在过去的几年里，许多东西都被牺牲在了上市速度的祭坛上--比如网络安全、数千字节的敏感客户数据和无价的品牌声誉。加 速发布新特性和新功能的巨大压力导致了复杂的、分布式的团队专注于快速开发，却很少意识到他们可能造成的漏洞或巨大风险。现在比以往任何时候都更需要一种新的工作方式。因此，在2020年，Secure Code Warrior ，与埃文斯数据公司合作，对开发人员和他们的经理对安全编码、安全代码实践和安全操作的态度进行主要研究*（下载你的白皮书副本 这里).

项目成功的绩效指标--安全在哪里？ 

开发人员和管理人员认为拥有安全的代码是很重要的--但只是没有其他因素那么重要而已。当我们询问开发人员和管理人员关于软件开发过程中最关键的优先事项时。

• 76%被提名的应用程序性能 
• 62%的人挑选了特征和功能
• 而有50%多一点的人选择了安全代码
  

与项目成功的其他性能指标相比，安全编码目前排在第三位。

目前--也许并不奇怪--开发人员根据性能指标来判断项目的成功与否，这些指标只在项目完成后评估代码。 

然而，当被问及这在未来可能发生的变化时，情况就会发生翻转。组织如何将安全作为衡量成功的标准正在发生变化。

当被问及未来衡量项目成功的最关键优先事项时，79%的受访者同意安全编码的重要性将增加。引人注目的是，更多的人认为安全在未来的重要性比任何其他性能指标的重要性都要高。 对安全编码的认识正在增长，就像 "左移 "运动一样。就其本质而言，安全编码的实践意味着在SDLC中更早地考虑安全问题。它意味着从一开始就积极地在软件中建立安全，而不是留到以后。 

随着首席信息官努力使他们的组织更加灵活，安全编码能力将成为一个重要的创新武器。CIO和CISO应该仔细思考他们的开发团队是风险的第一线还是他们的第一道防线。 

这一见解对组织如何培训他们的开发人员具有关键意义。团队需要了解最近发现的漏洞，并在他们自己的语言/框架中学习。简而言之，他们需要了解如何在他们每天工作的环境中定位、识别和修复代码中的已知漏洞。

作为安全编码变革的推行者，Secure Code Warrior 采取以人为本的方法，积极吸引开发人员学习和建立他们的安全编码技能。如果你想看看对你的团队的潜在影响，在不影响安全的情况下，更快地开始左和出货安全代码。 现在预订演示。

‍

*从反应到预防的转变。应用安全的变化。 Secure Code Warrior 和 Evans Data Corp. 2020年

这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。

‍

似乎不管有多少个网络安全宣传月，有多少精英安全专家被空降到这里，或者有多少钱被丢进黑洞，大数据泄露的问题都在逐年恶化。它们是如此频繁，以至于这些天几乎没有主流新闻，除非它们是灾难性的。2020年，超过360亿条记录在恶意的网络攻击中被曝光，我们在等待着看2021年将有多少记录被收获。

威胁者不断地扫描机会，虽然不是每一次攻击都是灾难，但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗，坏人对我们数据的保卫者有巨大的优势。

然而，随着拜登政府将网络安全作为其任期内的一个早期优先事项，增加了100亿美元的资金，变化似乎正在酝酿。毫无疑问，这是朝正确方向迈出的一步，但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响？

网络威胁将需要一个（全球）村庄来解决

对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围，不幸的是，长期以来一直缺乏一个有凝聚力的全面战略。然而，随着民族国家威胁的增加，许多政府正坐立不安，注意到了这一点。 

影响美国政府的SolarWinds攻击是一个明确的警告，表明如果任何关键基础设施被攻破，可能造成的破坏。最近，联邦调查局发出警告，佛罗里达州的一个供水系统受到攻击，威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了，但一个更先进的攻击者可能会造成大规模的破坏，将生命置于危险之中。

