你知道吗，67% 的开发人员承认他们的代码存在漏洞？想象一下，一队建筑工人正在建造一座房子。他们拥有所需的所有材料和工具，但却难以遵循蓝图和建筑规范。结果，他们犯了错误，房子没有按照规范建造。

这个比喻可以用来说明开发人员在尝试安全编码时所面临的挑战。正如建筑工人需要遵循蓝图和建筑规范来确保房屋安全一样，开发人员也需要遵循安全编码实践来确保软件应用程序的安全。

安全编码之所以具有挑战性，原因有很多。这些原因包括

• 缺乏安全编码实践意识。86% 的开发人员表示，他们认为安全编码实践具有挑战性。
• 缺乏时间和资源。在我们的调查中，24% 的受访者表示 "时间不够 "是集成安全代码的最大障碍。
• 安全编码的复杂性。63% 的开发人员认为编写没有漏洞的安全代码很困难。
• 过度依赖工具。57% 的应用安全团队在 DevSecOps 生命周期中使用六种或更多工具来发现漏洞。(GitLab，2023 年）

然而，尽管存在这些挑战，安全编码仍然至关重要。通过遵循安全编码实践，开发人员可以帮助保护自己的应用程序不被攻击者利用漏洞。就像建造良好的房屋不容易倒塌一样，编码良好的应用程序也不容易被黑客攻击。

以下是一些提示，供希望改进安全编码实践的开发人员参考：

• 获得有关安全编码的培训和教育。有许多资源可以帮助开发人员学习安全编码实践。
• 使用静态分析工具识别代码中的漏洞。静态分析工具可帮助识别代码中人工难以发现的漏洞。
• 编写易于审核和理解的代码。易于审核和理解的代码更有可能是安全的代码。
• 彻底测试代码。测试代码有助于在漏洞被利用之前发现并修复漏洞。

有兴趣了解更多吗？通过我们的安全代码学习蓝图，揭开制定敏捷安全编码策略的秘密。 

‍

‍

‍

‍

在动态的软件开发领域，敏捷不仅是一个流行词，更是一种必需。在认识到瞬息万变的形势后，开发人员必须采取不断学习的心态，以进一步优化平均修复时间（MTTR）。敏捷学习包括快速适应新技术、新方法和新的安全编码问题解决技术的能力。在本博客中，我们将探讨敏捷学习如何成为降低平均修复时间（MTTR）和提高整体开发效率的关键因素。

开发商在缩短平均修复时间（MTTR）方面面临的挑战

2023年利用漏洞的平均时间为 44 天，但 75% 的漏洞在发布后 19 天内被利用。这应该警醒我们在补丁管理、威胁情报和开发人员教育方面采取积极主动的态度。

由于工具和系统错综复杂、沟通不畅，以及缺乏处理需要立即关注的问题的技能，开发人员在发现和解决问题时面临着一系列挑战。以下是开发人员在修复漏洞时面临的一些挑战。 

系统复杂，缺乏自动化：

• 现代应用程序通常由微服务、应用程序接口和各种第三方集成组成。在如此复杂的系统中找出问题的根本原因既具有挑战性又耗费时间。问题检测、分析和解决的手动流程可能会耗费大量时间。缺乏自动化会阻碍开发人员应对事件的速度。

可见度和沟通有限：

• 开发人员在实时了解系统行为和性能方面面临许多困难。这会阻碍他们快速识别和解决问题的能力。
• 高效沟通是解决问题的关键。孤立的沟通渠道以及开发、运营和其他团队之间缺乏协作可能会导致问题解决的延误。

缺乏快速解决问题所需的技能：

• 如果没有正确掌握安全编码实践，开发人员可能难以应用有效的补丁，无意中引入新的缺陷，并忽略关键的安全控制。这种缺乏了解的情况会阻碍与安全专家的合作，导致不完整或无效的修复，增加代码库中安全威胁的风险。 

