增强开发人员的能力、提高生产力并降低风险

在不断发展的网络安全领域，这是令人惊叹的一年！Secure Code Warrior 很荣幸能够继续履行我们的使命，为开发人员和企业提供应对不断发展的安全威胁所需的技能。2023 年，我们与 600 多家企业合作，对近 75,000 名开发人员的数据进行了分析，我们的研究表明，参与Secure Code Warrior 的开发人员将漏洞减少了 53%。这反过来又大大提高了开发人员的工作效率，并支持 AppSec 和安全团队规避风险，加强企业的安全态势。

在我们迈向 2024 年之际，我们认为向您介绍一下我们今年取得的一些重要产品进步、战略合作伙伴关系和公司更新，会对您有所帮助。 

‍

产品创新

在我们的开发人员社区中，安全代码学习在今年取得了辉煌的成绩。以下是其中的一些亮点：

• 我们为平台添加了 2 种新语言--Terraform:GCP 和 Dart:Flutter--并推出了 9 种不同语言和框架的编码实验室。 
• Secure Code Warrior Tournaments 。
• 2023 年，开发人员在编码实验室上平均花费 2.3 分钟，完成 100,000 多个实验室。这相当于在Secure Code Warrior这一最新学习活动上花费了 4200 多个小时！ 
• 最后，根据平台上的活跃学习者人数，我们来看看我们的开发人员来自的前 10 个行业。 

2023 年，Secure Code Warrior 推出了编码实验室（Coding Labs）-- 我们最先进的互动学习活动，旨在提升开发人员的安全教育水平。这项新增功能可提供实时、上下文反馈，目前支持 9 种以上的语言和框架。Coding Labs 就像一个私人教练，能促进更快的学习和技能提高，让开发人员更快地从 "学 "到 "做"。 

Secure Code Warrior 继续扩大其行业领先的内容库，增加了两种新的编程语言--Dart:Flutter 和 TeraformGCP。进一步增强的功能包括将指南纳入courses 和SCW Jira 集成，为开发人员在其工作流程中提供更深入的见解和深入的修复建议。多公司Tournaments的引入有助于促进来自不同公司和子公司的开发人员之间的友好竞争，确保可扩展的安全编码文化。此外，SCIM的推出使程序所有者和公司管理员能够以编程方式管理Secure Code Warrior 许可证，确保大规模的准确性和合规性。

想进一步了解我们最新的产品创新？请联系您的客户成功经理，或访问我们的资源库，参加众多产品深度网络研讨会。 

‍

‍

战略伙伴关系和整合

与Synopsys 开发人员安全培训的合作值得关注，该培训由Secure Code Warrior 提供支持。这种整合提供了一种闭环策略，可在开发人员的桌面上预先防范安全风险，加快整个软件开发生命周期（SDLC）和 CI/CD 管道的问题修复。双方的合作旨在建立一种全面的安全开发方法，并实现可量化的风险降低。

点击此处了解更多合作信息。 

‍

2023 年开发奥运会

Devlympics 是由Secure Code Warrior 主办的年度全球tournament ，2023 年有超过 1000 名开发人员参加。该活动受到了全球安全专业人士的关注，并获得了压倒性的积极反馈：

• 94% 的人喜欢参加tournament 。
• 90% 的人表示有兴趣参加明年的活动。
• 62% 的人将 SCW 平台评为 10/10，91% 的人会向同行推荐该平台。
• 如果他们的组织能够全时访问 SCW 平台，85% 以上的组织会使用该平台。

点击此处阅读报告全文。不想错过明年的 Devlympics？请将 2024 年 10 月 15-16 日记入您的日历，并注册您的兴趣 ，以便随时了解相关信息。 

‍

听取同行的意见

随着我们与客户的合作，Secure Code Warrior 已深深融入客户的安全生态系统，并对他们的开发人员的工作效率和降低风险产生了深远的影响。今年，我们听取了几位客户的意见，并从他们的主题专家那里收集了关键经验和见解，与更广泛的应用安全社区的同事们分享。  

• 工作日：在大约 18 个月的时间里，安全问题从 4662 个大幅减少到零。
• 泰雷兹：在两年多的时间里，全面减少了漏洞，没有在源代码层面再次出现漏洞。
• Envestnet：开发人员修复的漏洞数量是同行的 2.7 倍，每名开发人员修复 4.5 个问题。
• Netskope：无需传统的 "检查框 "培训，即可实现合规目标，提高安全编码计划的参与率。
• 高露洁-棕榄公司： 将开发人员置于其安全代码战略的核心位置，并使用 Okta 将Secure Code Warrior 无缝嵌入其工作流程。
• 圣人： 建立一流的安全冠军社区，将修复漏洞的平均时间缩短 82%。

