本文原载于 安全大道.

今年早些时候，PCI 安全标准委员会公布了支付卡行业数据安全标准（PCI DSS）4.0 版。虽然企业在 2025 年 3 月之前不需要完全符合 4.0 标准，但这次更新是迄今为止最具变革性的一次，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈元素。除此之外，还需要对开发人员实施基于角色的安全意识培训和定期安全编码教育。

这对 BFSI 领域的公司来说是一个大好机会，可以认真提升其安全计划，开创以人为本的网络复原力新时代。 

做好 PCI DSS 4.0 准备的最大挑战是什么？

正如一个组织的安全计划包罗万象，其业务需求和可用资源错综复杂，新的 PCI DSS 标准也涵盖了很多方面。然而，它们揭示了在满足安全要求的方法上向灵活性的明显转变，而在一个工具、威胁、策略和合规措施都可能在瞬间发生变化的行业中，这一点意义重大。

PCI DSS 4.0 的理念是，有许多方法可以实现同样的目标，即实现密不透风的安全最佳实践。事实的确如此，但它似乎最适合安全成熟度较高的企业，而且会给企业留下很大的犯错空间，尤其是对于那些对其真正的内部安全成熟度缺乏现实assessment 。归根结底，企业必须做好准备，将安全作为一个持续发展的过程，而不是一次性的 "设置和遗忘 "工作。必须建立强大的安全文化，并在整个组织范围内致力于提高安全意识。 

而那些代码级的工具--开发团队--他们必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。 

你的开发人员是否准备好交付合规的软件？

开发人员是实现软件安全卓越状态不可或缺的一部分，这一点与 PCI DSS 合规性尤其相关，而不仅仅是象征性的 PCI DSS 合规性。开发人员必须了解 PCI DSS 4.0 的全貌，了解他们可以控制的内容，并将其集成到软件构建的默认方法中。 

三个关键领域代表了与开发团队最相关的变化，它们可以细分为以下几点：

• 认证：一个可行的访问控制计划一直是PCI合规性的关键部分，然而，4.0版本将这一问题提升了一个档次，需要在内部和外部仔细实施。多因素认证（MFA）将成为标准，围绕密码复杂性和超时的规则也将得到加强。
  
  随着认证和访问控制的安全问题现在是普通开发人员可能面临的最常见的问题，当务之急是推出精确的培训，以帮助他们识别和修复实际代码中的这些问题。
  
  
• 加密和密钥管理：在我们运作的世界中，我们可以通过多个访问点访问我们的一些最敏感的信息，例如我们的网上银行。由于这些高价值的数据面临风险，加密和强大的密码学实践是必须的。开发人员必须确保他们拥有最新的知识，了解信息在哪里传输，用户如何访问它，甚至在信息落入坏人手中的情况下，确保它无法被威胁者读取。
  
  
• 恶意软件： 在以前的指南中，围绕软件保护恶意代码的安全控制被称为 "反病毒软件"，但这过度简化了应该是一个多层次的方法，其保护范围远远超过病毒。反恶意软件解决方案必须在任何必要的地方应用，并且必须持续记录和监控。
  
  同样重要的是，开发人员有学习的途径，包括识别易受攻击的组件，特别是在大多数代码库至少部分依赖第三方代码的情况下。

什么才是对开发者的 "足够 "的培训？  

与之前的建议类似，PCI DSS 4.0 建议开发人员 "至少 "每年接受一次培训。然而，如果这意味着每年一次就足以成为安全软件创建的接触点，那么这远远不够，也不可能产生更安全、更合规的软件。 

开发人员的教育应该从OWASP前10名的基础教育开始，以及任何其他与语言相关和业务关键的漏洞。这应该是一个持续的计划的一部分，目的是继续加强这些技能，不仅从一开始就将安全嵌入到软件开发中，而且还嵌入到他们的心态和角色方法中。此外，开发团队和他们的经理必须非常清楚角色和责任。安全应该是一个共同的责任，但是记录下期望值并确保它们能够得到适当的满足才是公平的。

有了为 PCI DSS 4.0 合规性做准备的准备时间，就有可能在整个组织的安全文化改进方面取得重大进展，而这正是培养最具安全意识的开发团队的沃土。

‍

时间就是金钱--那么我们为什么要浪费它呢？ 

工程经理--是时候变得真实了。你的开发人员花了多少时间来编码？不，我们不是想让他们承认，他们整天穿着睡衣，吃着薯片，看着Netflix。但相反，问问你自己，你觉得你的团队每天有多少时间花在有意义的工作上？