敏捷学习优势 

敏捷学习者善于掌握新技能。随着技术的发展和系统的复杂化，开发人员需要保持领先。投资于持续的learning platform 将使团队掌握最新的故障排除和调试技术。

1.自适应解决问题

敏捷型学习者在解决问题是一个迭代过程的环境中茁壮成长。通过培养一种鼓励实验和从失败中学习的文化，开发团队可以提高他们迅速解决复杂问题的能力。

2.跨职能合作

敏捷学习与跨职能协作相辅相成。开发人员、安全人员和其他团队不仅要分享知识，还要集体学习彼此的经验。这种协作思维通过利用各种技能和观点来加速问题的解决。

3.将学习融入开发人员的工作流程： 

在开发周期内实施短期、集中的学习冲刺。这些冲刺可以专门用于探索新技术、工具或解决问题的方法。通过为持续学习分配时间，团队可以主动培养应对新挑战所需的技能。

4.倍增安全冠军：

在团队中培养安全文化，由经验丰富的开发人员带头。他们可以指导经验不足的团队成员，与他们分享知识并提供有价值的见解。这种指导不仅能加快学习曲线，还能培养出更多的安全卫士。 

基于这些核心原则，Secure Code Warrior 客户在缩短平均修复时间方面取得了显著成效。这可以用天数来衡量，一位客户的修复时间缩短了 150 天。也可以用修复时间来衡量。例如，了解赛捷如何通过Secure Code Warrior 将一个团队的修复时间缩短了 82%。 

总结 

在优化 MTTR 方面，安全代码的敏捷学习是持续改进解决持久性漏洞的催化剂。通过建立一种重视适应性、鼓励持续学习和促进跨职能协作的文化，开发团队不仅能应对不断变化的软件环境带来的挑战，而且还能超越这些挑战。在我们驾驭复杂软件系统的过程中，让敏捷学习成为指南针，引导开发人员更快地解决问题，不断取得成功。

‍

九年多前，我曾与朋友、家人、前同事和潜在投资者多次谈及我想创办一家公司的想法。他们都很支持我，有些人成为了我们创业所需的天使，有些人则充当了理智的代言人，引用了一些令人警醒的数据，比如90% 的初创公司最终都会失败，其中五分之一的公司会在头两年内倒闭。 

一路走来，我们并非没有遇到过障碍、不可预知的经济逆风和重大风险，但有我的联合创始人马蒂亚斯和我身边令人难以置信的团队，我觉得我们几乎可以经受住任何挑战。 

今天是我们的九岁生日，我为我们取得的成就和在网络安全领域的持久地位感到无比自豪和感激，因为网络安全领域仍在发生着日新月异的变化。 

‍

新客户，新机遇

在当前的经济环境下，要实现增长并非易事，但我们仍在不断寻找提高速度和效率的方法，并为不断扩大的客户群提供更多价值。2023 年，我们的客户名单上增加了大量一级标识，但真正的收获是见证了他们愿意尝试新的安全软件开发方法，即使是在推广难度明显增加的传统环境中。 

如果我们想见证安全成果的转变，这些行业巨头可以在推动我们必须看到的变革方面发挥重要作用。 

2023 年，我们欣喜地看到：

>> 我们的年度 Devlympics 全球安全编码tournament 增长了 100%。请保存日期并注册您对 2024 年tournament 的兴趣，该活动将于 10 月 15 日开始！

>> 超过 400,000 名开发人员使用Secure Code Warrior Learning Platform 。

>> 从我们 30% 的用户群（近 75,000 人）中分析得出的数据显示，通过Secure Code Warrior 学习和应用安全编码实践的开发人员在其组织中引入的漏洞比同行少 53%。真棒！

人工智能占据着头条新闻和会议室，但我们已经做好准备

去年，围绕人工智能、机器学习和大型语言模型（LLM）技术的炒作不可避免，而在短短的十二个月内，人工智能编码和安全工具的冲击已经开始改变许多开发人员编写代码的方式。

