冠军 "和 "教练 "这两个词在体育领域之外找到了越来越多的相关性，它们在大多数情况下都带有强大的存在感。有生活教练、健康教练、同理心教练，以及在许多组织中加冕的 "冠军"，像 "安全冠军 "或 "氛围冠军 "这样的头衔正在成为更多的主流，并融入企业的精神和文化中。当情况变得艰难时，谁不希望有一个教练或冠军在他们的角落里？ 

网络安全行业内的机构在利用拥护者追求在开发层面传播安全的好话，并坚持更高的软件安全标准方面有很长的历史。BSIMM称他们为卫星小组，而OpenSAMM和Axway是支持安全卫士作为一个概念和正式计划的先锋小组。这些倡议与DevSecOps运动的主要目标之一相交，并为其提供支持，即承诺从软件开发过程的一开始就在各团队和职能部门之间分享安全责任。

许多在网络安全方面有目标的公司已经实施了一个正式的安全卫士计划，将关键的安全责任--从团队之间的联络和一般的拉拉队，到监督最佳实践--赋予那些对这种角色有能力和热情的人。 

然而，相当明显的是，"安全卫士 "的角色正在发生变化，一个有远见的公司可以通过扩大团队来达到可扩展的安全最佳实践的新高度，关键的爱好者支持不同但同样重要的功能。 

我们正在重新定义和复制安全卫士，以便在一个面向未来的安全计划中真正发挥影响。你准备好建立你的下一个梦之队了吗？

每个伟大的团队背后都站着一个鼓舞人心的教练。

当你想到莱昂内尔-梅西、迈克尔-乔丹和塞雷娜-威廉姆斯时，通常只有最铁杆的粉丝才能背出关于他们的教练的事实，然而，正是这种紧密的支持支柱磨练了他们的自然技能、天赋和对目标的驱动力，孕育出我们在聚光灯下看到的巨大成功。 

没有人期望开发人员能赢得大满贯或为阿根廷队进球，他甚至不应该期望开发人员会成为安全专家（毕竟，他们签约是为了创造很酷的功能，而不是深入研究安全问题），但一个伟大的安全 "教练 "是他们在团队中的真正冠军。

开发人员方面的安全冠军更符合我们对教练的基本要求。他们对安全充满热情，对自己的工作了如指掌，当开发人员遇到安全问题需要解决时，他们是关键的联络点。他们拥有实际的专业知识，可以帮助他们纠正问题并从错误中学习，同时还可以确保团队与核心安全最佳实践和价值观保持一致。 

请AppSec冠军站起来好吗？

在安全计划的拼图中，应用安全方面的冠军是一个经常被忽略的部分。他们对开发团队的成功绝对是至关重要的，作为C级和行政人员与开发人员之间的桥梁，他们可以积极倡导他们，并帮助他们获得所需的工具，对减少漏洞、软件安全以及客户信任和满意度产生积极的影响。 

一个优秀的AppSec冠军被公认为是企业内部的安全领袖，他们应该在直接培训安全教练方面发挥很大的作用，最终目的是在团队之间形成更好的结果和关系，所有这些都是为了一个共同的目标：踢屁股的、无懈可击的安全代码。 

召唤你的超级教练。

冠军和优秀的教练是相辅相成的，他们一起创造了奇迹。现有的安全冠军计划确实倾向于关注开发人员，但正如我们所确定的，真正的冠军应该是在AppSec方面，让最有激情、安全意识的开发人员在引擎盖下帮助实现安全编码的伟大，提升团队的其他成员。 

发现理想的教练仍然是一个类似于传统冠军的过程：最好的教练不只是在安全方面 "最好 "的人。碰巧在安全编码方面很出色的人，并能写出高质量的强化代码，可能对承担课外活动的兴趣为零，或者尽管他们有能力，但对安全并不特别兴奋。 

相反，如果你找的是一个人，你的教练可能会被发掘出来。

• 对网络安全有浓厚的兴趣，从实际的编码到保持最新的事件、工具和很酷的发展。
• 具有良好的人际交往能力；他们喜欢帮助别人，觉得自己是最合适的人（或常驻专家），是平易近人的团队成员。
• 能够积极主动地进行开发人员方面的宣传；他们知道需要什么来帮助团队，并能与他们的AppSec联络人（他们的冠军）合作，让需求得到满足，从而实现共同的安全成果。

激励教练职位；无论你选择谁，都必须承担更多的责任，他们的工作量也需要得到相应的评估。虽然个人兴趣和职业发展会成为潜在教练的动力因素，但看看他们踢球还能在哪里得到奖励也是很好的做法。他们能被派去参加一个很棒的会议吗？他们能得到一些额外的假期吗？能否为他们资助courses 和认证？现在花时间和金钱从一开始就确保SDLC的安全，可以在周期的后期节省更多的时间--或者更糟的是，如果一个漏洞被发现了，一个好的教练会保持高的意识。找到一种方法来提供有意义的奖励。

你的下一级安全冠军计划。

最终，作为一个行业，我们必须做更多的事情来支持开发人员，并将他们争取到黑暗的安全方面，就像激励他们看到高质量的代码是安全的代码一样。如果没有时间和精力去教育和促成成功，就很难关心一些事情，可悲的是，安全编码的教育往往是这样的。相关的、实践性的技能培训，结合同行教练和AppSec倡导者，确实是支持开发团队释放其防御能力所需的三重打击。