为什么我们决不能忽视网络安全中的人为因素?
最近,我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该文章详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何协助提供更好、更安全的代码,比许多IT部门意识到的要快。对这种方法的需求无疑是引人注目的。最近的一项研究发现,现在每39秒就会发生一次网络攻击,我们都看到了对Colonial Pipeline的一次成功的勒索软件攻击所造成的破坏,在更大的计划中,这并不像SolarWinds的黑客那样具有破坏性。
许多常见的漏洞仍然存在,因为没有人愿意告诉开发人员如何用更好的方式来完成同样的功能,并以更安全的方式来取代不良的编码模式。而在开发后期修复软件的影响,无论从花费的时间还是从延迟部署的角度来看,都是非常昂贵的。在部署后修复代码,特别是在攻击者利用了之前未发现的漏洞后,有时会花费数百万美元。而这还没有考虑到重大漏洞发生后对公司声誉的损害。
经过安全培训的开发人员自然会成为更好的编码者。当然,CISO不应该很快放弃他们的安全工具,但通过从高层领导一个包容性的、预防性的安全方法,CISO可以利用他们公司最大的资源--人的因素,特别是当涉及到从软件开发生命周期的一开始就进行安全编码时。
要做到这一点,以下是需要牢记的三大高级战略。
1.要主动出击,而不是被动应付
企业经常陷入被动的陷阱,例如,对竞争对手的做法做出反应,而不是发展和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认这种方法,只有在成功入侵后被迫认真对待网络安全问题。不幸的是,到那时,损害已经造成,罚款、恢复成本、客户流失和品牌恢复都会触及底线。另一种反应而不是行动的形式是依靠自动或手动的代码扫描来寻找现有代码中的漏洞,而不是首先专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,一些漏洞就越有可能漏掉。
只有采取积极主动的方法,与开发人员合作,帮助他们从一开始就创建安全的代码,才能建立一个软件开发的生命周期,大大减少编码漏洞被释放给用户的可能性。
2.提高技能,不要矫枉过正
一旦你决定为开发人员提供创建安全代码所需的知识,请明智地选择你的方法。内部培训研讨会使编码工作陷入停顿,这让开发人员和管理人员都感到沮丧。需要晚上或周末参加的场外courses ,更不受欢迎。最好的方法是逐步培养编码技能,在编码过程中逐步提供相关信息--基本上是在不明显分散开发人员注意力或减缓开发过程的情况下提高技能。
3.激励,不要假设
开发人员不应该把安全技能的提高看作是惩罚或完全的苦差事。管理者必须通过传达安全代码在公司成功中的重要作用来激励开发人员。同样重要的是,要传达安全代码员对公司更有价值,并在未来享受更多的职业机会。
拜登政府的欢迎 行政命令已经加强了对网络安全的关注,需要 "包括评估开发商和供应商本身的安全实践的标准,并确定创新的工具或方法,以证明符合安全实践"。但是,虽然工具是必不可少的,但这还不够。任何工具都不会完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已经到位的系统和工具的能力。为了最大限度地提高他们公司的安全性,CISO必须利用人的因素,鼓励开发人员成为自愿的安全支持者和实践者。
最近,我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该帖子详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
最近,我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该文章详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何协助提供更好、更安全的代码,比许多IT部门意识到的要快。对这种方法的需求无疑是引人注目的。最近的一项研究发现,现在每39秒就会发生一次网络攻击,我们都看到了对Colonial Pipeline的一次成功的勒索软件攻击所造成的破坏,在更大的计划中,这并不像SolarWinds的黑客那样具有破坏性。
许多常见的漏洞仍然存在,因为没有人愿意告诉开发人员如何用更好的方式来完成同样的功能,并以更安全的方式来取代不良的编码模式。而在开发后期修复软件的影响,无论从花费的时间还是从延迟部署的角度来看,都是非常昂贵的。在部署后修复代码,特别是在攻击者利用了之前未发现的漏洞后,有时会花费数百万美元。而这还没有考虑到重大漏洞发生后对公司声誉的损害。