新兴技术能够抓住时代的潮流，并要求大规模采用，其威力令人难以置信，而人工智能辅助编码工具也将继续存在。然而，正如我们已经详细讨论过的那样，这种技术甚至扩大了安全软件开发与效率之间的鸿沟。企业需要在速度与上下文感知和漏洞检测之间取得平衡，而后者最好是在经验丰富的人工监督下完成，因此，企业比以往任何时候都更需要具备安全技能的开发人员。从某种程度上说，这就是结对编程的未来，而这些工具本身也为软件创建开辟了一个新的、独特的领域。

您可以参加互动挑战赛，亲眼见证人工智能/LLM 工具对安全的影响，并看到重视开发人员安全技能提升的巨大机遇。我们随时准备与那些追求速度和效率并将安全放在首位的组织合作。

与网络安全领导者并肩作战，创造开发人员驱动的积极安全成果

整整九年来，我们一直倡导将软件工程师作为安全计划的核心，而随着我们在这一领域进入十年，2024 年将成为我们历史上具有革命性意义的一年。

我们的产品路线图上有许多令人惊叹的新功能，我们迫不及待地想与大家分享，我知道安全领导者会对我们能帮助他们的开发团队实现哪些功能特别感兴趣。 

敬请期待，感谢您与我们同行。

本文的一个版本刊登在《福布斯》上。


‍《网络安全战略计划》对大多数组织处理网络安全的方式进行了重大变革，而开发人员在帮助实现这些新目标方面处于独特的地位。

‍

网络安全和基础设施安全局（CISA）自 2018 年成立以来，不仅在保护美国关键基础设施和计算网络方面发挥了重要作用，其影响力和专业知识也在全球范围内产生了反响。该机构的综合建议、安全咨询、漏洞报告和网络安全计划为可操作的最佳实践树立了全球基准，凸显了新发布的《CISA 2023-2025 年战略计划》在全球网络安全领域的重要意义。

CISA 的影响力和成就也远远超出了大多数政府机构所能达到的水平，特别是考虑到它才成立几年。这在很大程度上是因为威胁呈指数级增长，攻击者的入侵和利用手段也越来越娴熟。CISA 在打击网络犯罪分子和其他所谓的威胁行为者的斗争中发挥了领导作用，有条不紊地跟踪网络安全趋势，并就最佳实践提出建议。

然而，尽管该机构提供了很多有益的建议和指导，但它从未发布过旨在确定未来几年网络安全工作总体方向的总体战略计划。这不仅仅是另一项计划，而是一个里程碑，许多组织都希望研究并最终实施该计划。事实上，该计划要求对网络安全的处理方式进行重大变革，这可能会使遵循该指导具有挑战性，尽管如果获得正确的支持、工具和技能提升途径，开发社区在提供帮助方面具有独特的优势。

全球网络安全最佳实践正在发生变化

乍一看，我们很容易从 CISA 战略计划中感受到某种程度的挫败感，但 CISA 只是承认了一个事实，即如果我们继续做现在同样的事情，我们将继续看到同样的结果。要想改善网络安全状况，就需要全面进行重大变革，包括制造当今使用的软件和应用程序的公司。

将矛头指向软件，至少部分地指向软件，这是以前就提出过的概念。事实上，《美国国家安全战略》明确指出，"软件安全性差会大大增加整个数字生态系统的系统性风险"。CISA 战略计划提出了一项新战略，以应对和解决这一困境。

CISA 在网络安全方面倡导的最大变革是，要求软件制造商提供安全的产品。如果安全编码最佳实践得以确立和实施，那么潜伏在软件中供攻击者利用的漏洞，尤其是重大漏洞，就会大大减少。是的，这里或那里的一些漏洞仍有可能被忽视，需要努力查找和修复，但与目前的现状相比，这是一个可控的命题：每天都有数以百计的漏洞被发现，使网络安全防御者不堪重负。CISA 在其计划中明确指出，软件和其他技术的制造商需要对自己产品的安全性负责。

