想让开发人员用安全意识进行编码?把培训带到他们身边。
软件开发生命周期(SDLC)似乎很无害;它是一个过程,我们这些软件人员一起创造了奇迹,并将所有这些社会不能缺少的数字产品运送出去。
除了......如果你曾经参与过一个软件开发项目,你就会知道这通常是一场战役,有许多任务要征服,有许多龙要杀死。这在一段时间内很有趣,但倦怠是真实的,对软件的需求使我们在最好的时候都以光速工作,尤其是开发团队。
现在想象一下,他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下,可能会导致一些人的房子倒塌,但更现实的情况是,它根本没有被列为优先事项,而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时(特别是如果他们的经理也没有优先考虑安全问题的话),我们看到频繁的数据泄露,有缺陷的应用程序发布,以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。
开发人员需要一个AppSec的推行者。
当考虑到上述情况时,你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里,而留给安全团队去解决。太多竞争性的最后期限,没有足够的培训,而且没有真正的理由在其他事情上关心安全问题。然而,对代码的需求实在太多,这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出,学习新技能,最重要的是,建立更安全的代码。
然而,重要的是要记住,管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域(当他们与有安全意识的开发人员合作时,将有更多的喘息空间,而不是重复修复常见的错误)。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任,而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力,他们愿意与开发人员密切合作,激励他们并推动积极的变化。
破坏性的培训比它的效果更令人讨厌,任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案,它可以在需要的时候将正确的信息送到他们面前。
以下是它的实际工作情况。
及时,而不是 "以备不时之需"。
到目前为止,上下文的实践学习是最有效的培训方式,在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"(JiT)培训,对于学习安全编码的开发人员来说是非常有效的。
源于丰田的精益生产原则,JiT培训的目的是在需要了解的基础上,在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限?如果一个小的后门被打开,允许攻击者远程执行代码呢?如果开发人员能够在需要的时候获取知识,而不是在Confluence中翻阅文档,或者在Google上搜索培训中提到的东西,那将会更令人难忘。
及时学习是 "以防万一 "的对立面;虽然后者是更常见的传授知识的方式,但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来,并在保持对他们现在正在进行的关键目标的关注的同时,看到提高技能对他们的职业生涯的好处。
不要再让开发者追逐培训了。
我们已经知道在一个工作日里有太多的事情要做,因此,开发人员有什么动机要去教室上课,或者通过上下文切换来获得静态的理论培训?
普遍的共识是,无论大多数组织正在做什么,如果造成数据泄露的漏洞数量是什么的话,都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出,43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训;没有在高等教育中接受培训,也没有作为工作场所提高技能措施的一部分。如果他们接受了培训,像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据,网络安全技能的短缺也不会失控。
所以,知道这是目前开发人员接受培训和熟悉安全的环境,为什么我们对糟糕的结果感到惊讶?这可能只是一个影响--一个积极的影响--对于开发者和组织来说,确保一个更顺畅、更综合、更不刺耳的培训体验,在他们实际工作的空间中,如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展,让安全意识变得更加容易,在这个环境中,安全意识不再是一种奢侈品。
准备好保障开发工作流程了吗?
具有安全意识的开发人员因其技能而备受推崇,他们在代码构建阶段就能为企业提供保护。安全不再是可有可无的东西,尤其是 GDPR 罚单、PCI-DSS 合规法规、NIST 治理......以及被起诉的可能性,就像 Equifax 那样,被提起数百万美元的集体诉讼。
一个综合的方法可能是催化剂,开始用较少的破坏性学习来赢得开发者,并为更深入的courses ,培训安全卫士,以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。
现在就下载Jira和GitHub的整合工具,并让我们知道你的想法。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
软件开发生命周期(SDLC)似乎很无害;它是一个过程,我们这些软件人员一起创造了奇迹,并将所有这些社会不能缺少的数字产品运送出去。
除了......如果你曾经参与过一个软件开发项目,你就会知道这通常是一场战役,有许多任务要征服,有许多龙要杀死。这在一段时间内很有趣,但倦怠是真实的,对软件的需求使我们在最好的时候都以光速工作,尤其是开发团队。
现在想象一下,他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下,可能会导致一些人的房子倒塌,但更现实的情况是,它根本没有被列为优先事项,而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时(特别是如果他们的经理也没有优先考虑安全问题的话),我们看到频繁的数据泄露,有缺陷的应用程序发布,以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。
开发人员需要一个AppSec的推行者。
当考虑到上述情况时,你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里,而留给安全团队去解决。太多竞争性的最后期限,没有足够的培训,而且没有真正的理由在其他事情上关心安全问题。然而,对代码的需求实在太多,这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出,学习新技能,最重要的是,建立更安全的代码。
然而,重要的是要记住,管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域(当他们与有安全意识的开发人员合作时,将有更多的喘息空间,而不是重复修复常见的错误)。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任,而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力,他们愿意与开发人员密切合作,激励他们并推动积极的变化。
破坏性的培训比它的效果更令人讨厌,任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案,它可以在需要的时候将正确的信息送到他们面前。
以下是它的实际工作情况。
及时,而不是 "以备不时之需"。
到目前为止,上下文的实践学习是最有效的培训方式,在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"(JiT)培训,对于学习安全编码的开发人员来说是非常有效的。
源于丰田的精益生产原则,JiT培训的目的是在需要了解的基础上,在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限?如果一个小的后门被打开,允许攻击者远程执行代码呢?如果开发人员能够在需要的时候获取知识,而不是在Confluence中翻阅文档,或者在Google上搜索培训中提到的东西,那将会更令人难忘。
及时学习是 "以防万一 "的对立面;虽然后者是更常见的传授知识的方式,但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来,并在保持对他们现在正在进行的关键目标的关注的同时,看到提高技能对他们的职业生涯的好处。
不要再让开发者追逐培训了。
我们已经知道在一个工作日里有太多的事情要做,因此,开发人员有什么动机要去教室上课,或者通过上下文切换来获得静态的理论培训?