直接了解我们的客户如何建立安全代码计划、培养安全第一的企业文化以及改善安全状况。 

‍

南华早报》对网络安全漏洞的快速反应

Secure Code Warrior快速响应计划针对当前困扰我们世界的关键漏洞，如 MOVEit 零日漏洞、高严重性 libcurl/curl 漏洞和 mvcRequestMatcher Spring。这些事件凸显了采取积极主动的安全措施和持续教育工程团队了解最新漏洞的重要性。了解有关这些关键漏洞的更多信息，每个漏洞都附带一个免费任务，您可以亲身体验。

• MOVEit 零日免费任务
• libcurl/ curl 漏洞任务 
• mvcRequestMatcher Spring 任务 

‍

主要资助和表彰

南华早报在澳大利亚悉尼、墨尔本、美国波士顿、比利时和冰岛均设有办事处，我们很荣幸能拥有一个代表不同行业和地区的开发人员社区。 

2023 年 7 月 13 日，Secure Code Warrior 宣布了一项突破性成就--由帕拉丁资本集团（Paladin Capital Group）领投的 C 轮融资完成，获得了令人印象深刻的 5000 万美元。这使得融资总额超过 1 亿美元，彰显了公司自成立以来所获得的信心和支持。

‍

加入不断壮大的社区 

Secure Code Warrior我们对创新、战略合作伙伴关系和客户成功的承诺，使我们能够自豪地庆祝我们作为安全编码教育和实施领域的领导者所取得的成功。 

有兴趣了解更多信息？ 在 X和LinkedIn 上关注我们，随时了解最新公告。 

先到这里，2024 年再见！

Secure Code Warrior 灵活学习如何减少漏洞

安全教育需要发展 

如今，安全团队面临的挑战之一是没有足够的时间在开发周期的早期阶段整合安全编码。安全领导者还需要重新思考开发人员从安全代码学习体验中获得的价值，以及如何使该计划更具吸引力，最重要的是，更具影响力。你最不希望看到的是，你的安全教育计划被视为生产力的障碍。开发人员安全培训的目标应建立在引人入胜的途径、与工作流程的整合以及内容的广泛性上，这有助于概念的深入人心，从而减少漏洞的出现。 

通过将安全代码学习与开发人员的工作流程相结合，减轻他们的时间负担，开发人员可以大大提高他们安全编写代码的能力和工作效率。Secure Code Warrior 对使用我们平台的 75,000 多名开发人员的数据进行了研究，发现敏捷学习可以帮助开发人员在代码库中引入的漏洞减少 53%。 

这就需要转变方法，让开发人员通过更多的实践学习以及与他们的工具和环境的整合，对这一主题产生兴趣，从而推动更深层次的参与和具有重大影响的微学习时刻。 

应用安全领域的领导者德里克-费舍尔（Derek Fisher）说："我们都非常熟悉任何组织每年都要进行的合规性培训。这通常就是我所说的'Powerpoint 之死'，一堆幻灯片，最后可能还有一个assessment ......非常无效而且耗时。我们有培训，但通常是基于合规性的培训，还有一些基于幻灯片/录音的特定安全培训。我们注意到，开发人员并没有很好地参与进来，也没有从这些材料中学习到什么，因此我们必须改变策略。

将学习体验与开发人员的工作流程相结合

Secure Code Warrior的平台将及时的微爆发内容传送到开发人员的日常工作流程中。这种与安全工具的集成旨在消除上下文切换，使 AppSec 团队能够构建更具规范性和吸引力的程序。 

有了这些开发工具和安全集成，您就可以通过跟踪开发人员的工作进度、测量票据的响应时间，以及通过 IAST/ DAST/SAST 工具观察漏洞随时间推移的减少情况，来衡量安全代码学习计划的运行情况。 

以下是Secure Code Warrior 与您的工具和工作流程集成的三种主要方式，可帮助减少多达 53% 的漏洞 

1. 简化方法 

将Secure Code Warrior 与您的扫描和笔试工具集成。Secure Code Warrior 与 Synopsys、Snyk、Bugcrowd、Fortify、Contrast 等公司进行了集成，可帮助您保持程序的集中性。 