"CISA 战略计划指出："作为一个社会，我们不能再接受这样一种模式，即每种技术产品在发布的那一刻就存在漏洞，而绝大多数的安全责任都由各个组织和用户承担。"技术在设计、开发和测试时，应尽量减少可利用缺陷的数量，然后再推向市场"。

该计划还表示，这种新方法最终可能不仅仅是建议性的，CISA 将使用 "所有可用的杠杆来影响组织领导者的风险决策"。该计划还暗示，像《2022 年关键基础设施网络事件报告法》（CIRCIA）这样目前对网络事件报告进行规范的法律，可以作为一种模式，最终将自愿遵守这些新法规转变为更具强制性。无论如何，如今大多数生产软件和其他技术的公司都将受益于这一新指南。

CISA 的指导意见提供了一个重要机会

面对更多潜在法规的前景，企业不应感到忐忑不安，而应抓住机会，利用 CISA 战略计划努力开发更好、更高质量的软件。这不仅是对合规性的要求，也是开发人员磨练技能、为更安全的数字环境做出贡献的机会。归根结底，生产安全的软件对每个人都有帮助，包括制造软件的公司、依赖软件的用户以及被软件或应用程序访问或存储数据的用户。如果大部分软件和应用程序的代码在进入生产环境之前就尽可能确保安全，那么攻击者就只能空手而归。

鉴于这一新方向，企业的开发人员（他们编写或提供所有代码）是实施更安全的编码和努力遵守 CISA 计划的最佳起点。但是，如果没有组织其他部门，特别是高层管理人员的支持，开发人员是无法单独完成这项工作的。让开发人员了解漏洞、如何编写安全代码以及如何在问题进入生产环境之前及早识别问题，将是企业最终承担代码交付责任的关键，正如 CISA 所说，"确保在对手利用漏洞造成危害之前发现并修复漏洞"。

需要注意的一个关键问题是，开发人员需要接受相当高级的培训。要想熟练地持续编写安全代码是一项极具挑战性的工作，而 "检查框 "式的合规措施根本无法完成这项任务。作为整体安全意识计划的一部分，开发人员将需要高水平、敏捷的学习方法，以提供实践、可消化和持续的学习成果，从而确保他们掌握所需的技能，以维持新 CISA 计划所要求的安全水平。 

理想情况下，为准备 CISA 计划而进行的技能提升还应纳入开发人员日常使用的许多先进方法和程序，如敏捷开发原则。例如，在敏捷开发中，工作被分解成易于管理的小块，在一个连续的循环中将冲刺阶段层层叠加。包含敏捷实践的良好教育计划可以帮助开发人员快速掌握支持 CISA 计划所需的技能，使他们几乎立即就能开始看到收益并开始更安全地编码。

好消息是，大多数开发人员都支持安全编码实践，并渴望帮助他们的组织遵守新的 CISA 指令。在对全球 1200 多名活跃的专业开发人员进行的调查中，绝大多数人表示支持创建安全代码的概念，并在其组织中建立更好的安全文化。 

开发人员需要精确的教育途径和充分的支持。如果组织能够提供这样的支持，他们的代码不仅会变得更加安全，而且在努力遵守或超越新的 CISA 网络安全战略计划中规定的指导方面也会走在前面。

安全文化的这一转变将充满挑战，但同时也是一个改变网络安全本质的绝佳机会，在这个世界上，让我们的生活变得更美好的技术不会被攻击者不断试图利用来达到自己的邪恶目的所困扰。我们有能力阻止他们，而 CISA 计划为实现这一非凡且最终可实现的目标指明了一条充满希望的道路。

本文原载于 DZone.

