只要浏览几分钟的科技新闻，就会很快明白威胁形势变得多么危险。每天似乎都有关于重大漏洞的报告，一个新的漏洞，或者网络攻击者和犯罪分子积极利用的可怕威胁。而且，几乎每一个行业指标和报告都显示网络威胁的数量越来越危险，大多数专家预测这种趋势将在未来几年内持续。

面对这些新的威胁，一线的IT安全人员已经枯竭，人手不足。尽管有高薪，而且对任何企业或组织来说几乎是不可缺少的，但安全人员总是不够用。在战略与国际研究中心最近进行的一项调查中，82%的IT决策者说他们的组织遭受了网络安全技能的短缺，71%的人说这种短缺已经给他们的组织造成了直接和可衡量的损害。报告指出，仅在美国，就有超过52万个网络安全工作岗位未被填补，而这个领域只有约94万名雇员。

在世界范围内，目前约有350万个网络安全职位未被填补，这意味着即使那些愿意支付巨额资金来雇用和保留顶级专业人员的组织也难以找到合适的候选人。平均而言，填补一个网络安全职位所需的时间比任何其他职位都要长21%，如果它们能够被填补的话。

开发者赋能已经被忽视了很久

我们在以前的许多博客中指出，可以利用开发人员来填补网络安全防御中的一些关键漏洞。只是传统上，开发人员从未接受过网络安全方面的培训。他们的工作表现几乎完全基于速度和部署的时间。安全问题是应用安全团队的工作，而且是在更远的地方。

不幸的是，这不仅仅是一个转换齿轮的问题，要求开发人员突然开始在他们的应用程序和程序中增加安全。即使他们愿意做出这些改变，而且调查显示他们中的许多人愿意，他们仍然需要培训以实现这一目标。他们还需要上层管理部门的鼓励和支持，但能否得到有意义的学习是第一块，也往往是最大的绊脚石。

全世界仍有数百万个高薪、高度安全的IT安全职位未被填补，这是一个原因。如果它是容易的工作，每个人都会跳进这个领域。学习如何对抗威胁和消除代码中的漏洞是很困难的，而且威胁的情况也在不断变化。试图教授网络安全，即使是对相对精通技术的开发人员来说，也不能有效地使用静态培训来完成，这些培训很快就会过时，而且不容易记住，而且会产生最小的积极影响，特别是如果这些要求被添加到他们已经过度紧张的日程表中。

搭建脚手架以到达更高的地方

用传统的方法教授网络安全技能，就像试图建造一座摩天大楼而不把你的脚从地面上移开。这是不可能的，因为学生不具备掌握像网络安全这样复杂领域的许多高层次概念所需的基础。为了弥补这一点，可以采用支架式学习的概念。

当使用支架式或 "分层 "方法来提高技能时，较大的主题通常被分解成独立的学习经验或概念。这可以确保学生能够通过适当的练习和指导来掌握每个概念，为每个部分提供所需的所有支持。新的、更高级的概念被分层在已经掌握的概念之上，就像物理脚手架是随着建筑物的升高而建造的。通过这种方式，学生能够达到比他们在没有帮助的情况下能够掌握的更高水平的理解和技能掌握。

就像物理脚手架一样，当不再需要时，这种支持就会逐渐取消，随着学生越来越熟练，他们的责任也会越来越大。

脚手架式学习主要用于减少学生在没有帮助的情况下尝试一项困难的任务时可能会出现的沮丧、畏惧或气馁的负面情绪和自我认知。但在试图解决像现代网络安全这样极其困难的概念时，它也可以拥有很大的价值。这远不是像对待孩子一样对待开发者，当他们与安全团队的经验可以产生同样的效果，即令人沮丧和气馁，特别是当他们的辛勤工作被送回时，会有错误的修复和新的批评意见，这是巨大的帮助。 

当开发人员被赋予了解安全编码基础知识的工具时（通常从OWASP的前10名开始），他们可以自己看到安全漏洞是如何发生的，为什么它们是危险的，以及如何在它们最终进入生产之前对其进行补救。从那里，他们可以通过处理更复杂的漏洞来扩展他们的知识，并获得应用良好修复方法的实际经验。层次在一点一点地增长，然后当涉及到高级安全问题时，如不安全的软件架构，或参与威胁建模，这些跳跃似乎并不那么可怕，可以精确地解决。

作为一个行业，我们永远不应该期望开发人员成为安全专家，但组织可以采用新的标准来启用开发人员，以便他们能够生产更高质量的软件。对于拥有工程技术人员的组织来说，作为一个额外的奖励，每一步，或每一级的脚手架，都将直接转化为更好的网络安全，因为他们学习。没有必要等到课程结束时才看到结果。

学习网络安全是困难的，如果没有正确的帮助和指导，掌握它几乎是不可能的。拥抱一个具有支架式学习的安全计划可以帮助充分利用，好处几乎马上就能显现出来。改善几乎会立即开始，并随着时间的推移不断得到改善。

与我们一起开始建设安全强大的开发人员；请查看。

Courses
Missions
开发人员培训

...以及更多！