2. 提高生产力

通过 Jira、Gitlab、GitHub 和 Azure Board 中嵌入的实践挑战、编码实验室和指南，使开发团队能够边做边学。学习只需几分钟，而不是几小时，不会影响开发人员的工作效率，也不会打乱他们的工作流程。 

2. 扩大计划规模 

利用专为企业打造的 SCORM 和 SCIM 功能，减轻安全计划的管理负担。轻松将Secure Code Warrior 与您的 LMS 集成，并自动管理用户配置。通过 Okta 集成实现 SSO。 

在 SDLC 早期阶段减少 53% 的漏洞 

从一开始就将重点转移到编写更安全的代码上，就有可能在 SDLC 中更早地修复漏洞，因为修复漏洞的成本要低得多。通过研究许多漏洞的源头，即开发人员将不安全的代码交付到生产中，减少引入的漏洞有助于减轻技术债务并加强安全性。 

通过开发人员教育来有效减少漏洞并不是通过扰乱开发人员流程的枯燥、静态培训来实现的。通过将市场上最灵活的敏捷learning platform 与您的工具相结合，您在安全和开发工具方面的现有投资将变得更有价值，从而有可能将漏洞大幅减少 53%。 

了解更多提示Secure Code Warrior 

在下一篇博文中，我们将探讨如何建立一个高度吸引人的计划，将一切都与降低风险联系起来，让您专注于成功的安全编码计划的实质影响。

Secure Code Warrior 为贵组织提供服务，帮助您在整个软件开发生命周期内安全地编写代码，并创建一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、CISO 还是任何与安全相关的人员，我们都能帮助您的组织降低与不安全代码相关的风险。

了解实践安全教育如何将漏洞减少 53 

当今开发团队面临的挑战 

开发人员面临着巨大的压力，他们需要比以往任何时候都更快地构建并加快生产周期。这导致更多代码被引入企业，其中一些来自开源、人工智能或其他第三方。虽然这些可能有助于加快生产率，但这也增加了将不安全代码引入代码库的风险。

尽管加快交付速度的压力越来越大，但软件开发团队在发布前仍要重新修改约 26% 的代码。这意味着开发人员每周可能要花费多达 13.5 个小时在技术债务上。也就是说，每年有 700 多个小时花在修复过去的错误上。损失的这些时间会拖慢开发周期，更有甚者，还会通过捷径和第三方资源为代码带来新的风险。这给平衡快速发布代码和安全发布代码的压力带来了挑战。 

根据Secure Code Warrior的调查，67% 的开发人员承认他们编写的代码存在漏洞，而且每天编写的每一行新代码都会引入越来越多的漏洞。有一种更好的方法--从一开始就嵌入安全性。在本博客中，我们将探讨开发人员如何成为保护代码安全的第一道防线，并通过敏捷学习减少代码中多达 53% 的漏洞。 

阻止漏洞的出现 

Secure Code Warrior 与 600 多家不同企业合作，帮助他们确保代码安全。我们的研究人员调查了我们 30% 的用户群（近 75,000 名开发人员）的数据，结果发现，通过Secure Code Warrior 学习和应用安全编码实践的开发人员在其组织中引入的漏洞比同行少 53%。当开发人员不再制造新的漏洞时，他们的工作效率就会大大提高。这些时间可以用来减少积压的技术债务，甚至用来开发新的创新解决方案和功能。当引入漏洞成为过去时，可能性就会变得无穷无尽，并能提高软件开发生命周期的效率。 

开发人员如何从敏捷学习中获益？  

Secure Code Warrior learning platform 的设计中融入了敏捷原则，鼓励开发人员在实践中学习安全编码。具体做法是将以往冗长枯燥的安全培训分解成互动性强、引人入胜的微小学习环节。 

Secure Code Warrior 是唯一结合多种微爆发学习形式的敏捷learning platform ，这样开发人员就可以在实际工作中使用自己选择的语言快速学习、测试和应用知识。

Secure Code Warrior 具有可定制的程序、极具影响力的实践学习活动和开发人员工具就绪集成，是在 SDLC 开始阶段教授开发人员识别和修复漏洞以及从一开始就阻止漏洞引入的最有效方法。

为什么Secure Code Warrior

Secure Code Warrior为您的开发人员提供编写安全代码的技能。我们的learning platform 是最有效的安全编码解决方案，因为它使用敏捷学习方法让开发人员学习、应用和保留软件安全原则。超过 600 家企业信赖Secure Code Warrior ，相信它能实施敏捷安全培训计划，以敏捷方法学习代码，快速交付安全软件，并创建开发人员驱动的安全文化。准备了解更多信息？申请演示。