慢慢地，但肯定的是，世界各地的政府正在加大对网络防御的投资。英国在网络安全领域的投资创下了纪录，并成立了一个新的工作队。澳大利亚加强了其网络安全战略（尤其是基础设施），而像以色列和丹麦这样的地方被认为是其网络项目的最佳选择。日本在网络防御方面排名第五；在2018年时任网络安全部部长的樱田义隆声明他从未使用过电脑之后，这是一张受欢迎的信任票。新加坡政府最近宣布，承诺对未来通信基础设施的人工智能和网络安全研究投资5000万美元，这是巩固数字安全和完整性的前瞻性举措。

在我们迅速进入未来的科技领域时，强有力的、协调的全球网络安全应对措施是至关重要的，每个政府机构都应该把它作为一个关键的焦点来阐明。

更多的钱并不意味着更少的问题

如果我们以美国、英国和澳大利亚为例，它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资，似乎安全终于成为一个优先事项，而 "好人 "正在获得他们需要的东西以赢得这场战斗。 

这当然有帮助，但这只是大局的一部分。这些资金可以买到超级专家团队（正如拜登的现金注入所发生的那样），全面的漏洞赏金计划，以及在发生灾难性漏洞时的顶级事件响应和缓解，正是这种网络防御方法确保我们仍然会取得最小的进展，无论有多少钱被扔到工作队和威胁响应。

每个政府都需要超越被动的安全措施，并将一些认真的努力（和资金）投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应，而不是努力从一开始就防止它们，那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上，并推出有效的安全培训和技能培训，目的是从一开始就尽可能地减少攻击面。

网络安全技能差距可能永远不会缩小，但有浪费的潜力

世界各地对训练有素的专业安全人员的需求量很大，我们不太可能看到这些网络大师过剩的情况。然而，这就更需要政府和组织开始变得有创意，并更精明地利用他们所掌握的资源。

真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具，这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤，可以在软件开发生命周期中进一步减少压力和返工。 

我们需要加强以人为主导的网络安全最佳实践方法，它将获得更好的结果，而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量，这种策略显然是行不通的。

当涉及到开发人员的安全代码培训时，教育成果还有待提高。许多公司花了大钱，但在实践中看到的回报却很少。这也不足为奇。 目前的研究*表明，开发人员认为学习安全代码是枯燥的，而学习如何实现安全代码是具有挑战性的。需要新的安全编码培训方法，因此在2020年，Secure Code Warrior ，与埃文斯数据公司合作，对开发人员对安全编码的态度、安全代码实践和安全操作进行初步研究（下载白皮书 这里).

当有机会对所提供的培训进行批评时，开发人员毫不留情，声称目前的安全代码培训是。  

• 在真空中教学 - 40% 
• 太过理论化，与他们的工作不相关，而且不够 "实际"--40%。 
• 往往不经常出现，与他们的工作或参与无关 - 30%。
  

这些统计数据是严肃的；它们告诉我们，目前的安全代码培训与背景无关，与开发人员每天的工作没有任何意义。 

通常情况下，他们无法将学到的东西应用到他们的工作环境中。这使得很多安全培训都是在浪费时间和金钱。 

构建开发人员所需培训的五种方法

谈到开发人员想要什么样的培训，有五件事是非常清楚的。 

1. 75%的开发人员倾向于结构化的在职培训，认为这是最有效和最令人满意的学习方式。
   
   ，而当谈到培训应该包括什么时，开发人员有一些非常明确和具体的要求。 
2. 65%的人说，需要进行更多的针对特定语言漏洞的培训
3. 65%的人希望有更多的OWASP Top 10的培训。
4. 许多人还希望关注合规安全框架，包括NIST（58%）CIS（52%）和PCI DSS（50%）。
5. 78%的人 希望将非正式的同侪辅导和指导作为该培训的一部分。

但最重要的是，开发人员希望安全代码培训是实用的，并扎根于他们的日常工作环境中。开发人员不希望坐在那里听讲师讲课--他们希望自己动手操作，亲自尝试。他们希望把重点放在实际应用上--这是目前的培训项目所极度缺乏的。根据我们调查的开发者，好的培训的五大特点是。 

