为什么安全的代码培训不能堆积起来(以及你能做什么)?

发布日期:2021年04月08日
由Secure Code Warrior
案例研究

为什么安全的代码培训不能堆积起来(以及你能做什么)?

发布日期:2021年04月08日
由Secure Code Warrior
查看资源
查看资源

无聊,无聊,无聊!这是每当提到安全代码培训时,你会听到开发人员的主要反应之一。在Secure Code Warrior ,我们相信一定有更好的方法,所以我们与埃文斯数据公司合作,对开发人员对安全编码、安全代码实践和安全操作的态度进行了主要研究(在此下载白皮书的副本 这里).

在即将发布的《从反应到预防。在即将发布的 "从反应到预防的转变:应用安全的变化"中,开发人员被问及他们在当前安全代码培训中的主要问题,答案很有说服力。

带动开发者的培训

目前的安全代码培训,公司提供的培训并没有堆积起来。
目前公司提供的安全代码培训被认为是不具实践性或与工作相关。

40%的受访开发者认为,安全编码的教学是在真空中进行的。另有40%的人认为培训过于理论化,与他们的工作无关,而且不够 "实战"。30%的人认为缺乏他们每天工作的语言:框架的培训。这很严重,因为它告诉我们,目前的安全代码培训与背景无关,与开发人员每天的工作没有任何意义的关系。 

对于许多开发者来说,他们的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既没有效果,也不能激励他们把安全放在首位。

在真空中进行的培训使开发人员无法在实验室和现实世界之间建立认知联系。

开发人员希望从安全代码培训中获得的3个东西。 

  1. 压倒性的是,开发人员说他们希望培训更多的实践,并与他们的日常工作更有关联。 
  2. 65%的开发者表示,需要在特定语言的漏洞OWASP Top 10方面进行更多培训。 
  3. 75%的受访开发者喜欢结构化的在职培训。 

提升开发者的培训

当涉及到在职培训时,开发人员会带来一定程度的经验和现有的知识。这就说明了对 "支架式 "学习的需求。这是一种结构化的培训--或称支架式培训--以开发人员已经知道的知识为基础。支架式教育既能激活和增强任何先前的经验,同时又能继续以小块的方式建立新的技能。这使得它成为在职学习的完美手段。

传授坚持不懈的技能

当涉及到开发人员安全培训时,我们知道开发人员更喜欢边做边学的方法,而不是基于理论的静态学习的苦差事。从这个意义上说,在一个高度相关的环境中学习安全编码是关键。作为安全编码变革的推行者,Secure Code Warrior ,在相关的编程语言和框架中提供上下文的实践教育,并模仿开发人员在现实世界中面临的挑战。学习内容包括超过5500个挑战和missions ,涵盖超过147种不同的漏洞类型,包括重要的OWASP Top 10、OWASP Mobile Top 10、OWASP API Security Top 10和CWE/SANS Top 25。 

如果你想看看对你的团队和他们更快地交付安全代码的能力的潜在影响。 预约演示现在。


查看资源
查看资源

作者

Secure Code Warrior

Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

为什么安全的代码培训不能堆积起来(以及你能做什么)?

发布日期:2021年04月08日
通过Secure Code Warrior

无聊,无聊,无聊!这是每当提到安全代码培训时,你会听到开发人员的主要反应之一。在Secure Code Warrior ,我们相信一定有更好的方法,所以我们与埃文斯数据公司合作,对开发人员对安全编码、安全代码实践和安全操作的态度进行了主要研究(在此下载白皮书的副本 这里).

在即将发布的《从反应到预防。在即将发布的 "从反应到预防的转变:应用安全的变化"中,开发人员被问及他们在当前安全代码培训中的主要问题,答案很有说服力。

带动开发者的培训

目前的安全代码培训,公司提供的培训并没有堆积起来。
目前公司提供的安全代码培训被认为是不具实践性或与工作相关。

40%的受访开发者认为,安全编码的教学是在真空中进行的。另有40%的人认为培训过于理论化,与他们的工作无关,而且不够 "实战"。30%的人认为缺乏他们每天工作的语言:框架的培训。这很严重,因为它告诉我们,目前的安全代码培训与背景无关,与开发人员每天的工作没有任何意义的关系。 

对于许多开发者来说,他们的主要挑战是在令人头疼的、不动手的活动中保持清醒,这些活动既没有效果,也不能激励他们把安全放在首位。

在真空中进行的培训使开发人员无法在实验室和现实世界之间建立认知联系。

开发人员希望从安全代码培训中获得的3个东西。 

  1. 压倒性的是,开发人员说他们希望培训更多的实践,并与他们的日常工作更有关联。 
  2. 65%的开发者表示,需要在特定语言的漏洞OWASP Top 10方面进行更多培训。 
  3. 75%的受访开发者喜欢结构化的在职培训。 

提升开发者的培训

当涉及到在职培训时,开发人员会带来一定程度的经验和现有的知识。这就说明了对 "支架式 "学习的需求。这是一种结构化的培训--或称支架式培训--以开发人员已经知道的知识为基础。支架式教育既能激活和增强任何先前的经验,同时又能继续以小块的方式建立新的技能。这使得它成为在职学习的完美手段。

传授坚持不懈的技能

当涉及到开发人员安全培训时,我们知道开发人员更喜欢边做边学的方法,而不是基于理论的静态学习的苦差事。从这个意义上说,在一个高度相关的环境中学习安全编码是关键。作为安全编码变革的推行者,Secure Code Warrior ,在相关的编程语言和框架中提供上下文的实践教育,并模仿开发人员在现实世界中面临的挑战。学习内容包括超过5500个挑战和missions ,涵盖超过147种不同的漏洞类型,包括重要的OWASP Top 10、OWASP Mobile Top 10、OWASP API Security Top 10和CWE/SANS Top 25。 

如果你想看看对你的团队和他们更快地交付安全代码的能力的潜在影响。 预约演示现在。


我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。