就在不久前，curl项目的首席开发者丹尼尔-斯滕伯格（Daniel Stenberg）向安全和开发界发出了警告，他发布了一份不幸的邮件，称10月11日发布的新版curl解决了两个影响巨大的安全漏洞，其中一个被他称为 "可能是长期以来最严重的curl安全漏洞"。

斯滕伯格博客上的一份报告指出，受影响版本的 curl 库容易出现基于堆的缓冲区溢出漏洞，这与 2002 年以来使用的 SOCKS5 代理协议的遗留问题有关。

作为一种命令行工具，curl 的使用可以追溯到 1998 年，它被广泛视为互联网的基础支柱。它的历史如此悠久，使用范围如此广泛，如果被发现存在漏洞，将对整个网络安全产生持续影响。

这一事件与Log4j 中发生的破坏性 Log4Shell 攻击事件有相似之处，后者是另一个在近两年后仍在被利用的脆弱依赖项。
‍
>>>现在就通过我们的 curl 任务测试你的知识！‍ ‍

漏洞缓冲区溢出

该漏洞在CVE-2023-38545 下有详细说明，影响 curl 7.69.0 至 8.3.0（包括 8.3.0）版本。主要漏洞是一个基于堆的缓冲区溢出漏洞，初步报告指出，成功利用该漏洞可能会导致更具破坏性的远程代码执行（RCE）攻击。虽然这对威胁行为者来说是一个可能的工作流程，但这只是一个罕见的使用案例，而不是必然的。

也许唯一可以降低风险的是，恶意通信必须通过 SOCKS5 代理，而这种部署相对来说并不常见。

与 curl 漏洞利用类似，让我们看看这个缓冲区溢出解释器：

当curl被告知使用SOCKS5代理时，它会传递主机名并由代理解析。然而，如果主机名超过了255字节的限制，curl就会在本地解析主机名（如下面的代码片段所示：源代码）。

如果客户端和代理之间的握手速度较慢，则有可能将长主机名复制到内存缓冲区，而不是（较短的）解析地址。分配的内存部分只允许 255 字节的值，因此如果接收到的值超过这个限制，数据就会溢出内存缓冲区的边界。

>>> 在这个可玩任务中亲身体验一下吧 游戏任务!

缓冲区溢出是一种强大的攻击载体，在许多传统编程语言中普遍存在。在这种特殊情况下，利用缓冲区溢出会在某些情况下以 RCE 的形式造成更严重和更具破坏性的攻击，尽管这种途径仍不常见，也不太可能出现。

如何降低缓冲区溢出风险？

在此阶段，最优先的补救措施是为所有易受攻击的实例打上补丁，同时提醒您，curl 的使用非常普遍，您的系统组件在使用中是否包含该依赖关系不一定很明显，也不一定会做广告。在这种情况下，需要进行审计和后续修补。 

一般来说，缓冲区溢出缺陷可以通过使用Rust这样的内存安全语言来缓解，但对于像curl这样的庞大项目来说，移植到其他语言或临时重写并不现实。正如斯滕伯格（Stenberg）在讨论使用和支持更多内存安全语言编写的依赖项的可能性时所指出的那样，或者说逐步替换curl部分内容的替代方案，"......开发工作......目前正在以近乎冰川般的速度进行，这清楚地表明了所面临的挑战。在可预见的未来，curl仍将使用C语言编写。这不是一项小工程，其安全影响是巨大的。

安全错误可能会发生，也一定会发生，不可能总是依靠扫描仪和测试来发现所有可能的攻击向量。因此，我们对抗这些漏洞的最大武器就是不断提高安全意识和技能。
‍

想进一步了解如何编写安全代码和降低风险？

试试我们的 堆溢出免费挑战.

如果您有兴趣获得更多免费的编码指南，请查看 安全代码教练来帮助您掌握安全编码的最佳实践。

在Secure Code Warrior ，我们不断创新，帮助开发人员和组织掌握正确的技能，以应对当今瞬息万变的安全挑战。我们通过灵活的learning platform 实现安全编码，让开发人员能够按照自己的方式学习，并提供当今业界最完整、最可靠的漏洞内容。  

在过去的一个季度里，Secure Code Warrior ，除了通过 SCIM 配置更简单地管理用户外，还为公司管理员提供了将tournaments 扩展到多个品牌和实体的新方法。我们还非常高兴地宣布，Jira 中提供了新的编码指南，预览版中还提供了性能概览报告和新的计划工作流程。 

让我们深入了解一下!