现在，看看你的开发人员每周花在编码上的时间。其中有多少时间是用于重写遗留代码，寻找和修复错误，或解决技术债务？可能是很多。

我们知道这种感觉。在今天的软件开发生命周期中，当开发者面临难以克服的挑战和差距时，他们常常为无法取得进展而感到沮丧。 

• 平均而言，一个软件开发团队在发布前会重做大约26%的代码。 
• 一个开发人员平均每周花13.5小时在技术债务上。这意味着每年有700多个小时花在修复过去的错误上。 
• 开发人员每周花四个小时在 "坏代码 "上工作。一年下来，这相当于损失了850亿美元的机会成本。
• 41%的开发者表示，功能和安全在他们的组织中具有同等重要性。
• 63%的开发者认为编写没有漏洞的安全代码是非常困难的。 

来源： Stripe报告，开发者系数; 2022年开发者驱动的安全状况调查

想一想你上次进行代码审查时，代码被你的应用安全团队认定为不安全的。当你的团队不得不修复这些漏洞时，你的团队不得不停滞不前的因素。更有可能的是，他们不得不进入一个兔子洞来找到一个可行的解决方案，然后花额外的时间来弄清楚他们在解决这个问题之前到底离开了哪里。 

资源： Stripe Report, The Developer Coefficient

这种无休止的停工和返工的循环不仅是破坏性的，而且是扼杀生产力和降低士气的。

有一种更好的方法可以安全地编码--并在此过程中节省时间 

我们都希望我们每天有更多的时间来完成工作。但有时我们必须想出一个办法，利用我们所拥有的时间，更聪明地工作，而不是更努力地工作。 

与其浪费时间在解决方案上抓耳挠腮，花费数小时梳理可能根本不属于你的缺陷和漏洞的代码--从一开始就把代码写得更好不是更简单吗？ 

今天的技术正处于僵局之中，工程经理们正寻求以各种可能的方式削减成本。软件许可证、自由支配的费用，甚至工资都在削减。但是，如果不需要走到这一步呢？软件开发过程中的效率低下更难量化，但最终要解决的成本和挑战也更大。

有了开发者驱动的安全，开发者可以在SDLC中通过在流程的每一步拥有安全来创造更大的效率和生产力。 

减少花在返工脆弱代码上的时间不仅仅是一个节约成本的措施：它是一个重新投资于你的部门的机会。被浪费的时间可以用来创建创新的新功能或对你的应用程序进行有意义的改进。以前因无法取得进展而感到沮丧的开发人员将因有机会增加价值而得到激励。

开发人员认为，对他们的工作量产生最大负面影响的原因是工作负担过重，优先级的改变导致代码被丢弃或时间被浪费，以及没有足够的时间来修复质量差的代码。再加上知识的缺乏和解决漏洞的拼凑方案--你会看到更多的时间被浪费和成本的膨胀。 

资源： 2022年开发者驱动的安全状况调查

技术以闪电般的速度发展，所以给你的开发人员提供工具，让他们跟上时代，不至于被甩在后面，这很重要。让开发人员具备从一开始就安全编码和快速修复漏洞的知识，将使你的团队在处理令人头痛的重写代码和解决长期的技术债务时具有优势。 

企业如果想更快地发展，保持敏捷，并利用新的和新兴的趋势，就需要更好地调动他们现有的开发者人才。激励你的开发人员更专注于安全，不应该仅仅是纯粹的成本和产出问题。提高技能并将安全融入SDLC的每一步，不仅是团队的胜利，也是个人开发者的职业胜利。拥有安全编码技能的开发人员在未来几年将受到高度重视，因为安全编码意味着他们要解决的问题更少。

从左边开始不只是意味着快速行动，还意味着让开发人员在不牺牲速度的情况下分担安全责任。如果做得好的话，掌握安全技能的开发人员可以通过减少造成返工的漏洞来提高生产力，保持软件发布速度，并在不妨碍创新的情况下确保代码质量。

更智能、更快速、更安全的编码

Secure Code Warrior 通过向他们提供安全编码的技能，建立起一种安全驱动的开发人员文化。我们的旗舰网站Learning Platform ，提供相关的基于技能的途径，实践missions ，以及相关的工具，让开发人员快速学习、建立和应用他们的技能，快速编写安全代码。 

在Secure Code Warrior ，我们不断创新，以帮助开发人员和组织掌握正确的技能来应对当今不断变化的安全挑战。我们通过高度参与、灵活和易于管理的安全代码启用来做到这一点。 

当涉及到投资他们的技术栈或额外的培训项目时，每个人都希望有一个良好的投资回报。但是，当涉及到安全问题时，你需要玩一个长期游戏。对开发者驱动的安全进行投资，不仅可以减轻昂贵的漏洞风险、生产力的损失和累积的技术债务，而且还可以创建一个积极的和具有成本效益的战略，以保持在当今的威胁环境中的领先地位。 

在过去的这个季度，Secure Core Warriors通过Coding Labs实现了新的学习方式，现在所有Secure Code Warrior 客户都可以使用。我们很高兴地宣布增强了参与管理和课程版本，我们还创建了新的课程活动，如《指南》！我们还创建了新的课程！ 

让我们深入了解一下!