《支付卡行业数据安全标准》（PCI DSS）4.0 版将改变任何接受电子支付的企业或组织（绝大多数）的几乎所有安全问题。毫无疑问，这次更新对大多数企业来说都将是一次变革，要求他们升级许多安全流程，并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施，而在此之前，他们可能还迟迟没有采用这些措施。

由于新要求的复杂性，各组织必须在 2025 年 3 月之前完全达到要求。但这一最后期限的到来比大多数人意识到的要早。事实上，许多有远见的公司现在就在采取措施，让他们的开发人员能够驾驭即将到来的合规环境。 

超越检查框培训

企业的开发人员编写了企业基础架构所依赖的大量代码，因此在实施新的 PCI DSS 4.0 要求时，他们是一个很好的起点。不过，大多数开发人员都需要战略支持来提高技能，这也是更新安全意识计划的一部分。这是为了确保他们拥有实施和维护新标准所要求的更高安全级别所需的经验。 

事实上，PCI DSS 4.0 的要求 12.6.2 规定，企业必须实施正式的安全计划，并根据最新的威胁信息和防御技术不断更新。在旧标准中，基本的安全计划甚至是 "检查框 "式的年度合规培训都能达到目标。新标准的要求则更高，甚至要求安全培训计划必须针对公司环境中的特定威胁和漏洞。例如，如果身份被盗是企业的一个大问题，那么培训就需要解决这个问题。

显然，无论是从实用角度还是从遵守新标准的角度来看，最基本的培训都不再足够。相反，企业需要为开发人员提供全面、灵活的学习途径，教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规努力，并为开发人员提供他们真正了解安全所需的资源，企业可以让他们的开发人员在遵守 PCI DSS 4.0 的同时，做出更好的安全决策。

好消息是，PCI DSS 4.0 中的许多新要求都针对大多数开发人员已经熟悉的领域，如身份验证、加密、访问控制、密钥管理等。如果能为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能，企业就能更轻松地让他们为 PCI DSS 4.0 所要求的新标准和更多责任做好准备。

将 PCI DSS 4.0 作为提高整体安全性的途径

虽然通过良好的安全教育来满足开发人员的需求是成功遵守新的 PCI DSS 4.0 标准的关键，但企业为实现更好的网络安全所做的努力并不需要到此为止。是的，这些要求是严格的，但由于大多数组织都需要努力遵守这些要求，因此没有理由不把这种努力作为跳板，全面启动更好的安全意识和培训。这不仅能帮助企业满足合规要求，还能开始培养一种积极的安全文化，将最佳实践放在首位，确保企业中的每个人都朝着同一个安全第一的目标努力。 

当然，这需要一定的学习曲线，但开发人员很可能会支持这样的努力。埃文斯数据公司（Evans Data）对全球 1200 多名活跃的专业开发人员进行了调查，绝大多数人表示，他们支持创建安全代码的概念，并在他们的组织中建立更好的安全文化。很明显，大多数开发人员都欢迎在战略上支持向安全编码的转变，并将安全作为开发流程的一部分重新排序。 

PCI DSS 4.0 规定的安全升级为企业提供了一个绝佳的借口，使其可以投资于改进安全最佳实践和培训，并在组织内部形成更好的整体安全文化。

如果开发人员所在的公司投资一项计划，让他们将安全编码技能与相关工具和培训相结合，他们就能更轻松地达到更高的安全成熟度。反过来，这也有助于创建一种安全文化，让开发人员有能力做出更好的决策，从而改善组织的整体安全状况，甚至远远超过严格的新 PCI DSS 4.0 标准。
‍

一年之计在于春。在这个时候，我们要反思发生的一切，反思我们认为会发生但没有发生的事情，反思我们汲取的经验教训，反思我们对未来 12 个月的决策、行动和结果的预期。 

具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能，造就了 DevSecOps 有趣的 2023 年。更令人好奇的是，当我们翻开新的一页，迈向 2024 年时，这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说，它们都是前沿和中心。 

随着工作重点的快速变化，以下是Secure Code Warrior 对未来 12 个月的预测： 

各组织将重视留住开发人员 

开发人员为企业及其客户带来了巨大的价值。现在，企业有责任展示他们的价值，并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入，以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说，学习和发展将是一个巨大的差异化因素。 