拓展SCW平台的广度和深度 

Secure Code Warrior不断扩展的新内容有助于保持我们模块的相关性、及时性，并针对您在当今网络安全环境中需要了解的内容量身定制。凭借业界领先的 60 多种语言的广度和深度，我们可以轻松地为开发人员构建和扩展一个使用大量语言和框架的敏捷学习计划。 

现已推出：Jira 中的编码指南 

在我们的 Jira 集成中增加的指南为开发人员提供了涵盖安全缓解措施的上下文学习。指南比视频更深入，侧重于特定的语言或框架，并提供代码片段，帮助开发人员更快地解决问题。除了访问视频和挑战，现在开发人员还可以直接在 Jira 问题中阅读编码指南，以获取深入的修复建议。

现已推出：新的前端开发员内容 

前端开发人员也需要启用安全代码！这就是我们在Missions 和 Walkthroughs 中发布更多前端漏洞的原因。前端开发人员还可以通过Courses 访问前端特定的Missions 。 

这些更新力求全面覆盖前端特有的漏洞--从基于 DOM 的 XSS 等常见漏洞，到 CSS 注入等不太常见的漏洞。 循序渐进的演练为前端开发人员提供了可信赖的指导，让他们了解漏洞是如何被利用的，而更高级的开发人员还可以在Tournaments 中测试他们在前端Missions 方面的技能。 

扩展安全文化的令人兴奋的新方法 

现已推出：多公司Tournaments 

‍

可以创建多公司Tournaments ，让来自多个业务实体、公司子公司、合作伙伴和其他公司的开发人员之间开展友好竞争。这就确保了安全的编码文化可以在整个组织及其多个品牌中扩展。  

有兴趣参加最终的多公司Tournament 吗？注册参加第三届年度 Devlympics- SCW 为网络安全意识月举办的全球tournament ！如果您已经是我们的客户，可以通过平台注册。 

简化管理员和开发人员的体验

现已推出：课程筛选 

Courses 可以根据状态、结束日期和注册团队等多个属性进行筛选。

现已推出：使用 SCIM 管理 SCW 许可证 

现在，程序所有者和公司管理员可以通过编程对开发人员进行大规模管理，并确保访问控制始终是最新的。

SCIM 配置使用身份提供商同步访问Secure Code Warrior 。自动执行这些任务可确保准确性、安全性和合规性，从而在配置用户时节省时间和资源。目前，SCW 仅支持用户级别的 SCIM 配置，还不支持 SCIM 组。

预览版可用：程序工作流程

 通过对平台可用性的关键改进，现在配置一个可扩展且引人入胜的安全代码教育计划比以往任何时候都要简单。通过将courses 和评估排序到多级程序中，程序的创建可为学习者提供更多指导。已在平台中启用预览功能的客户现在可以使用自动程序工作流。程序工作流程可确保开发人员知道从哪里开始，可以导航到下一步，并在安全代码学习程序的不同级别中轻松移动。它还能让公司管理员花费更少的时间来设置、管理他们的计划，并督促开发人员完成下一个学习活动。 

需要关于如何在贵组织启动安全代码学习的提示吗？请阅读我们的手册，了解如何构建您的计划以实现您的安全目标。 

报告和方案洞察力

可预览：性能概述 

作为公司管理员，需要监控整个组织的活动，这对了解开发人员的参与情况和衡量安全代码学习计划的成功与否至关重要。我们构建了一个增强型报告界面，确保公司管理员从报告中获得最可行的见解。

性能概述可提供有关开发人员课程和assessment 完成情况的洞察力，以及一段时间内的平均准确率。该报告还可生成一个具有洞察力的行业基准，以了解您的项目与所选assessment 的行业平均assessment 分数相比如何。 

这份简单而有力的报告标志着Secure Code Warrior计划于 2024 年推出的一系列洞察力和衡量标准的开端。 

有兴趣试用Secure Code Warrior 但还没有账户？立即预订演示，了解更多信息。 

本季度新功能介绍到此结束！在LinkedIn和 X（原 Twitter）上关注Secure Code Warrior ，了解最新发布和改进信息。

‍

‍

软件供应链网络攻击日益频繁，引发了美国政府层面的一系列立法变革，而企业则争相降低其巨大的风险，并迅速提高软件质量。仅今年就有三个与文件共享服务相关的零日漏洞，其中规模最大、破坏性最强的是 MOVEit 大规模漏洞。