普遍的共识是,无论大多数组织正在做什么,如果造成数据泄露的漏洞数量是什么的话,都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出,43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训;没有在高等教育中接受培训,也没有作为工作场所提高技能措施的一部分。如果他们接受了培训,像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据,网络安全技能的短缺也不会失控。
所以,知道这是目前开发人员接受培训和熟悉安全的环境,为什么我们对糟糕的结果感到惊讶?这可能只是一个影响--一个积极的影响--对于开发者和组织来说,确保一个更顺畅、更综合、更不刺耳的培训体验,在他们实际工作的空间中,如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展,让安全意识变得更加容易,在这个环境中,安全意识不再是一种奢侈品。
准备好保障开发工作流程了吗?
具有安全意识的开发人员因其技能而备受推崇,他们在代码构建阶段就能为企业提供保护。安全不再是可有可无的东西,尤其是 GDPR 罚单、PCI-DSS 合规法规、NIST 治理......以及被起诉的可能性,就像 Equifax 那样,被提起数百万美元的集体诉讼。
一个综合的方法可能是催化剂,开始用较少的破坏性学习来赢得开发者,并为更深入的courses ,培训安全卫士,以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。
现在就下载Jira和GitHub的整合工具,并让我们知道你的想法。
软件开发生命周期(SDLC)似乎很无害;它是一个过程,我们这些软件人员一起创造了奇迹,并将所有这些社会不能缺少的数字产品运送出去。
除了......如果你曾经参与过一个软件开发项目,你就会知道这通常是一场战役,有许多任务要征服,有许多龙要杀死。这在一段时间内很有趣,但倦怠是真实的,对软件的需求使我们在最好的时候都以光速工作,尤其是开发团队。
现在想象一下,他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下,可能会导致一些人的房子倒塌,但更现实的情况是,它根本没有被列为优先事项,而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时(特别是如果他们的经理也没有优先考虑安全问题的话),我们看到频繁的数据泄露,有缺陷的应用程序发布,以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。
开发人员需要一个AppSec的推行者。
当考虑到上述情况时,你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里,而留给安全团队去解决。太多竞争性的最后期限,没有足够的培训,而且没有真正的理由在其他事情上关心安全问题。然而,对代码的需求实在太多,这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出,学习新技能,最重要的是,建立更安全的代码。
然而,重要的是要记住,管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域(当他们与有安全意识的开发人员合作时,将有更多的喘息空间,而不是重复修复常见的错误)。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任,而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力,他们愿意与开发人员密切合作,激励他们并推动积极的变化。
破坏性的培训比它的效果更令人讨厌,任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案,它可以在需要的时候将正确的信息送到他们面前。
以下是它的实际工作情况。
及时,而不是 "以备不时之需"。
到目前为止,上下文的实践学习是最有效的培训方式,在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"(JiT)培训,对于学习安全编码的开发人员来说是非常有效的。
源于丰田的精益生产原则,JiT培训的目的是在需要了解的基础上,在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限?如果一个小的后门被打开,允许攻击者远程执行代码呢?如果开发人员能够在需要的时候获取知识,而不是在Confluence中翻阅文档,或者在Google上搜索培训中提到的东西,那将会更令人难忘。
及时学习是 "以防万一 "的对立面;虽然后者是更常见的传授知识的方式,但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来,并在保持对他们现在正在进行的关键目标的关注的同时,看到提高技能对他们的职业生涯的好处。
不要再让开发者追逐培训了。
我们已经知道在一个工作日里有太多的事情要做,因此,开发人员有什么动机要去教室上课,或者通过上下文切换来获得静态的理论培训?