经过安全培训的开发人员自然会成为更好的编码者。当然,CISO不应该很快放弃他们的安全工具,但通过从高层领导一个包容性的、预防性的安全方法,CISO可以利用他们公司最大的资源--人的因素,特别是当涉及到从软件开发生命周期的一开始就进行安全编码时。
要做到这一点,以下是需要牢记的三大高级战略。
1.要主动出击,而不是被动应付
企业经常陷入被动的陷阱,例如,对竞争对手的做法做出反应,而不是发展和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认这种方法,只有在成功入侵后被迫认真对待网络安全问题。不幸的是,到那时,损害已经造成,罚款、恢复成本、客户流失和品牌恢复都会触及底线。另一种反应而不是行动的形式是依靠自动或手动的代码扫描来寻找现有代码中的漏洞,而不是首先专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,一些漏洞就越有可能漏掉。
只有采取积极主动的方法,与开发人员合作,帮助他们从一开始就创建安全的代码,才能建立一个软件开发的生命周期,大大减少编码漏洞被释放给用户的可能性。
2.提高技能,不要矫枉过正
一旦你决定为开发人员提供创建安全代码所需的知识,请明智地选择你的方法。内部培训研讨会使编码工作陷入停顿,这让开发人员和管理人员都感到沮丧。需要晚上或周末参加的场外courses ,更不受欢迎。最好的方法是逐步培养编码技能,在编码过程中逐步提供相关信息--基本上是在不明显分散开发人员注意力或减缓开发过程的情况下提高技能。
3.激励,不要假设
开发人员不应该把安全技能的提高看作是惩罚或完全的苦差事。管理者必须通过传达安全代码在公司成功中的重要作用来激励开发人员。同样重要的是,要传达安全代码员对公司更有价值,并在未来享受更多的职业机会。
拜登政府的欢迎 行政命令已经加强了对网络安全的关注,需要 "包括评估开发商和供应商本身的安全实践的标准,并确定创新的工具或方法,以证明符合安全实践"。但是,虽然工具是必不可少的,但这还不够。任何工具都不会完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已经到位的系统和工具的能力。为了最大限度地提高他们公司的安全性,CISO必须利用人的因素,鼓励开发人员成为自愿的安全支持者和实践者。
最近,我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该文章详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何协助提供更好、更安全的代码,比许多IT部门意识到的要快。对这种方法的需求无疑是引人注目的。最近的一项研究发现,现在每39秒就会发生一次网络攻击,我们都看到了对Colonial Pipeline的一次成功的勒索软件攻击所造成的破坏,在更大的计划中,这并不像SolarWinds的黑客那样具有破坏性。
许多常见的漏洞仍然存在,因为没有人愿意告诉开发人员如何用更好的方式来完成同样的功能,并以更安全的方式来取代不良的编码模式。而在开发后期修复软件的影响,无论从花费的时间还是从延迟部署的角度来看,都是非常昂贵的。在部署后修复代码,特别是在攻击者利用了之前未发现的漏洞后,有时会花费数百万美元。而这还没有考虑到重大漏洞发生后对公司声誉的损害。
经过安全培训的开发人员自然会成为更好的编码者。当然,CISO不应该很快放弃他们的安全工具,但通过从高层领导一个包容性的、预防性的安全方法,CISO可以利用他们公司最大的资源--人的因素,特别是当涉及到从软件开发生命周期的一开始就进行安全编码时。
要做到这一点,以下是需要牢记的三大高级战略。
1.要主动出击,而不是被动应付
企业经常陷入被动的陷阱,例如,对竞争对手的做法做出反应,而不是发展和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认这种方法,只有在成功入侵后被迫认真对待网络安全问题。不幸的是,到那时,损害已经造成,罚款、恢复成本、客户流失和品牌恢复都会触及底线。另一种反应而不是行动的形式是依靠自动或手动的代码扫描来寻找现有代码中的漏洞,而不是首先专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,一些漏洞就越有可能漏掉。
只有采取积极主动的方法,与开发人员合作,帮助他们从一开始就创建安全的代码,才能建立一个软件开发的生命周期,大大减少编码漏洞被释放给用户的可能性。
2.提高技能,不要矫枉过正
一旦你决定为开发人员提供创建安全代码所需的知识,请明智地选择你的方法。内部培训研讨会使编码工作陷入停顿,这让开发人员和管理人员都感到沮丧。需要晚上或周末参加的场外courses ,更不受欢迎。最好的方法是逐步培养编码技能,在编码过程中逐步提供相关信息--基本上是在不明显分散开发人员注意力或减缓开发过程的情况下提高技能。
