如何推出有效的开发者安全培训:5条重要经验
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
如何推出有效的开发者安全培训:5条重要经验
为什么一个开发者应用安全培训计划比另一个产生更好的效果?
在我担任SANS培训师的10多年时间里,以及在过去三年里创建和建立Secure Code Warrior (SCW)的过程中,我看到了将时间和资源投入到使培训项目产生最佳效果的价值。
在我们销售的第一年,我们公司让超过10,000名开发人员参与了安全代码培训,我注意到在那些最有效的推广者中有一些趋势。他们的结果让人心动:参与度高,安全意识提升,在安全弱点变得昂贵之前及早发现,从而获得了强大的项目投资回报。
我不想承认,但也有一些人采取了 "低强度 "的方法,试图通过发送带有培训链接的电子邮件来推广一个项目。毫不奇怪,它的效果并不理想,我们不得不纠正这些推广的做法。
下面,我将分享我所认为的五条重要经验,这些经验将极大地提高任何开发人员安全培训项目的参与度、影响力和成功率,包括我们的项目。
1.如果你想让你的项目产生影响,就在开球时投入一些乐趣
做一个特别的启动日活动,或者给你的项目一个电影/怪异/游戏的主题,可以从一开始就对兴奋度和参与度产生很大影响。我们的一个大客户围绕着一个流行的电视剧创建了一个完整的幻想项目,有T恤衫、徽章和贴纸,使整个培训项目成为一个没有开发者愿意错过的体验。另一个以《星球大战》为主题的活动,在5月4日方便地举行。一点点的乐趣对帮助员工加入进来有很大的帮助,使短暂的重要的开发人员安全代码技能培训感觉像是工作中的休息,而不是另一个需要完成的任务。里程碑#1实现了,我们已经引起了他们的注意,他们也知道了这个项目。
2.找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
能够在每个Scrum团队中找到合适的安全推行者,对于持续的项目成功至关重要,尤其是在大型组织中。根据我的经验,并不是所有高技能的安全或开发人员专家都有高度发达的人际关系和/或沟通技巧。最好的安全推行者,那些能给你的项目带来积极的持续影响的人,是那些对安全充满热情,并且有很强的人际关系、影响和沟通技巧的人。明智地选择并考虑到个性和沟通技巧。
3.拥有认可技能的酷炫奖励
一般来说,每个计算机极客 " 包括开发人员 - 都喜欢他们的智慧和技能被认可。当你用特定的身份贴纸、极客小工具、特殊的徽章或定制印刷的T恤衫来奖励他们,承认他们的技能,他们会自豪地穿着或展示。如果有人在培训项目中取得了重大成就,就必须想办法让他们得到认可和曝光。我在一个客户那里看到了一个伟大的举措,他们定期为他们的Secure Code Warrior 冠军拍照,并在员工通讯中与公司CISO的照片和信息一起发布。
4.不要试图让你的开发人员成为安全专家
虽然你想通过帮助你的开发人员安全编码,使他们成为安全计划中的 "第一道防线",但这并不意味着他们需要成为企业中最深入的安全专家;或者你应该不断向他们推送新的安全漏洞和数据泄露案例。虽然安全很重要,但他们的首要目标往往是建立一个伟大的产品或服务,并跟随企业的步伐。如果你用太多的安全问题让别人超负荷工作,你就有可能让他们失去动力。关键的经验教训是,他们需要了解基本的安全卫生知识,并用工具支持他们安全地编码,但他们不需要成为公司的安全专家。
5.不要衡量培训,要衡量影响
不要衡量你的开发人员参加了多少小时的培训,也不要衡量他们看了多少视频,而是在你开始在每个团队进行培训之前,通过代码分析、bug悬赏或经典的漏洞测试来衡量在开发生命周期中被发现的弱点的数量。 如果你的培训计划是有效的,那么被发现的漏洞的数量就会减少。第二件要衡量的事情是修复一个漏洞所需的时间。如果一个开发人员要花一个月的时间来修复它,这清楚地表明他们不了解如何做,但如果他们能在一个小时内修复它,你就知道他们掌握了这些技能。这就是聪明的公司采用的两个指标来衡量其开发人员安全编码培训的影响。
关于如何推出有效的开发人员安全培训的5条重要经验。
- 如果你想让你的项目产生影响,就在开球时投入一些乐趣
- 找到合适的开发人员安全培训冠军(提示:他们需要的是沟通技能而不是安全技能!)。
- 拥有认可技能的酷炫奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量培训,要衡量影响
