拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论，特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次，从事联邦政府使用的软件的开发人员必须有经过验证的安全技能，以及遵守新的、不断发展的准则。

这标志着网络防御现状的积极变化，并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的，但它们为各组织提供了一个全球性的机会，以解决和提升当前的安全标准，从开发人员到软件供应链的安全分析的一切。 

NIST最近征求公众意见，为他们下一步更新HIPAA立法等提供信息，这对我们来说是一个不可错过的机会，可以将我们公司的专业知识汇集成定位文件，帮助提供一个更安全、更有效、以人为本的网络安全方法，帮助企业利用他们的团队取得更大的成果。 

作为一个专家驱动的组织，我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作，包括博士候选人Pieter de Cremer和Brian Chess博士，他是我们技术顾问委员会的成员。我们三个人集思广益，正式向NIST提交了定位文件，呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。 

一个安全的发展途径，为开发商铺平了道路

漏洞扫描工具、监控和其他形式的安全自动化越来越普遍，它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分，但历史和现在都表明，扫描工具尤其能以越来越高的效率发现软件中的漏洞，但这本身对减少漏洞没有任何作用，或者说，从一开始就能提高安全性。 

繁琐的技术堆栈会分散开发人员的注意力，拖慢他们的工作流程，这是开发人员脱离安全并对其持否定态度的根本原因之一。然而，如果开发者有一条铺好的安全开发途径，一条不仅适合技术，而且适合语言、框架和项目特定开发目标的定制途径，那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想，随着时间的推移，常见的漏洞会显著减少。 

要完整地阅读我们的NIST定位文件，请现在下载。

安全开发实践的认证框架。缺少的环节(目前)

到目前为止，还没有正式的认证来验证安全编码技能和最佳实践。长期以来，这一直是一个行业疏忽，我们的立场是，这对改善网络防御和安全开发的未来至关重要。 

我们知道有许多针对开发者的安全培训形式，但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话，这并没有创造出有安全意识的开发者，他们也没有被赋予知识来解决这个只会越来越糟的问题。 

开发人员的技能提升需要工具和教育，这些工具和教育要与日常工作相关，有背景，有大小（但要经常进行），并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的，这一点需要在立法和行业机构（如NIST）中得到充分的说明。 

NICE框架更适合建立全面的认证指南，积极使用有效的方法，并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致，有助于规范真正发挥作用的做法，并为组织提供更具体的途径。

要完整地阅读我们的第二份NIST定位文件，请现在下载。

网络安全中的人的因素经常被遗忘，现在是我们努力为人类问题（如反复出现的常见漏洞）寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们，但这需要全球政府的支持来改变现状，并提供可衡量的积极影响。

你准备好认证你的开发人员了吗？你已经来到了正确的地方。请查看我们的 Learning Platform 今天。