由 CL0P 勒索软件组织发起的 MOVEit 事件一段时间以来一直占据着网络安全新闻的头条，有 1000 多家组织受到了影响。这一数字还将继续增长，使其成为自 2021 年 Solarwinds 以来最强大的软件供应链攻击之一。

这次大范围漏洞事件的催化剂是一组 SQL 注入漏洞，其严重性最终被MITRE 评为 9.8 分（满分 10 分）。自上世纪 90 年代末以来，SQL 注入一直是安全专业人员的心头大患，尽管这是一个相当简单的修复方法，但它仍在现代软件中大行其道，并为威胁行为者提供了通往敏感数据的红地毯。 

MOVEit 场景与许多开发人员和应用程序安全专业人员以前可能经历过的场景有些不同，您可以在这里的实时模拟中测试自己的 SQLi 击杀技能：

>>>播放 MOVEit 任务

漏洞SQL 注入

Progress Software 公司的 MOVEit 文件传输应用程序究竟是如何利用 SQL 注入漏洞的？

CL0P 勒索软件小组利用 SQL 注入漏洞 CVE-2023-34362，在未经授权的情况下不受限制地访问 MOVEit 数据库。从那里，他们能够安装 LEMURLOOT，这是一个 web shell，最终允许他们运行几个高风险的关键进程，如检索系统设置、枚举 SQL 数据库、从 MOVEit 传输系统检索文件，以及创建一个具有完全管理权限的新账户。

不用说，这种攻击载体可能只是一个相对简单的错误，可以归结为长期使用不良的编码模式，但它在企业层面造成持续问题的潜力是巨大的。 

与 MOVEit 漏洞利用类似，让我们看看这个 SQLi 解释器，它模拟了注入和执行恶意 SQL 的方法：
‍

该查询字符串和变量：
‍

字符串 emailAddress ="contact@scw.com"；

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";

查询结果如下：
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'";
‍

......以及恶意制作的输入：
‍

string emailAddress = "contact@scw.com'; DELETE FROM Invoices WHERE Id = 2;--"；

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";
‍

将变成：
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'; DELETE FROM Invoices WHERE Id = 2;--'";
‍

飞行时的效果如何？

请注意，由于是字符串连接，输入内容被解释为 SQL 语法。首先，添加一个单引号，以确保 SELECT 语句是有效的 SQL 语法。接着，添加一个分号，以终止第一条语句。 

一旦就位，就会添加一条有效的 DELETE 语句，然后用两个连字符注释掉任何尾部字符（单引号）。如果恶意 SQL 要更新用户的角色或密码，也可以添加 UPDATE 语句。
‍

在这个可玩任务中亲自体验一下：
‍

>>> PLAY THE MOVEit MISSION
‍

SQLi 虽然相对简单，但仍然是一个强大的攻击载体，而且非常常见。在 MOVEit 的案例中，这一漏洞为破坏性后门安装和一系列类似严重程度的进一步攻击创造了条件。

如何降低 SQL 注入风险？

任何使用 MOVEit 作为其业务运营一部分的公司，都必须遵循Progress 软件公司推荐的修复建议。这包括但不限于作为紧急优先事项应用安全补丁。

有关 SQL 注入的一般信息，请查看我们的综合指南。

想进一步了解如何编写安全代码和降低风险？请免费尝试我们的SQL 注入挑战。

如果您有兴趣获得更多免费的编码指南，请查看Secure Code Coach，它可帮助您始终掌握安全编码的最佳实践。

我们刚刚宣布了 C 轮融资，我非常高兴地宣布我们公司又迈出了新的一步。安全行业的领导者Synopsys公司的产品套件又增加了一个令人兴奋的新成员：Synopsys 开发人员安全培训由Secure Code Warrior 提供。您可以在这里阅读完整的新闻稿。

这一业界领先的应用安全解决方案组合的扩展标志着企业安全项目在正确的方向上迈出了积极的一步，使他们能够采用最佳实践的 DevSecOps 方法，特别是那些与安全责任分担相关的方法。简而言之，这次整合将扩大全球安全技能开发人员的基础，这对每个组织来说都是一个绝佳的机会，可以通过开发人员在安全编码方面的能力来支持代码级漏洞的减少。 

在一些有记录以来最严重的网络攻击事件发生后，全球各国政府对软件供应商的审查越来越严格，美国的 CISA 今年发布了《按设计和默认设定的安全指南》，其中建议将网络安全结果的最终责任归咎于供应商而非最终用户。对于许多软件供应商来说，这将要求他们对内部安全实践进行重大改革，否则将面临巨额罚款的风险。在全球范围内，这将很快成为一个不容讨价还价的问题，任何有关网络安全技能短缺的借口都是站不住脚的：我们需要具有安全意识的开发人员在更安全的软件开发过程中发挥重要作用，而且我们现在就需要他们。