• 更多的实践培训，展示真实的工作场景（30%）。 
• 侧重于特定代码或漏洞的指导性活动（24%）。
• Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
• 为参加培训提供一些实际的好处。 
• 纳入更多的团队建设练习。
  

开发人员希望安全代码培训能够传授基本技能--以及真正的认可。由于安全编码技能受到雇主的高度重视和认可，开发人员已经表现出他们的热情，希望将自己与同行区分开来，特别是在申请新工作时。寻求证明其技术掌握或专业技能的开发人员长期以来一直使用正式的认证计划。当被问及他们是否寻求结构化的认证培训项目时，70%的人透露，他们正在寻找这些项目。重要的动机是为获得的技能寻求官方认可，在工作中更有效率，并成为公司的宝贵财富。

当涉及到更好的教育成果时，以开发者为中心的培训是关键。 结构化的安全代码培训对开发人员来说是可取的--但前提是它能提供他们想要的东西。那些迎接挑战并根据开发者的需求重新配置其安全代码培训的公司将获得更少重复出现的漏洞、更快的代码交付以及随之而来的更高声誉的好处。

明确的证据是，开发人员希望在相关的编程语言和框架中获得情景化、实践性的教育，并模仿他们在现实世界中面临的挑战。作为安全编码变革的推行者，Secure Code Warrior 采取以人为本的方式来满足开发者的要求。如果你想看看对你的团队更快地发送安全代码的能力的潜在影响。 现在申请演示.

*从反应到预防的转变。应用安全的变化。 Secure Code Warrior 和 Evans Data Corp. 2020年

随着数据泄露及其成本的不断上升，在我们的世界中产生的代码量太大了，安全专家无法单独处理。公司需要具有安全编码技能的开发人员--而开发人员知道他们需要这些技能来推动他们的职业生涯。但目前的安全代码培训却让他们失望。那么，在安全代码培训方面，开发人员想要什么呢？为了回答这个问题，让我们来看看最近关于开发人员对安全编码、安全代码实践和安全操作的态度的研究的一些见解，该研究由Secure Code Warrior 与 Evans Data Corp* 进行。(下载白皮书 这里).

当涉及到开发人员想要的培训类型时，答案是非常清楚的。75%的开发者倾向于结构化的在职培训，认为这是最有效和最令人满意的学习方式。当谈到培训应该包括什么时，开发人员有一些非常明确和具体的要求。 

• 65%的人说他们需要针对语言的脆弱性进行培训
• 65%的人希望有更多的OWASP Top 10培训
• 许多人还希望关注合规安全框架，包括NIST（58%）、CIS（52%）和PCI DSS（50%）。
• 78%的人希望将非正式的同行辅导和指导作为该培训的一部分。
  

但是，尽管开发者强烈倾向于结构化的课业而非非结构化的学习，但课业的交付方式却至关重要。当然，这也提出了另一个关键问题。

开发人员喜欢如何学习？ 

开发人员不想坐在那里听讲师讲课--他们想亲手操作，亲自尝试。他们希望把重点放在实际应用上--这是目前的培训项目所严重缺乏的。当被问及如何改进公司提供的培训时，30%的受访者表示，他们希望培训能注重实际应用，特别是真实的工作场景。 

开发人员培训需要一种以人为本的方法，提供有指导的学习途径，包括 "游戏化 "的编码挑战，既要动手，又要针对语言：框架。角色指定的 "游戏化 "培训使开发人员高度参与，可配置的学习模块使组织能够针对特定的漏洞对开发人员进行学习。

了解如何通过结构化、基于技能的途径使软件安全成为开发过程的内在组成部分，提供开发人员所需的培训。 请求演示现在 。

"互动模拟帮助你识别代码中的安全漏洞，挑战你的批判性思维，找到解决方案或多种解决方案。我通过一个新的视角来看待代码，亲身体验带来了很多快乐！"
软件工程师，金融服务

*从反应到预防的转变。应用安全的变化。 Secure Code Warrior 和 Evans Data Corp. 2020年

无聊，无聊，无聊!这是每当提到安全代码培训时，你会听到开发人员的主要反应之一。在Secure Code Warrior ，我们相信一定有更好的方法，所以我们与埃文斯数据公司合作，对开发人员对安全编码、安全代码实践和安全操作的态度进行了主要研究（在此下载白皮书的副本 这里).

