戏化培训,这种真正的创新方法颠覆了传统(或枯燥)的培训方式--看看我们的客户对他们的下一级tournament 。你准备好和我们一起提高你的团队水平了吗?

我们必须努力改变这种对话,使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心