除了迄今为止许多开发人员对 AppSec 计划的负面体验之外，灵活、可定制的敏捷学习解决方案也是对不良编码模式的有力解救。他们需要获得支持、适应，并获得符合其工作流程的学习途径，以便在正确的时间提供正确的信息。Synopsys 与我们平台的集成是解决这一问题的可行且市场领先的解决方案，可以从根本上改善开发人员与安全的关系。

到 2025 年，网络犯罪将使全球公司每年损失约 10.5 万亿美元，与 2015 年的 3万亿美元相比持续上升。网络安全风险投资公司（Cybersecurity Ventures）还报告称，网络犯罪是 "历史上最大的经济财富转移"。这不是演习；我们作为一个集体行业，必须开始优先考虑对每一个编写代码的人进行安全编码教育，并将安全性作为衡量软件质量的新基准。Synopsys 的综合工具套件现在包括针对开发人员的引人入胜、高度相关的实践敏捷学习，因此现在是向开发人员驱动的预防性安全计划进行有意义转变的最佳时机。

在 SDLC 中敏捷学习安全代码，终获成功 

这是讨论敏捷Learning Platform 的属性和优势以确保代码安全的三部分博客系列中的第三部分。在第 1 部分中，我们介绍了敏捷学习的概念，以及Secure Code Warrior平台如何体现多项敏捷原则。 在第 2部分中，我们探讨了敏捷learning platform 如何取代传统的以合规性为导向的安全培训。  

敏捷learning platform ，通过结合实践和情境教育，使学习者能够更有效地内化和使用新技能，并将其真正融入到日常工作中，成为工作的一部分。 SCW将这种学习方法应用于开发人员学习安全编码技能，使SCW与传统的学习模式区分开来，并使我们与众不同。在本系列博客的第三篇，也是最后一篇博客中，我们将向您介绍企业可以从敏捷learning platform 安全代码中获得的投资回报率，以及如何为您的企业建立数字模型。

业务影响

采用敏捷方法进行安全代码学习的组织会从两个方面看到 2 到 3 倍的业务影响：更快修复漏洞的能力和避免返工的成本。 

‍

‍

在 SDLC 阶段越早处理漏洞，其造成的损害就越小，修复成本也越低。曾任 Aetna 首席安全官和 MassMutual 首席信息安全官的安全专家 Jim Routh 指出，如果在软件投入生产后的维护模式下处理 SDLC 阶段中的每个缺陷，其成本将超过 14,000 美元。如果在测试阶段解决，成本可降低一半；如果在编码阶段解决，成本可降低 14 倍。  

‍

‍

开发人员越有能力更快地修复漏洞或完全避免漏洞，企业在其软件产品和内部应用中必须接受的成本和风险就越低。希望在漏洞预防和软件质量方面进行投资的组织，可以为开发人员提供一个灵活的learning platform ，为他们提供灵活的体验和多种学习途径，特别是针对直接业务影响而设计的。

‍

NIST的研究表明，修复漏洞所需的时间各不相同，但下表中的估计时间是在大型企业客户的实际情况中确定的。

‍

‍

在团队开发出新的安全编码技能后，SCW客户注意到他们的开发人员修复漏洞的速度提高了50%至60%，在生产代码中产生的高风险漏洞减少了50%。每个组织的经验都不尽相同，但在拥有 5000 多名开发人员的大型企业中，这些结果都得到了验证。提高开发人员的工作效率已经产生了底线影响。

降低运营成本：更快地修复漏洞

要了解更安全的软件开发流程的财务影响，以及对敏捷learning platform 的投资如何帮助开发人员更快地修复漏洞，请使用下面的模型，并用自己的数字代替蓝色的变量：

 基准线：

‍

敏捷learning platform 对平均修复时间（MTTR）的假设效益

‍

预防价值：避免返工成本

敏捷learning platform 可帮助开发人员从一开始就编写安全的代码。 确定这种财务影响的模型如下。

‍

敏捷学习方法带来不同

与其他开发人员安全培训方法相比，SCW 灵活的learning platform 安全代码培训方法更胜一筹。SCW的客户已经看到了卓越的成果，当然，这些成果会根据其独特情况的个别成本和漏洞指标而有所不同。一家大型金融服务公司 Envestnet 发现，接受过 SCW 培训的开发人员修复的漏洞比同行多 2.7 倍。 此外，一组 1200 名受过 SCW 教育的开发人员将其队列中的修复率提高了 120%。   