在即将发布的《从反应到预防。在即将发布的 "从反应到预防的转变：应用安全的变化"中，开发人员被问及他们在当前安全代码培训中的主要问题，答案很有说服力。

带动开发者的培训

40%的受访开发者认为，安全编码的教学是在真空中进行的。另有40%的人认为培训过于理论化，与他们的工作无关，而且不够 "实战"。30%的人认为缺乏他们每天工作的语言：框架的培训。这很严重，因为它告诉我们，目前的安全代码培训与背景无关，与开发人员每天的工作没有任何意义的关系。 

对于许多开发者来说，他们的主要挑战是在令人头疼的、不动手的活动中保持清醒，这些活动既没有效果，也不能激励他们把安全放在首位。

在真空中进行的培训使开发人员无法在实验室和现实世界之间建立认知联系。

开发人员希望从安全代码培训中获得的3个东西。 

1. 压倒性的是，开发人员说他们希望培训更多的实践，并与他们的日常工作更有关联。 
2. 65%的开发者表示，需要在特定语言的漏洞和OWASP Top 10方面进行更多培训。 
3. 75%的受访开发者喜欢结构化的在职培训。 

提升开发者的培训

当涉及到在职培训时，开发人员会带来一定程度的经验和现有的知识。这就说明了对 "支架式 "学习的需求。这是一种结构化的培训--或称支架式培训--以开发人员已经知道的知识为基础。支架式教育既能激活和增强任何先前的经验，同时又能继续以小块的方式建立新的技能。这使得它成为在职学习的完美手段。

传授坚持不懈的技能

当涉及到开发人员安全培训时，我们知道开发人员更喜欢边做边学的方法，而不是基于理论的静态学习的苦差事。从这个意义上说，在一个高度相关的环境中学习安全编码是关键。作为安全编码变革的推行者，Secure Code Warrior ，在相关的编程语言和框架中提供上下文的实践教育，并模仿开发人员在现实世界中面临的挑战。学习内容包括超过5500个挑战和missions ，涵盖超过147种不同的漏洞类型，包括重要的OWASP Top 10、OWASP Mobile Top 10、OWASP API Security Top 10和CWE/SANS Top 25。 

如果你想看看对你的团队和他们更快地交付安全代码的能力的潜在影响。 预约演示现在。

当涉及到学习安全编码时，开发人员的主要动机是什么，以及如何利用它们来设计和实施一个成功的应用程序安全计划？在2020年，Secure Code Warrior ，与埃文斯数据公司合作，对开发人员对安全编码的态度、安全代码实践和安全操作进行了主要研究（下载白皮书 这里).

在接受调查时，开发人员声称他们看到了安全代码培训的价值。80%的开发经理说他们更倾向于雇用具有安全编码技能的开发人员。那么，在对这些技能的需求如此之大的情况下，为什么仍然如此缺乏受过安全培训的开发人员？ 

开发人员缺乏动力似乎并不是核心问题。开发人员是有动力的，当被问及他们学习安全代码培训的动力来源时，他们是这样告诉我们的。

• 35%的受访者是受公司相关问题的驱动
• 24%是出于个人原因
• 41%的人是由个人和公司的动机所驱动。 
  

而当我们再深入调查时，我们发现安全代码培训的五大个人动机是。

1. 提高生产力和效率
2. 好奇心/个人兴趣
3. 避免由不安全的代码引起的问题
4. 潜在的职业发展
5. 更有效地利用人力资源

当考虑到以公司为中心的动机时，开发人员理解学习安全代码的做法可能会提高生产力。管理者可以看到安全编码的实践如何使他们的人力资源得到更有效的利用。虽然各地区的动机不同，但在全球范围内，提高生产力和效率的愿望仍然是不变的。

