这需要一个村庄。社区精神如何创造更安全的开发人员
短语 "需要一个村庄 "是一个古老的非洲谚语,跨越了许多不同的非洲文化、方言和地理位置。虽然用来传达这颗智慧之珠的语言可能不同,但情感是相同的:需要整个社区的投入,以创造一个安全、积极和启蒙的环境,将未来的一代培养成全面发展的成年人。
这似乎是一个很长的弓,但实际上,开发者社区已经在这个原则上繁荣了几十年。电脑后面的反社会、"独狼 "极客的概念就像大多数刻板印象一样:夸大其词,而且不是了解我们如何运作的最好方法。有各种类型的开发者,来自各行各业,在我们所做的一切中,一直有一种社区感。
早在互联网成为常态之前,我们就在公告板上分享技巧,解决彼此的问题,并为最佳做法争吵不休(当然,在我这边,则是努力工作来打破东西)。这种情绪并没有改变。现在的互联网是一个不同的野兽,桥下有更多的巨魔和更多的噪音,但快速跳入像Reddit和Stack Overflow这样的地方会让你立即感受到帮助的意愿、友情和丰富的信息。
然而,我们都可以帮助支持的一件事是那些与经历同样事情的人的现实世界联系。当你在现实世界中互动时,会有一层新的意义,促进一个 "IRL "社区可以加速知识共享,澄清问题,并以美妙的方式扩大视野。
开发者社区如何支持安全?
像OWASP这样的组织在安全社区中做着令人难以置信的工作,拥有丰富的关于漏洞、新闻和关键警报的免费资源。在线下,世界各地的城市都有OWASP的分会,定期举办活动,让人们聚集在一起,讨论安全问题,分享使我们的软件更安全的技巧。这真的很了不起,对我来说,这就是开发社区的全部内容。
这些社区,无论是在线的还是现场的,都有助于解决开发者之间的技能和知识差距。许多有经验的开发者非常乐意传递信息,帮助别人起步,或为他们指出正确的方向(任何好的绝地武士都知道他们需要不时地帮助徒弟)。
因此,当我们与他们合作举办安全编码tournaments ,总是一种真正的享受。到目前为止,我们已经支持了澳大利亚、英国、印度和美国的聚会,我希望以后会有更多的聚会。
OWASPtournament 聚会是什么样的?请看这个在伦敦标志性的BBC演播室举行的OWASPtournament 的视频。
这些活动当然有助于建立意识,当他们支持这些基层倡议,引入成熟的安全编码培训,以及承诺以积极的安全文化运作时,这种势头可以在组织内得到利用。
游戏化和tournaments ,如何帮助创造更安全的开发者?
OWASP聚会是围绕着社交,分享知识和与广泛的安全意识的人讨论想法而建立的。然而,对于那些刚接触安全的人(或对安全还没有兴趣),这些活动可能会被忽视。
当组织在建立安全意识和激发开发者群体的真正兴趣方面发挥积极作用时,它可以产生积极的流动效应,在内部灌输对安全知识的终生追求--我们需要让每个人更认真地进行安全编码。
典型的培训方法很少有巨大的动力(想想坐在教室里,而你的日常工作任务堆积如山,或试图保持清醒观看无休止的视频),但点燃竞争意识、乐趣和游戏化的过程可以使学习远不是一件麻烦事。游戏化的学习方法使技术(有时是枯燥的)知识更容易消化,将其分解成更小的块状,使其具有上下文,令人难忘,并鼓励重复学习。Secure Code Warrior 是建立在可访问性的基础上,允许开发人员继续一步一步地添加到他们以前的学习中,以表达他们的创造力和解决问题的一般直觉。
评估有助于保持每个人的进度并确定需要改进的地方,但安全编码tournament ,可以作为组织安全意识和积极变化的催化剂,也是参与者展示自己强大技能的一种方式。毕竟,当你看到tournament 排行榜实时更新时,你会有动力继续争取更多的分数,真正展示你的安全实力。
一个成功的tournament ,是什么样子的?
