开发者Tournaments。应用安全的秘密武器,提高安全文化和参与度
想象一下,从零开始制作一些东西,用你的技能和经验熟练地挥舞着,在这个世界上留下一个小小的,但特别的印记。无论是独自一人还是作为团队的一部分,你都将你的心和灵魂投入到从无到有的建设中。你花了数百--甚至数千--个小时,确保你的宝贝是最好的。完成后,那种成就感会让人觉得是一种奖励。
现在,想象一下,一个扫兴的人走过来,告诉你它没有那么好。也许他们更进一步告诉你,不,尽管你牺牲了精力、时间和爱,它实际上甚至不能使用:它已经坏了。从本质上讲,他们已经告诉你,你的孩子是丑陋的。
上述情况势必会引起一些紧张;毕竟,谁希望自己的辛勤工作被挑剔,被谴责为不合格?可悲的是,对许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是建立功能丰富的软件,并在严格的项目期限内交付。安全问题很少被放在首位,甚至可以被看作是快速交付和创新的障碍。AppSec承担着一项艰巨的任务:仔细检查代码,进行笔测试,然后报告坏消息:在通常已经提交的代码中存在安全漏洞。在一个资源和时间都很紧张的环境中,这是一个昂贵的过程,其设置必然会导致两个有相同目标的团队之间出现裂痕,但他们的语言却不同,似乎是在对立的。
难道你不认为现在是我们给安全改造的时候吗?这就像改变对话一样简单,并使一切对双方,特别是开发团队来说更积极(更不用说有趣!)。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训后并没有学到多少关于安全编码的知识,所以他们与安全教育的第一次接触往往是在进入工作岗位后。基于课堂的培训是一个经常使用的解决方案,但它占用了功能交付的宝贵时间(而且,让我们面对现实:如果教师和内容的刺激性不足,它可能是一个容易被遗忘的时间浪费)。还有视频courses ,基于纸张的考试和通用的公司安全政策教育......所有这些都可能是如此不具体,以至于在普通开发者的日常工作生活中毫无用处。
太多的时候,它被当作 "打勾,继续前进 "的合规工作,而太多的时候,它产生了相反的效果:它只是在AppSec和开发团队之间推动了更大的裂痕。毕竟,传统的培训似乎并没有对安全文化和合规性产生积极的影响,而这正是我们这个行业所极力寻求的。我们一直在犯同样的错误。
根据通用弱点列举(CWE)社区的说法,有700多个常见的软件安全弱点需要对抗。有些,如SQL注入,就像蟑螂一样,尽管存在了20多年,但还没有被压死。我们知道如何解决这个问题;培训是为了让开发人员有能力阻止它和其他许多问题,但笔试和人工代码审查过程不断地发现这些违规行为。
也许我们一直都看错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题......一个利用我们的开发人员中非常有价值的惊人技能的角度。他们是有创造力的、充满好奇心的问题解决者,喜欢挑战。将安全培训游戏化就是用他们的语言说话,让他们在实践中练习--谁知道呢,他们可能会在这个过程中爱上安全。
一点点健康的竞争
对(相当不准确的)工具、昂贵的笔试和稀缺的应用安全专家的核心依赖,将使我们在安全黑洞中陷得更深。我们有太多的生活和隐私存在于网络上,公司不能继续对保护我们数据的虚拟堡垒掉以轻心。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要转向我们一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训,是AppSec经理在企业内部开始转变安全文化的有力工具。从培训中,开发人员可以在一个有趣的tournament ,可以像你的想象力一样令人兴奋:只要看看IAG的 "代码游戏 "是如何让每个人在他们的组织中谈论安全的。
Secure Code Warriortournament 模块提供的不仅仅是一个衡量培训承诺的漂亮的小帽子:它是一个平台,每个开发人员可以验证他们的技能,看看他们在培训开始后取得了多大的进步,并确定可能需要改进的领域。竞争方面真正起到了激励作用,使人们积极地参与到安全工作中来,利用奖励和认可来支持团队和更广泛的业务中强大的安全文化的发展。
在可能被视为费力的--如果不是令人生畏的--任务中注入一点乐趣,可以在改变消极心态和激发持续参与方面起到很大作用。毕竟,谁不喜欢在一个(健康的)竞争环境中获得比同龄人更多的分数的荣耀?
冠军们在你们中间行走
游戏化的培训和随后的tournaments ,对推动积极的安全文化有极大的帮助,AppSec和开发团队对彼此的日常工作有了更多的了解。一个安全的开发人员是一种资产,他可以修复常见的漏洞,并将复杂的问题留给那些稀缺的AppSec专家去解决。更好的关系成长和茁壮成长,宝贵的安全预算也不会在修复相同错误的 "土拨鼠日 "场景中被吞噬掉。
然而,还有一个强大的副产品:揭示出你从未意识到的安全冠军。Tournaments ,可以发现那些不仅有安全方面的才能,而且积极表现出对安全的热情。这些拥护者在保持势头和作为团队之间的联系点、监督同行和维护最佳实践政策方面至关重要。实施一个坚实的冠军计划,包括认可和执行支持,是组织的一顶帽子,也是个人简历和未来职业生涯的一个强有力的包容。
底线是什么?我们必须要求安全测试有更好的结果。减少常见的错误,为那些在第一线的人提供更多的支持。为什么不看看开发者tournament ,如何比你想象的更快达到这个目标?