普遍的共识是,无论大多数组织正在做什么,如果造成数据泄露的漏洞数量是什么的话,都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出,43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训;没有在高等教育中接受培训,也没有作为工作场所提高技能措施的一部分。如果他们接受了培训,像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据,网络安全技能的短缺也不会失控。
所以,知道这是目前开发人员接受培训和熟悉安全的环境,为什么我们对糟糕的结果感到惊讶?这可能只是一个影响--一个积极的影响--对于开发者和组织来说,确保一个更顺畅、更综合、更不刺耳的培训体验,在他们实际工作的空间中,如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展,让安全意识变得更加容易,在这个环境中,安全意识不再是一种奢侈品。
准备好保障开发工作流程了吗?
具有安全意识的开发人员因其技能而备受推崇,他们在代码构建阶段就能为企业提供保护。安全不再是可有可无的东西,尤其是 GDPR 罚单、PCI-DSS 合规法规、NIST 治理......以及被起诉的可能性,就像 Equifax 那样,被提起数百万美元的集体诉讼。
一个综合的方法可能是催化剂,开始用较少的破坏性学习来赢得开发者,并为更深入的courses ,培训安全卫士,以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。
现在就下载Jira和GitHub的整合工具,并让我们知道你的想法。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
软件开发生命周期(SDLC)似乎很无害;它是一个过程,我们这些软件人员一起创造了奇迹,并将所有这些社会不能缺少的数字产品运送出去。
除了......如果你曾经参与过一个软件开发项目,你就会知道这通常是一场战役,有许多任务要征服,有许多龙要杀死。这在一段时间内很有趣,但倦怠是真实的,对软件的需求使我们在最好的时候都以光速工作,尤其是开发团队。
现在想象一下,他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下,可能会导致一些人的房子倒塌,但更现实的情况是,它根本没有被列为优先事项,而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时(特别是如果他们的经理也没有优先考虑安全问题的话),我们看到频繁的数据泄露,有缺陷的应用程序发布,以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。
开发人员需要一个AppSec的推行者。
当考虑到上述情况时,你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里,而留给安全团队去解决。太多竞争性的最后期限,没有足够的培训,而且没有真正的理由在其他事情上关心安全问题。然而,对代码的需求实在太多,这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出,学习新技能,最重要的是,建立更安全的代码。
然而,重要的是要记住,管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域(当他们与有安全意识的开发人员合作时,将有更多的喘息空间,而不是重复修复常见的错误)。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任,而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力,他们愿意与开发人员密切合作,激励他们并推动积极的变化。
破坏性的培训比它的效果更令人讨厌,任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案,它可以在需要的时候将正确的信息送到他们面前。
以下是它的实际工作情况。
及时,而不是 "以备不时之需"。
到目前为止,上下文的实践学习是最有效的培训方式,在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"(JiT)培训,对于学习安全编码的开发人员来说是非常有效的。
源于丰田的精益生产原则,JiT培训的目的是在需要了解的基础上,在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限?如果一个小的后门被打开,允许攻击者远程执行代码呢?如果开发人员能够在需要的时候获取知识,而不是在Confluence中翻阅文档,或者在Google上搜索培训中提到的东西,那将会更令人难忘。
及时学习是 "以防万一 "的对立面;虽然后者是更常见的传授知识的方式,但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来,并在保持对他们现在正在进行的关键目标的关注的同时,看到提高技能对他们的职业生涯的好处。
不要再让开发者追逐培训了。
我们已经知道在一个工作日里有太多的事情要做,因此,开发人员有什么动机要去教室上课,或者通过上下文切换来获得静态的理论培训?
普遍的共识是,无论大多数组织正在做什么,如果造成数据泄露的漏洞数量是什么的话,都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出,43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训;没有在高等教育中接受培训,也没有作为工作场所提高技能措施的一部分。如果他们接受了培训,像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据,网络安全技能的短缺也不会失控。
所以,知道这是目前开发人员接受培训和熟悉安全的环境,为什么我们对糟糕的结果感到惊讶?这可能只是一个影响--一个积极的影响--对于开发者和组织来说,确保一个更顺畅、更综合、更不刺耳的培训体验,在他们实际工作的空间中,如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展,让安全意识变得更加容易,在这个环境中,安全意识不再是一种奢侈品。
准备好保障开发工作流程了吗?
具有安全意识的开发人员因其技能而备受推崇,他们在代码构建阶段就能为企业提供保护。安全不再是可有可无的东西,尤其是 GDPR 罚单、PCI-DSS 合规法规、NIST 治理......以及被起诉的可能性,就像 Equifax 那样,被提起数百万美元的集体诉讼。
一个综合的方法可能是催化剂,开始用较少的破坏性学习来赢得开发者,并为更深入的courses ,培训安全卫士,以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。
现在就下载Jira和GitHub的整合工具,并让我们知道你的想法。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
%20(1).avif)
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