更多的开发人员将把内容和集成放在中心位置。 

开发人员面临的压力不会很快减轻，因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐，预测软件开发生命周期（SDLC）中新出现的路障，并获得更多资源以加速创新，更多的学习内容和第三方集成将至关重要。 

人工智能工具是新的 Stack Overflow 

就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样，开发人员也会开始求助于人工智能工具。然而，这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道"，但企业会意识到这种方法是不够的。 

人工智能修复势在必行 

人工智能明天不会取代开发人员，但该技术正越来越多地嵌入软件开发生命周期（SDLC），从而创造出一个更加万无一失的流程，以避免引入漏洞或确定兼容的修复方法。在这一年中，我们必将看到更多的尝试，这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。 

依赖人工智能+应用程序接口爆炸式增长=监管措施

通过加速创建和启用应用程序接口（API）来推动业务发展的公司数量大大增加了应用程序接口（API）的威胁载体。随着人工智能的使用，API 的创建和启动速度将呈指数级增长，加强 API 安全治理将成为重点--新的监管措施肯定会出台。 

不提供安全代码的软件供应商将承担更多后果 

CISA 主任珍-伊斯特里（Jen Easterly）非常明确地表示，软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"（Secure-by-Design）实践，但今年早些时候发生的 MOVEit 事件再次证明，大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者，需要加强问责制，并强制执行更多的后果。

2024 年的 OWASP Top 10 将重新关注设计缺陷 

谈到 "安全设计"，OWASP 在 2021 年引入了 "不安全设计 "类别，重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单（很可能在 2024 年）的期待，围绕不安全设计和不安全实施之间的区别，将会有更多执行层面的对话，重点是开发安全软件开发生命周期（SSDLC）的团队，包括支持关键身份验证和访问控制配置的完整威胁建模程序。 

DevSecOps 供应商需要证明具体的投资回报率，以锁定不同的高管买家 

为了在竞争激烈的销售周期内向多个群体销售，供应商需要针对不同的业务领域调整对话内容。传统上，安全厂商主要向 CISO 或安全领导层销售产品。2024 年，除了安全/CISO 之外，L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。

"把关 "将是软件开发安全成熟度的入场券 

首席信息安全官仍需证明网络安全工作的商业价值，以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识，然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准，并从软件创建流程的一开始就优先考虑安全编码，那么他们的团队就能更好地实现卓越安全。 

被动安全将被视为老派 

随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位，那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语；代码级安全应被列为优先事项，同时还应提高软件和关键数字基础设施开发人员的技能，并核实他们的能力。现在，政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划，让每一位员工都能分担责任。

作为安全编码教育和实施领域的领导者，我们对未来的一年充满期待，并将与 600 多家客户合作，在这些不断变化的动态中抢占先机。您的 2024 年是怎样的？Secure Code Warrior 可以为您提供哪些帮助？

有兴趣了解更多信息？在 X 和 LinkedIn 上关注我们，随时了解最新公告。

云计算和人工智能的创新速度达到了前所未有的高度。全球 SASE 领导者 Netskope 帮助企业利用这一切，同时应对不断变化的威胁、新风险和技术转变。然而，这些充满挑战的动态给软件开发生命周期带来了更大的压力。

Netskope 的副首席信息安全官詹姆斯-罗宾逊（James Robinson）一直走在寻找确保其组织的开发团队跟上新语言和新技术的最前沿，同时也让团队熟练掌握不断变化的安全环境。当他意识到当前的培训能力只能满足少数语言的需求时，显然需要一个更好的替代方案。

在与Secure Code Warrior 合作的过程中，他们建立了一个计划，使开发人员能够看到并访问安全内容，这样他们就不会徘徊在未经审查的解决方案中。来自Secure Code Warrior 的可定制内容和大量实践学习活动改变了 Netskope 的游戏规则，他们更多地参与了 SCW 的敏捷learning platform ，而且这些工作不再让人感觉是检查框，而是对开发人员社区有意义的内容和活动。