‍

也就是说，开发人员并不总是被外部因素所驱使去学习安全编码，例如雇主的要求。在许多情况下，决定是自我激励的。开发人员关心他们所创造的东西，并为他们的工作感到自豪，当我们看一下吸引开发人员学习安全编码的前四个原因时，就可以看出这一点。虽然25%的开发人员说他们想为公司创造价值，但同样比例的人说他们想提高代码的质量。对于其他人来说，这都是关于工作场所的赞誉、知名度和认可。70%的人说，当他们写出安全的代码时，他们会得到公司的认可。而且，如前所述，80%的开发经理更倾向于雇用具有安全编码技能的开发人员。

开发人员是有动力的--那么为什么他们没有更多的参与呢？ 

如果安全技术开发人员如此受重视，学习的动力也在那里，为什么他们会如此短缺？

正如我们所看到的，开发人员有明确的理由提高他们的安全编码技能，但仍然对目前的许多安全培训感到厌恶。很少有人会去找它。基于这项研究，我们相信答案是相对简单的。目前的安全编码培训是不充分的，因为它不能完全解决吸引开发人员首先进行安全编码的关键因素。

让我们来看看这些因素中的每一个。 

当涉及到增加价值和效率以及提高他们的代码质量时，开发人员需要培训，使安全编码成为他们日常工作的固有内容。他们需要在编码时识别和修复漏洞的技能--从一开始就这样。为了获得最大的相关性和即时适用性，培训应该在他们每天使用的特定语言和框架中进行。

传统的培训方法无法实现这一点，许多开发人员认为它们非常枯燥和不相关。作为安全编码变革的推行者，Secure Code Warrior ，使安全编码成为开发人员的积极和参与的经验。我们相信，培训必须以激发开发人员学习的方式进行。这需要"实践、互动和与工作相关的模拟和挑战，激励参与者从一开始就将安全功能融入他们的代码。这种高度互动的以开发人员为中心的培训方法将开发人员的学习动机置于应用安全计划的核心。如果你想看看这一切是如何实现的，现在就预订一个演示。

‍

这篇文章的一个版本出现在 黑暗阅读.它已被更新并在此转发。

‍

如果说有什么东西能毁掉网络安全行业的圣诞节，那就是一个毁灭性的数据泄露事件，它将成为有记录以来影响美国政府的最大网络间谍事件。

SolarWinds的攻击影响深远，威胁者早在2019年年中就已初步攻破该软件。这个长达数月的抢劫案在2020年12月被发现，因为它被用来渗透到著名的网络安全公司FireEye，噩梦从此揭开。该漏洞的全部范围仍在调查中，但关键的渗透领域包括美国国务院、国土安全部、商务部和财政部，此外还有国家卫生研究院。

这一事件将产生持续的余震，但它的复杂性令人着迷。在技术层面上，这是一个涉及定制恶意工具、后门和隐蔽代码的多层渗透，远远超出了我们经常看到的利用更明显错误的脚本小子的技能。

最糟糕的洗钱行为

CrowdStrike在逆向工程利用方面做了更多的天才工作，并详细说明了调查结果供大家参考。现在已经发现，SolarWinds是一个基础设施漏洞的受害者，允许恶意代码注入系统更新，导致至少四个独立的恶意软件工具为威胁者打开了前所未有的访问。

该方法是隐蔽的，可以实现战略上的精确性，似乎直接来自于杰森-伯恩的小说。它为嗅探、计划和打击SolarWinds网络外的受害者赢得了时间，而这正是他们想要的，是一次全面的供应链攻击。而且，这一切都是用看起来完全良性的代码进行的。 

网络攻击往往是由简单但代价高昂的错误造成的。一旦被发现，这些错误是相当明显的；想想看，一个配置不良的网络，以明文存储的密码，或未打补丁的软件，容易受到已知漏洞的攻击。在这种情况下，这些代码一点也不显眼，而且不仅仅是对开发人员和安全工程师而言。各种昂贵、复杂的安全技术也未能发现它。  