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
开发者Tournaments。应用安全的秘密武器,提高安全文化和参与度
想象一下,从零开始制作一些东西,用你的技能和经验熟练地挥舞着,在这个世界上留下一个小小的,但特别的印记。无论是独自一人还是作为团队的一部分,你都将你的心和灵魂投入到从无到有的建设中。你花了数百--甚至数千--个小时,确保你的宝贝是最好的。完成后,那种成就感会让人觉得是一种奖励。
现在,想象一下,一个扫兴的人走过来,告诉你它没有那么好。也许他们更进一步告诉你,不,尽管你牺牲了精力、时间和爱,它实际上甚至不能使用:它已经坏了。从本质上讲,他们已经告诉你,你的孩子是丑陋的。
上述情况势必会引起一些紧张;毕竟,谁希望自己的辛勤工作被挑剔,被谴责为不合格?可悲的是,对许多开发人员来说,这可能是他们与AppSec团队关系的现实。开发人员的主要责任是建立功能丰富的软件,并在严格的项目期限内交付。安全问题很少被放在首位,甚至可以被看作是快速交付和创新的障碍。AppSec承担着一项艰巨的任务:仔细检查代码,进行笔测试,然后报告坏消息:在通常已经提交的代码中存在安全漏洞。在一个资源和时间都很紧张的环境中,这是一个昂贵的过程,其设置必然会导致两个有相同目标的团队之间出现裂痕,但他们的语言却不同,似乎是在对立的。
难道你不认为现在是我们给安全改造的时候吗?这就像改变对话一样简单,并使一切对双方,特别是开发团队来说更积极(更不用说有趣!)。
走出教室,进入游戏竞技场
由于许多开发人员在完成职业培训后并没有学到多少关于安全编码的知识,所以他们与安全教育的第一次接触往往是在进入工作岗位后。基于课堂的培训是一个经常使用的解决方案,但它占用了功能交付的宝贵时间(而且,让我们面对现实:如果教师和内容的刺激性不足,它可能是一个容易被遗忘的时间浪费)。还有视频courses ,基于纸张的考试和通用的公司安全政策教育......所有这些都可能是如此不具体,以至于在普通开发者的日常工作生活中毫无用处。
太多的时候,它被当作 "打勾,继续前进 "的合规工作,而太多的时候,它产生了相反的效果:它只是在AppSec和开发团队之间推动了更大的裂痕。毕竟,传统的培训似乎并没有对安全文化和合规性产生积极的影响,而这正是我们这个行业所极力寻求的。我们一直在犯同样的错误。
根据通用弱点列举(CWE)社区的说法,有700多个常见的软件安全弱点需要对抗。有些,如SQL注入,就像蟑螂一样,尽管存在了20多年,但还没有被压死。我们知道如何解决这个问题;培训是为了让开发人员有能力阻止它和其他许多问题,但笔试和人工代码审查过程不断地发现这些违规行为。
也许我们一直都看错了,作为一个行业,我们需要从不同的角度来解决可行的教育问题......一个利用我们的开发人员中非常有价值的惊人技能的角度。他们是有创造力的、充满好奇心的问题解决者,喜欢挑战。将安全培训游戏化就是用他们的语言说话,让他们在实践中练习--谁知道呢,他们可能会在这个过程中爱上安全。
一点点健康的竞争
对(相当不准确的)工具、昂贵的笔试和稀缺的应用安全专家的核心依赖,将使我们在安全黑洞中陷得更深。我们有太多的生活和隐私存在于网络上,公司不能继续对保护我们数据的虚拟堡垒掉以轻心。随着我们世界的数字化转型增加了我们对软件的依赖,我们需要转向我们一直坐在办公室里的超级英雄:开发团队。
使用相关语言和框架的游戏化培训,是AppSec经理在企业内部开始转变安全文化的有力工具。从培训中,开发人员可以在一个有趣的tournament ,可以像你的想象力一样令人兴奋:只要看看IAG的 "代码游戏 "是如何让每个人在他们的组织中谈论安全的。
Secure Code Warriortournament 模块提供的不仅仅是一个衡量培训承诺的漂亮的小帽子:它是一个平台,每个开发人员可以验证他们的技能,看看他们在培训开始后取得了多大的进步,并确定可能需要改进的领域。竞争方面真正起到了激励作用,使人们积极地参与到安全工作中来,利用奖励和认可来支持团队和更广泛的业务中强大的安全文化的发展。
在可能被视为费力的--如果不是令人生畏的--任务中注入一点乐趣,可以在改变消极心态和激发持续参与方面起到很大作用。毕竟,谁不喜欢在一个(健康的)竞争环境中获得比同龄人更多的分数的荣耀?
冠军们在你们中间行走
游戏化的培训和随后的tournaments ,对推动积极的安全文化有极大的帮助,AppSec和开发团队对彼此的日常工作有了更多的了解。一个安全的开发人员是一种资产,他可以修复常见的漏洞,并将复杂的问题留给那些稀缺的AppSec专家去解决。更好的关系成长和茁壮成长,宝贵的安全预算也不会在修复相同错误的 "土拨鼠日 "场景中被吞噬掉。
然而,还有一个强大的副产品:揭示出你从未意识到的安全冠军。Tournaments ,可以发现那些不仅有安全方面的才能,而且积极表现出对安全的热情。这些拥护者在保持势头和作为团队之间的联系点、监督同行和维护最佳实践政策方面至关重要。实施一个坚实的冠军计划,包括认可和执行支持,是组织的一顶帽子,也是个人简历和未来职业生涯的一个强有力的包容。
底线是什么?我们必须要求安全测试有更好的结果。减少常见的错误,为那些在第一线的人提供更多的支持。为什么不看看开发者tournament ,如何比你想象的更快达到这个目标?
