最近，我们非常兴奋地看到我们的董事长兼首席执行官Pieter Danhieux发表了第一篇福布斯技术委员会的文章。该文章详细介绍了提高开发人员的技能以创建更安全的代码是如何防止网络攻击和数据泄露的关键。不仅如此，它还揭示了这些具有安全意识的开发人员如何协助提供更好、更安全的代码，比许多IT部门意识到的要快。对这种方法的需求无疑是引人注目的。最近的一项研究发现，现在每39秒就会发生一次网络攻击，我们都看到了对Colonial Pipeline的一次成功的勒索软件攻击所造成的破坏，在更大的计划中，这并不像SolarWinds的黑客那样具有破坏性。 

‍

许多常见的漏洞仍然存在，因为没有人愿意告诉开发人员如何用更好的方式来完成同样的功能，并以更安全的方式来取代不良的编码模式。而在开发后期修复软件的影响，无论从花费的时间还是从延迟部署的角度来看，都是非常昂贵的。在部署后修复代码，特别是在攻击者利用了之前未发现的漏洞后，有时会花费数百万美元。而这还没有考虑到重大漏洞发生后对公司声誉的损害。

经过安全培训的开发人员自然会成为更好的编码者。当然，CISO不应该很快放弃他们的安全工具，但通过从高层领导一个包容性的、预防性的安全方法，CISO可以利用他们公司最大的资源--人的因素，特别是当涉及到从软件开发生命周期的一开始就进行安全编码时。

要做到这一点，以下是需要牢记的三大高级战略。

1.要主动出击，而不是被动应付

企业经常陷入被动的陷阱，例如，对竞争对手的做法做出反应，而不是发展和追求独特的愿景。当涉及到代码中的安全漏洞时，许多人也会默认这种方法，只有在成功入侵后被迫认真对待网络安全问题。不幸的是，到那时，损害已经造成，罚款、恢复成本、客户流失和品牌恢复都会触及底线。另一种反应而不是行动的形式是依靠自动或手动的代码扫描来寻找现有代码中的漏洞，而不是首先专注于创建安全代码。不幸的是，代码扫描并不是一个完美的解决方案，这意味着代码中的漏洞越多，一些漏洞就越有可能漏掉。 

只有采取积极主动的方法，与开发人员合作，帮助他们从一开始就创建安全的代码，才能建立一个软件开发的生命周期，大大减少编码漏洞被释放给用户的可能性。

2.提高技能，不要矫枉过正

一旦你决定为开发人员提供创建安全代码所需的知识，请明智地选择你的方法。内部培训研讨会使编码工作陷入停顿，这让开发人员和管理人员都感到沮丧。需要晚上或周末参加的场外courses ，更不受欢迎。最好的方法是逐步培养编码技能，在编码过程中逐步提供相关信息--基本上是在不明显分散开发人员注意力或减缓开发过程的情况下提高技能。 

3.激励，不要假设

开发人员不应该把安全技能的提高看作是惩罚或完全的苦差事。管理者必须通过传达安全代码在公司成功中的重要作用来激励开发人员。同样重要的是，要传达安全代码员对公司更有价值，并在未来享受更多的职业机会。

拜登政府的欢迎 行政命令已经加强了对网络安全的关注，需要 "包括评估开发商和供应商本身的安全实践的标准，并确定创新的工具或方法，以证明符合安全实践"。但是，虽然工具是必不可少的，但这还不够。任何工具都不会完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已经到位的系统和工具的能力。为了最大限度地提高他们公司的安全性，CISO必须利用人的因素，鼓励开发人员成为自愿的安全支持者和实践者。