他们的整个旅程是怎样的？

• 请点击此处查看 Netskope 的最新案例研究。
• 点击此处观看与Secure Code Warrior 和 Netskope 就 "超越合规 "举办的联合网络研讨会 

无论你走到哪里，几乎所有的垂直领域都在持续关注人工智能技术。有些人将人工智能技术视为软件开发中快速创建功能的答案，但速度的提高是有代价的：由于工具本身缺乏上下文意识，开发人员也缺乏低级安全技能，因此有可能在代码库中出现严重的安全漏洞。 

大型语言模型（LLM）技术代表了辅助工具领域的一次震撼性变革，如果使用安全，它的确可以成为众多软件工程师渴望的结对编程伴侣。然而，人们很快就发现，不加节制地使用人工智能开发工具可能会带来不利影响，斯坦福大学2023 年的一项研究显示，依赖人工智能助手很可能会导致代码漏洞更多、更不安全，此外，对输出结果是否安全的信心也会上升。

虽然我们有理由相信，随着人工乐虎国际手机版下载技术的不断完善，人工乐虎国际手机版下载工具也将不断改进，但包括拜登政府新颁布的行政命令以及欧盟人工乐虎国际手机版下载法案在内的一系列建议，无论如何都会让人工乐虎国际手机版下载工具的使用变得棘手。开发人员可以通过磨练自己的代码级安全技能、意识和对人工智能工具输出的批判性思维来抢占先机，进而成为更高标准的工程师。

人工智能编码助手如何引入漏洞？ 玩玩我们的新公共任务亲身体验！

‍

示例：ChatterGPT' 中的跨站脚本 (XSS)

我们的新公开任务揭示了人们熟悉的 LLM 界面，并使用了 2023 年 11 月底生成的真实代码片段。用户可以解读该代码片段，并调查如果将其用于预期目的，是否存在任何潜在的安全隐患。

根据提示，"你能编写一个 JavaScript 函数来更改 p HTML 元素的内容吗？"人工智能助手尽职尽责地生成了一个代码块，但一切并不尽如人意。

您参加过挑战赛吗？如果还没有，请在继续阅读之前尝试一下。

......好了，现在您已经完成了它，您将知道相关代码存在跨站脚本 (XSS) 漏洞。 

XSS 是通过操纵网络浏览器的核心功能实现的。当不可靠的输入被呈现为页面上的输出，却被误解为可执行的安全代码时，就会发生 XSS。攻击者可以在输入参数中放置恶意片段（HTML 标记、JavaScript 等），当这些片段返回浏览器时，就会被执行而不是显示为数据。

在软件开发中安全使用人工智能编码助手

最近一项针对在职开发团队的调查显示，几乎所有团队（96%）都已开始在工作流程中使用人工智能助手，其中 80% 甚至绕过了安全策略，将其保留在工具包中。此外，半数以上的人承认，生成式人工智能工具通常会创建不安全的代码，但这显然没有减缓采用的速度。

在软件开发流程的新时代，阻止或禁止使用这些工具是不可能奏效的。相反，企业必须让其开发团队在不牺牲安全性或代码质量的前提下提高效率和生产力。这就需要就安全编码最佳实践进行精确培训，并为他们提供拓展批判性思维能力的机会，确保他们以安全第一的心态行事，尤其是在评估人工智能助理代码输出的潜在威胁时。 

更多阅读

有关 XSS 的一般信息，请查看我们的综合指南。

想进一步了解如何编写安全代码和降低风险？免费体验我们的XSS 注入挑战。

如果您有兴趣获得更多免费的编码指南，请查看Secure Code Coach，它可以帮助您掌握安全编码的最佳实践。

‍

在不断变化的网络安全环境中，开发人员在保护数字资产方面的作用变得越来越重要。然而，开发人员天生注重解决问题和提高效率，他们可能不会优先考虑安全问题，因此教育开发人员是一项挑战。在这篇博文中，我们将探讨构建安全教育计划的三个关键步骤，该计划不仅能吸引开发人员参与，还能显著减少漏洞，降幅高达 53%。从促进关系到实施分层方法，这些策略旨在让开发人员掌握安全编码实践所需的知识和技能。