3.激励,不要假设
开发人员不应该把安全技能的提高看作是惩罚或完全的苦差事。管理者必须通过传达安全代码在公司成功中的重要作用来激励开发人员。同样重要的是,要传达安全代码员对公司更有价值,并在未来享受更多的职业机会。
拜登政府的欢迎 行政命令已经加强了对网络安全的关注,需要 "包括评估开发商和供应商本身的安全实践的标准,并确定创新的工具或方法,以证明符合安全实践"。但是,虽然工具是必不可少的,但这还不够。任何工具都不会完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已经到位的系统和工具的能力。为了最大限度地提高他们公司的安全性,CISO必须利用人的因素,鼓励开发人员成为自愿的安全支持者和实践者。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
最近,我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该文章详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何协助提供更好、更安全的代码,比许多IT部门意识到的要快。对这种方法的需求无疑是引人注目的。最近的一项研究发现,现在每39秒就会发生一次网络攻击,我们都看到了对Colonial Pipeline的一次成功的勒索软件攻击所造成的破坏,在更大的计划中,这并不像SolarWinds的黑客那样具有破坏性。
许多常见的漏洞仍然存在,因为没有人愿意告诉开发人员如何用更好的方式来完成同样的功能,并以更安全的方式来取代不良的编码模式。而在开发后期修复软件的影响,无论从花费的时间还是从延迟部署的角度来看,都是非常昂贵的。在部署后修复代码,特别是在攻击者利用了之前未发现的漏洞后,有时会花费数百万美元。而这还没有考虑到重大漏洞发生后对公司声誉的损害。
经过安全培训的开发人员自然会成为更好的编码者。当然,CISO不应该很快放弃他们的安全工具,但通过从高层领导一个包容性的、预防性的安全方法,CISO可以利用他们公司最大的资源--人的因素,特别是当涉及到从软件开发生命周期的一开始就进行安全编码时。
要做到这一点,以下是需要牢记的三大高级战略。
1.要主动出击,而不是被动应付
企业经常陷入被动的陷阱,例如,对竞争对手的做法做出反应,而不是发展和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认这种方法,只有在成功入侵后被迫认真对待网络安全问题。不幸的是,到那时,损害已经造成,罚款、恢复成本、客户流失和品牌恢复都会触及底线。另一种反应而不是行动的形式是依靠自动或手动的代码扫描来寻找现有代码中的漏洞,而不是首先专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,一些漏洞就越有可能漏掉。
只有采取积极主动的方法,与开发人员合作,帮助他们从一开始就创建安全的代码,才能建立一个软件开发的生命周期,大大减少编码漏洞被释放给用户的可能性。
2.提高技能,不要矫枉过正
一旦你决定为开发人员提供创建安全代码所需的知识,请明智地选择你的方法。内部培训研讨会使编码工作陷入停顿,这让开发人员和管理人员都感到沮丧。需要晚上或周末参加的场外courses ,更不受欢迎。最好的方法是逐步培养编码技能,在编码过程中逐步提供相关信息--基本上是在不明显分散开发人员注意力或减缓开发过程的情况下提高技能。
3.激励,不要假设
开发人员不应该把安全技能的提高看作是惩罚或完全的苦差事。管理者必须通过传达安全代码在公司成功中的重要作用来激励开发人员。同样重要的是,要传达安全代码员对公司更有价值,并在未来享受更多的职业机会。
拜登政府的欢迎 行政命令已经加强了对网络安全的关注,需要 "包括评估开发商和供应商本身的安全实践的标准,并确定创新的工具或方法,以证明符合安全实践"。但是,虽然工具是必不可少的,但这还不够。任何工具都不会完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已经到位的系统和工具的能力。为了最大限度地提高他们公司的安全性,CISO必须利用人的因素,鼓励开发人员成为自愿的安全支持者和实践者。
资源
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
%20(1).avif)
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