与任何业务解决方案投资一样，评估您的独特情况非常重要。 我们的团队可以与您合作，对您的现状进行assessment ，并开发定制的业务案例。如果您希望评估对自身的影响，请使用本博客中概述的模型，并查看最近与英国价值 20 亿美元的会计和 ERP 软件公司Sage 举行的客户网络研讨会，他们讨论了作为建立安全文化的强大计划的一部分，漏洞的 MTTR 降低了 82%。

关于Secure Code Warrior

Secure Code Warrior 为您的开发人员提供编写安全代码的技能。我们的learning platform 是最有效的安全编码解决方案，因为它使用敏捷的学习方法让开发人员学习、应用和保留软件安全原则。超过600家企业信任Secure Code Warrior ，以实施敏捷学习安全计划，快速交付安全软件，并创建一个由开发人员驱动的安全文化。准备了解更多吗？ 申请一个演示。 

嵌入的、敏捷的学习是未来 

在上一篇博客中，我们介绍了敏捷学习的概念，以及Secure Code Warrior"安全代码平台 "如何体现了几个敏捷原则。 在这篇由三部分组成的博客系列的第二篇中，我们继续探讨安全代码的敏捷learning platform ，如何取代大多数组织所习惯的传统的以合规为导向的安全培训。

传统的以合规为导向的安全代码学习方法是一种静态的、在季度或年度基础上强制执行的时间点培训。这种形式的问题是，它没有为开发人员创造学习安全编码的动力，也没有帮助他们获得新技能并在工作中使用。没有人喜欢花几个小时塞进合规培训，当它把你从有价值的工作中带走时，让你补上几个小时的生产力损失。 

根据 Gartner 的说法，敏捷学习方法认为，人们在需要的时候学习效果最好，而且培训是以嵌入日常工作活动中的小单元（称为微爆发）进行的^。

Secure Code Warrior 是唯一的敏捷learning platform ，它结合了多种微爆的学习形式，因此开发人员可以在他们已经在做的实际工作中，以他们选择的形式快速学习、测试和应用他们的知识。安全代码的敏捷学习不仅保留了数小时的生产力，而且为开发人员提供了一条轻松从学习到实践的途径。   

‍

¹ 资料来源敏捷学习宣言 Gartner

价值交付和学习赚钱的流程

敏捷学习系统之所以有效，是因为它们将学习机会编织在价值交付流程中，让开发人员看到学习对其工作的直接影响，并将学习与收入挂钩（如 Gartner 所说）。 点对点的合规性培训无法让开发人员长期坚持，也无法培养他们的技能，更无法激励他们将学习作为工作的一部分。敏捷学习使学习成为工作的一部分，而不是工作之外的时间。

Secure Code Warrior我们的平台在开发人员的日常工作流程中提供及时的微爆 内容，消除了上下文切换，使他们在每天使用的开发工具（如GitLab、GitHub、AzureBoards和Jira）中感到方便。这使他们与工作保持联系，同时也在学习。

‍社会扩增和社区复合化

开发者有很强的社区意识--我们在GitHub等空间看到了这一点，全球数以百万计的开发者在这里分享和消费知识。敏捷学习原则认为，人们在群体中的学习比在自己身上的学习更多。社会社区是强化新技能的有效手段，并通过社会扩增来复合安全代码教学的好处。

由于Secure Code Warrior的安全内容易于访问和使用，并通过 tournaments和内部积分系统，SCW 的平台起到了激励倍增器 的作用，为 个人开发人员建立信心，使他们愿意学习。 Tournaments 在企业中提高安全编码技能的公众形象，并为开发人员建立 安全编码技能提供强大的动力。

实现从培训到敏捷学习的转变

将你的方法从安全培训转变为安全代码的敏捷学习是一个强大的方式，使你的开发人员队伍，重新获得浪费的开发人员时间，并将这些时间用于更有成效的项目。 用基于敏捷原则的学习解决方案开始你的旅程。SCW AgileLearning Platform是最有效的安全代码学习解决方案，因为它让开发人员选择如何培养新技能。融入敏捷的学习方法，极大地提高了开发人员掌握新技能的能力，将其内化，并应用于他们的工作。超过600家企业信任Secure Code Warrior ，以实施敏捷学习安全计划，快速交付安全软件，并创建一个由开发人员驱动的安全文化。 准备好看看敏捷的learning platform 在行动吗？申请一个演示。