这篇文章的一个版本出现在 DevOps.com.它已被更新并在此转发。

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金，攻击者迅速适应以规避防御，利用大大小小的安全漏洞获取潜在的报酬。

正在产生的代码量太大，安全专家--越来越稀缺--无法应对，而数据泄露的成本不断上升，证明必须要有一些东西。幸运的是，为了我们的数字安全和各地CISO的理智，DevSecOps运动正在帮助开发者从软件开发过程的一开始就进入安全之旅。他们被认为是抵御网络攻击者的第一道防线，他们拥有消除常见漏洞的能力，唾手可得。

然而，他们的防御能力只和他们接受的培训一样好，而这又是安全团队要面对的另一个挑战。对于许多在工作中接受安全编码培训的开发人员来说，他们面临的主要挑战是在令人头疼的、不动手的活动中保持清醒，这些活动既不有效，也不能激励他们将安全放在首位。没有灵魂的视频courses ，不能让我们达到目的，象征性的年度 "打勾 "活动是浪费时间，没有人能够在潜在的恶意威胁者面前获胜，等待跳出一个小的机会窗口。

在我们这个行业的这个阶段，我们已经发现，用相关的编程语言和框架进行的情景式实践教育，以及模仿开发人员在现实世界中可能遇到的挑战，是一种更有吸引力的方法。

这是开发人员寻求帮助AppSec大师杀死常见漏洞的第一阶段，但第二阶段是场景必须变得真实的地方，以获得超强的安全意识的防御力量。

有支架的学习在成人教育中是至关重要的

当涉及到课外courses 或在职培训时，人们往往忽视了成年人带来了一定程度的经验和现有知识。好的培训会在这一基础上加以补充，并且在结构上允许在学习过程中加深理解和加快自主性。

脚手架教育是一种有效的、积极的学习方法，旨在激活和加强先前的经验，同时继续建立新的技能--在可管理的大块中--使受训者能够更加自信地处理越来越困难的任务。通常情况下，这种方法最好有健康的示范、视觉教具和学生主导的探索。

如果我们把这种方法与开发人员的安全培训联系起来，那么动态的、边做边学的方法长期以来一直比基于理论的静态学习的苦差事更受欢迎，这一点并不奇怪。他们可以自由地成为他们领域的主人，并且应该看到他们的时间得到了充分的利用。

从这个意义上说，在一个高度相关的环境中学习安全编码是关键，但从这一步开始的 "升级 "是在行动中看到对脆弱代码的利用。在前台和后台并列的情况下，在编码过程中采取的行动与攻击者可能利用偷工减料、错误配置或未被发现和补救的事故之间存在着切实的联系。

从召回到应用，实现真正的预防性安全方法

亲身体验安全漏洞的影响是教育拼图的重要部分，即使是针对开发人员的最现代的安全培训方案，这也是一个相当罕见的野兽。花在磨练发现和补救漏洞的技能上的基础工作，以及在编写代码时回顾这些经验以消除代码中的相同错误是非常重要的，但这并不是全部内容。看一看脆弱的代码是如何被恶意行为者利用的，这就增加了一个强大的背景，一个真正促使人们认识到保护代码安全的重要性，并应用来之不易的安全知识来关闭每个机会之窗。

人们普遍认为，开发人员并不热爱安全，他们对安全培训更是没有好感。他们与应用安全专家的接触可能是非常冷淡的，而安全团队将有漏洞的代码退回给开发人员进行补救所造成的返工，是他们生存的祸根。对于一个已经分身乏术的工程团队来说，安全是别人的问题，不是他们的首要任务，而且阻碍了他们的自然创造力和构建功能的主要目标。然而，有太多的代码，太多的漏洞，以及对世界上的数据有太多的风险，这种心态不能再继续下去。

一个实用的DevSecOps流程让开发人员在SDLC的初期就与安全团队和谐共处，并且有机会进行应用学习，让他们与模拟的漏洞进行互动，并看到安全性差的代码的影响，这对于让开发人员与那些讨厌的AppSec人员（毕竟他们并不那么坏）站在同一起跑线上有很大的帮助。

交互式学习为开发者准备好了老板的斗争

在撰写本报告时，在7天内有两起重大违规事件的报道。Razer宣布有超过10万条敏感数据记录被曝光，而办公用品连锁店Staples也报告了类似的数据泄露。2020年到目前为止，已经有超过10亿条敏感记录被曝光，而且这种令人担忧的趋势没有放缓的迹象。简而言之，恶意行为者占了上风，亟需有安全意识的开发人员来充当前线的防御。

专注于模拟这种破坏的互动式挑战使开发人员从被动的回忆，到应用对真正的老板斗争有影响的技能：在他们的轨道上阻止攻击者。

‍