我们与OWASP的见面会的目的始终是为了投资于安全社区的持续健康发展,帮助他们推广学习安全知识实际上可以很有趣的概念。
安全编码tournaments ,当涉及到吸引开发人员,帮助他们在社会环境中与志同道合的人磨练和实现他们的技能时,这是一个没有问题的问题。它们有助于打破可能存在于 "安全 "概念周围的人为壁垒,这些壁垒可能来自工作或教育中不太愉快的经历。
一个真正伟大的tournament ,通常包括以下内容。
- 在组织内大张旗鼓地宣传;让开发团队以外的人知道正在发生什么以及为什么发生。
- 一个没有评判的环境,支持所有级别的开发人员
- 一些特殊的福利;点一些食物和饮料,给它一个主题,鼓励自我表达。
- 奖励和表彰;我们开发人员喜欢礼品,为获奖者提供整洁的奖品是一种奖励:记住,你未来的安全冠军可能在这个过程中被发掘出来。
- 社区和友情的感觉。
我们正在成为一个DevSecOps的世界,随着安全问题最终从软件开发项目的一开始就被关注,开发人员需要通过有效的培训尽早参与进来。从编写代码的那一刻起,他们就是保护组织不受漏洞影响的组成部分,而在一个蓬勃发展的安全文化中,每个人都可以轻松一些。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
这需要一个村庄。社区精神如何创造更安全的开发人员
短语 "需要一个村庄 "是一个古老的非洲谚语,跨越了许多不同的非洲文化、方言和地理位置。虽然用来传达这颗智慧之珠的语言可能不同,但情感是相同的:需要整个社区的投入,以创造一个安全、积极和启蒙的环境,将未来的一代培养成全面发展的成年人。
这似乎是一个很长的弓,但实际上,开发者社区已经在这个原则上繁荣了几十年。电脑后面的反社会、"独狼 "极客的概念就像大多数刻板印象一样:夸大其词,而且不是了解我们如何运作的最好方法。有各种类型的开发者,来自各行各业,在我们所做的一切中,一直有一种社区感。
早在互联网成为常态之前,我们就在公告板上分享技巧,解决彼此的问题,并为最佳做法争吵不休(当然,在我这边,则是努力工作来打破东西)。这种情绪并没有改变。现在的互联网是一个不同的野兽,桥下有更多的巨魔和更多的噪音,但快速跳入像Reddit和Stack Overflow这样的地方会让你立即感受到帮助的意愿、友情和丰富的信息。
然而,我们都可以帮助支持的一件事是那些与经历同样事情的人的现实世界联系。当你在现实世界中互动时,会有一层新的意义,促进一个 "IRL "社区可以加速知识共享,澄清问题,并以美妙的方式扩大视野。
开发者社区如何支持安全?
像OWASP这样的组织在安全社区中做着令人难以置信的工作,拥有丰富的关于漏洞、新闻和关键警报的免费资源。在线下,世界各地的城市都有OWASP的分会,定期举办活动,让人们聚集在一起,讨论安全问题,分享使我们的软件更安全的技巧。这真的很了不起,对我来说,这就是开发社区的全部内容。
这些社区,无论是在线的还是现场的,都有助于解决开发者之间的技能和知识差距。许多有经验的开发者非常乐意传递信息,帮助别人起步,或为他们指出正确的方向(任何好的绝地武士都知道他们需要不时地帮助徒弟)。
因此,当我们与他们合作举办安全编码tournaments ,总是一种真正的享受。到目前为止,我们已经支持了澳大利亚、英国、印度和美国的聚会,我希望以后会有更多的聚会。
OWASPtournament 聚会是什么样的?请看这个在伦敦标志性的BBC演播室举行的OWASPtournament 的视频。
这些活动当然有助于建立意识,当他们支持这些基层倡议,引入成熟的安全编码培训,以及承诺以积极的安全文化运作时,这种势头可以在组织内得到利用。
游戏化和tournaments ,如何帮助创造更安全的开发者?
OWASP聚会是围绕着社交,分享知识和与广泛的安全意识的人讨论想法而建立的。然而,对于那些刚接触安全的人(或对安全还没有兴趣),这些活动可能会被忽视。
当组织在建立安全意识和激发开发者群体的真正兴趣方面发挥积极作用时,它可以产生积极的流动效应,在内部灌输对安全知识的终生追求--我们需要让每个人更认真地进行安全编码。
典型的培训方法很少有巨大的动力(想想坐在教室里,而你的日常工作任务堆积如山,或试图保持清醒观看无休止的视频),但点燃竞争意识、乐趣和游戏化的过程可以使学习远不是一件麻烦事。游戏化的学习方法使技术(有时是枯燥的)知识更容易消化,将其分解成更小的块状,使其具有上下文,令人难忘,并鼓励重复学习。Secure Code Warrior 是建立在可访问性的基础上,允许开发人员继续一步一步地添加到他们以前的学习中,以表达他们的创造力和解决问题的一般直觉。
评估有助于保持每个人的进度并确定需要改进的地方,但安全编码tournament ,可以作为组织安全意识和积极变化的催化剂,也是参与者展示自己强大技能的一种方式。毕竟,当你看到tournament 排行榜实时更新时,你会有动力继续争取更多的分数,真正展示你的安全实力。
一个成功的tournament ,是什么样子的?
我们与OWASP的见面会的目的始终是为了投资于安全社区的持续健康发展,帮助他们推广学习安全知识实际上可以很有趣的概念。
安全编码tournaments ,当涉及到吸引开发人员,帮助他们在社会环境中与志同道合的人磨练和实现他们的技能时,这是一个没有问题的问题。它们有助于打破可能存在于 "安全 "概念周围的人为壁垒,这些壁垒可能来自工作或教育中不太愉快的经历。
一个真正伟大的tournament ,通常包括以下内容。
- 在组织内大张旗鼓地宣传;让开发团队以外的人知道正在发生什么以及为什么发生。
- 一个没有评判的环境,支持所有级别的开发人员
- 一些特殊的福利;点一些食物和饮料,给它一个主题,鼓励自我表达。
- 奖励和表彰;我们开发人员喜欢礼品,为获奖者提供整洁的奖品是一种奖励:记住,你未来的安全冠军可能在这个过程中被发掘出来。
- 社区和友情的感觉。
我们正在成为一个DevSecOps的世界,随着安全问题最终从软件开发项目的一开始就被关注,开发人员需要通过有效的培训尽早参与进来。从编写代码的那一刻起,他们就是保护组织不受漏洞影响的组成部分,而在一个蓬勃发展的安全文化中,每个人都可以轻松一些。