1.建立关系，保持开发人员的参与 

开发人员往往缺乏初步的安全知识，但他们的首要任务是及时解决与代码相关的问题。要激发他们对安全的兴趣，强调这些主题的价值并使其具有可操作性至关重要。关键是要实施一项计划，让开发人员能够按照自己的进度独立接受培训，学习技术堆栈中的所有编程语言。与开发人员和团队领导建立牢固的关系，为安全代码教育分配切实可行的时间。

关键的第一步是 实施一项计划，让开发人员能够独立自主地按照自己的节奏进行培训。这意味着它需要涵盖技术堆栈中使用的所有编程语言。要考虑到开发人员在复杂环境中的学习需求，并考虑如何与现有的安全工具一起帮助进行漏洞管理。

2.优先处理经常出现的漏洞  

使用您的扫描和笔测试工具，密切关注您的关键漏洞和重复出现的漏洞，以指导您确定哪些安全编码教育内容将成为您计划的基石。 利用现有工具并将这些发现 整合到安全代码计划 中将是关键所在。还可以考虑以下指标，以确定开发人员需要接受哪些漏洞教育的优先次序： 

• 平均脆弱年龄 
• 积压漏洞数量
• 平均解决时间或平均补救时间 (MTTR)  
• 已关闭漏洞数与开放漏洞数的对比
• 专有代码（非第三方）每行的问题数

还应尽早设定对计划成果的预期。参与计划的开发人员应达到一定的安全编码技能水平，这可以通过他们解决的漏洞数量和不再引入的漏洞数量来跟踪。 

3.实施分层安全编码技能发展计划 

一旦您将开发人员的安全参与与分析和测试流程整合在一起，就应该激励开发人员继续接受安全编码教育，从而使他们能够积极主动地磨练自己的安全编码技能。为此，可以将计划划分为若干等级或 "带"，让开发人员进入更复杂的安全领域。 

下面是泰雷兹公司如何组织安全教育计划的一个例子： 

1. 意识--提高基本的安全意识水平，为开发人员建立安全知识基线
2. 基础--教授基本的安全技能，如如何发现易受攻击的代码和了解常见的漏洞
3. 自主 -在Secure Code Warrior的指导下，使用经过审核的策略来定位和修复漏洞
4. 专家 -在所有对企业重要的相关领域成为明确的安全拥护者和专家

促进自学还能激励开发人员了解新的攻击载体、最佳实践、新语言和新发现的漏洞。一旦每个人都达到了安全编码能力的基线，就可以利用一项计划，每月通过相关内容学习一些关键知识，从而节省时间，而不是进行长达一小时的以合规性为导向的年度培训。通过教育开发人员节省下来的时间，将体现在减少了修复漏洞所需的返工，而这些漏洞本来就不应该出现。 

总结

在网络安全的动态领域，威胁的变化与技术的进步一样迅速，因此为开发人员 提供积极主动、结构合理的安全编码教育计划 是一项重要的业务保障。通过与开发人员建立稳固的关系、优先处理经常出现的漏洞以及实施分层技能开发，企业可以加固代码库，防止潜在的破坏性漏洞。 

衡量此类计划成功与否的标准不仅仅是漏洞是否减少，还要看开发人员是否树立了安全第一的思想。在我们探索复杂的数字安全领域时，通过教育增强开发人员的能力，是将组织转变为具有弹性和安全的数字生态系统的有效战略。

Secure Code Warrior 我们将帮助您在整个软件开发生命周期内安全地编写代码，并创建一种将网络安全放在首位的企业文化。无论您是 AppSec 经理、开发人员、CISO 还是任何与安全相关的人员，我们都能帮助您的组织降低与不安全代码相关的风险。