安全监测和渗透测试工具几乎失去了作用

安全专业人员往往像摇晃的马粪一样稀少，所以他们在寻求保护大量的公司数据、软件和基础设施的过程中，得到了根据企业安全需求定制的技术栈的帮助。这通常采取的形式是网络防火墙、自动渗透测试、监控和扫描工具等组件，后者在软件开发过程中占用了大量时间。这种工具可以迅速螺旋式上升，变得难以管理和执行，许多公司使用的不同产品和服务多达300种以上。

SolarWinds將擁有一系列令人瞠目結舌的工具，以發現和突出代碼中的安全漏洞、試圖未經授權的網絡訪問、基礎設施的任何部分的潛在損害，甚至發現逃避檢測的跡象。这些威胁者能够注入即使是最先进的安全堆栈也无法发现的恶意代码，这是前所未有的。 

基础设施加固--尤其是访问控制--是一般网络安全最佳实践的基本组成部分，但如果攻击者能够悄悄地利用一个微小的机会窗口，那么网络就会像独立软件中的漏洞一样被破坏。 

这个漏洞提醒我们，一般来说，任何严重依赖工具来保护其网络基础设施和软件的公司都在承担巨大的风险。仅仅保护代码是不够的，所有存储、运行和编译代码的东西都必须同样地加强保护。理想的状态是工具和人员的平衡，执行一个强大的战略，深入评估和减少潜在的攻击面。

跨团队的安全意识使威胁建模更加完善

SolarWinds的漏洞已经开始对安全操作产生重大影响，特别是在政府层面。专家们吹捧说，这可能永远重塑网络安全实践。

越来越多的数字基础设施为我们的生活提供动力，而如果不进行细致的管理，它可能容易受到攻击，我们的总体战略是有缺陷的。当涉及到安全专业知识时，我们的人员严重不足，但我们并没有做很多事情来弥补这一差距。以人为本的安全意识是网络安全的一个未被充分利用的因素，正如把预防--而不是反应--作为优先事项一样。 

基础设施安全是一项复杂的工作，有许多移动的部分，但是，类似于他们在软件创建中的定位，如果得到适当的培训和安全意识，开发人员可以成为减少结构性风险的资产。 

威胁建模很少考虑到供应链攻击，尽管这种类型的攻击早在2012年就被强调为一种关键风险，以目前的技术很难预防，这让许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用，首先要确保他们的技能得到提高，能够从内到外评估他们的代码完整性。他们是否安全地建立了更新机制？软件在运行时是否有不必要的连接，从而更容易被恶意破坏？

当安全成为软件质量的同义词时，我们很容易看到一个有安全意识的工程师所能带来的巨大价值。

随着网络威胁的数量不断增加，企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法，因此，安全 代码战士与埃文斯数据公司合作，对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究（下载白皮书 这里).

这份报告显示，虽然 "老派 "的被动思维仍占主导地位，但人们越来越意识到需要更积极的解决方案，将开发者本身变成第一道防线。  

任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码，并更快、更有信心地发送高质量的代码？ 

安全编码--我们现在在哪里，有什么需要改变？ 下载 信息图 "人的因素"，现在。

当前的观点--被动与主动

当开发人员和开发经理被问及他们与安全编码相关的活动时，前三个回答是：。

• 在已部署的应用程序上使用扫描工具。
• 手动审查代码中的漏洞。
• 编写受保护的软件的积极和持续的做法，以防止漏洞。

正如我们所看到的，前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具（扫描仪），第二个依赖于开发人员（即人类）执行手动检查。

同时，在被提名的三项活动中，有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中，最能说明问题的是第3项，它确定了在编写软件时的人为因素，首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法，从SDLC的一开始就将安全纳入软件。 

安全在SDLC中的位置？ 

当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时，意见不同。55%的经理认为安全编码被整合到了整个开发过程中，而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作，并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。

但从整体安全和代码质量的角度来看，令人震惊的是，只有13%的开发人员和10%的管理人员表示，安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究，修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决，它必须考虑到人的因素。 

人的因素准备好了吗？

97%的受访开发者认为他们已经接受了足够的安全编码培训，95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前，我们需要问：为什么代码漏洞仍然如此普遍？开发者声称的安全代码专业知识只是人类自我的一种情况吗？证据当然指向了这个方向。在更谦虚的承认中，超过88%的受访开发者承认安全编码很难学习，91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时，28%的开发人员认为学习过程具有挑战性，而24%的人认为学习过程很无聊。这指出了一个事实，即开发人员的培训需要改进。 

人的因素需要什么？ 

为了克服 "挑战 "因素，有价值的安全培训需要一个 "脚手架 "过程，支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性，培训应该在他们每天使用的特定语言和框架中进行。

为了克服 "无聊 "的因素，安全代码培训需要以实践的方式进行--事实证明，这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟，让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞，并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导，这有助于开发人员在编码时不断学习和提高技能，在工作中防止和消除漏洞。

如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。

你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。

‍

在一个网络威胁不断增加的世界里，你的编码员是否在加紧工作？安全编码的人类元素--重要的开发人员--是否准备好在保护我们的互联世界中发挥他们的作用？为了回答这个问题，让我们来看看最近由Secure Code Warrior 和 Evans Data Corp.进行的关于开发人员对安全编码、安全代码实践和安全操作的态度的研究的一些见解。

开发人员的安全编码技能--观念与现实的关系

在即将发布的《从反应到预防。应用安全的变化，97%的受访开发者认为他们已经接受了足够的安全编码培训，95%的人认为安全编码培训对他们的职业生涯有价值。但在我们接受这些说法的表面价值之前，我们需要反思并提出一些重要问题。为什么代码漏洞仍然如此普遍？'如果开发人员在安全编码方面接受了很好的培训，为什么同样的老漏洞不断出现，一次又一次--在过去20多年里，同样的10个软件漏洞造成了大多数的安全漏洞？

到底发生了什么？ 

开发人员说他们在安全方面训练有素，但这可能是过度自信？一个有说服力的因素是，这种积极的自我assessment ，与开发人员自己对安全编码的难度的看法相矛盾。即使大多数开发人员说他们已经接受了有价值的和充分的培训，大多数开发人员和开发经理仍然认为实施安全代码的做法有点困难。 

• 超过91%的开发经理说实施安全代码实践是很困难的。 
• 超过88%的开发人员认为安全编码是一种挑战。作为安全编码中最重要的 "人的因素"，开发人员没有得到他们需要的安全代码培训--这表明需要更好的安全代码培训和 提高技能，使安全成为他们思考的内在因素。 

为什么实施安全代码是如此具有挑战性？

为了了解为什么开发人员和开发经理认为实施安全代码具有挑战性，他们被要求确定他们对实施安全代码的主要担忧。

，这表明28%的人认为学习过程具有挑战性，而24%的人认为学习过程本身就很无聊。

这些最关注的问题有相关的影响。因为学习过程很难，所以需要更有吸引力的培训。也需要与开发者更相关的培训，因为学习过程是枯燥的，突出了以开发者为中心的成人学习的需要。

"我想学习一些东西，让它坚持下去，而且我可以适当地应用到其他场景中。这将是Secure Code Warrior 。"

高级软件工程师 @ ForgeRock

缺少的环节

作为安全编码变革的推行者，Secure Code Warrior 采取以人为本的方法，使建立安全编码技能成为一种积极和有益的经验。我们通过100%的实践、有趣和互动的培训，让开发人员充分参与到安全编码实践中，使他们能够在编码时识别和修复安全问题。所有这些都通过在漏洞成为明天的新闻之前预防漏洞来减少成本和发布时间。 

但不要相信我们的话。

"Secure Code Warrior®门户网站是一个很好的平台，可以了解到多种技术的安全漏洞。它既，有趣又互动"。

安全测试员，小型商业零售公司
TVID: 5AC-3CA-F68

"Secure Code Warrior游戏化的使用帮助我们以一种令人耳目一新的有趣和参与的方式强调安全编码的重要性。"

软件工程师，全球500强金融服务公司
TVID: B0D-73D-BE3

而且，还有很多其他的东西。因此，如果你想近距离观察这种安全代码培训的新方法，看看它是如何将开发人员变成真正的安全超级英雄的，我们很愿意向你展示。