拓展SCW平台的广度和深度 

Secure Code Warrior对新内容的持续扩展有助于保持我们的模块的相关性、及时性，并为你在今天的网络安全环境中需要知道的东西量身定做。凭借超过55种语言的行业领先的广度和深度，很容易建立和扩展一个程序，以培训大量的语言和框架的开发人员。 

编码指南可在Courses 

指南的增加为开发者提供了上下文和自定进度的学习，主要包括安全缓解。指南比视频更深入，并专注于特定的语言或框架。其他基于进攻的活动，如挑战、Missions ，以及演练，已经要求开发者对漏洞有一个了解。我们创建指南是为了从防御的角度来补充这些活动。  

开发人员可以在Courses ，管理员可以在课程模板中使用这些指南。指南涵盖了OWASP Top 10 2021中列出的漏洞，并包含C#、Java、JavaScript、Python、伪代码和PHP的代码片段。 

新的挑战内容

Secure Code Warrior 我们定期更新和创建新的挑战，这些挑战是相关的、及时的，并为您的组织的需求量身定做。我们很高兴地宣布在以下方面扩大挑战： 

• Dart。Flutter--一种用于在安卓和iOS上构建流畅的跨平台应用程序的移动语言
• Terraform。GCP - 谷歌云提供的基础设施即代码开发语言。 

开发人员可以分析代码，找到漏洞，并应用批判性思维来挑选最佳的安全实施方案，以防止列出的漏洞。

即将推出：新的前端开发内容 

前端开发人员也需要安全的代码启用！这就是为什么我们将在 和Walkthroughs中发布额外的前端漏洞。这就是为什么我们将在Missions 和Walkthroughs中发布额外的前端漏洞。前端开发者也将能够在Courses 中访问前端特定的Missions 。 

这些更新力求全面覆盖前端特定的漏洞--从常见的如基于DOM的XSS，到不太经常遇到的如CSS注入等漏洞。 

循序渐进的演练将为前端开发者提供可信的指导，让他们了解漏洞是如何被利用的。高级开发人员也将能够在Tournaments ，测试他们在前端Missions 的技能。 

简化管理员和开发人员的体验

随着平台的关键可用性改进，配置一个可扩展的、有吸引力的安全代码教育计划现在比以往任何时候都更容易。 

‍

课程版本管理、归档和参与管理 

现在，通过编辑现有课程的新方法，跟上一个组织不断变化的需求。课程版本管理允许管理员编辑他们现有的Courses ，而不必创建一个全新的课程。管理员还可以删除没有任何开发人员注册的测试Courses 或不相关的Courses ，帮助他们清理他们的档案。 

此外，在课程管理页面上应用额外的过滤器的能力，将使管理员更简单地过滤到他们想要处理的课程。Courses ，可以通过一些属性进行过滤，如课程状态、结束日期和注册的团队。例如，管理员可以很容易地找到所有有时间限制的Courses ，附有课程结束的assessment ，或者课程是否处于草稿或预览状态。

除了版本管理和过滤Courses ，管理员现在能够批量重新邀请课程参与者，并根据需要将他们从课程中删除。 这为管理员提供了一个一键式的解决方案，在 "被邀请 "的状态下重新邀请开发者，节省了宝贵的时间和精力，提醒他们回到平台上开始学习!

‍

本季度的新功能就到此为止! 在Twitter上关注 Secure Code Warrior ，以获得关于最新发布和改进的更新。

有兴趣尝试Secure Code Warrior ，但还没有一个账户？今天就注册 一个免费的试用账户来开始吧。

我们来谈谈债务问题 

现在大多数人都知道，网络犯罪已经成为我们全球经济面临的一个主要问题。截至2022年，美国数据泄露的平均成本达到944万美元，比前一年的905万美元有所增加。重要的是，不要忽视不安全的代码及其积累的技术债务的成本。根据2022年信息和软件质量联合会的报告。软件质量差的成本报告，据估计，美国软件质量差的成本已经增长到2.41万亿美元，累积的软件技术债务已经增长到1.52万亿美元。 

处理不安全的代码及其技术债务的成本激增，已经成为对现有代码库进行任何修改的最大障碍--从而使它们容易受到利用和外部威胁。软件安全状况正面临着生存危机--我们知道我们必须改善我们的安全态势以及解决累积的技术债务，但障碍是巨大的。 

• 在美国，估计有30万个未填补的软件开发人员和IT相关的工作，预计增长率为15%。 
• 据预测，到2025年，40%的IT预算将仅仅用于维护技术债务。
• 开发人员每周平均有1/3的时间用于解决技术债务问题

快速修复是有风险的--长期来看成本更高 

什么是技术债务，为什么它如此重要？当决策者对软件开发问题采取短期解决方案，而不是采取更详尽的长期解决方案时，技术债务就会累积。这带来了大量的隐性成本，企业必须在以后支付。就像一张被刷爆的信用卡，技术债务有两个主要组成部分。

• 本金-- 指的是重构或修复软件，使其达到理想的可维护性和安全性水平的总成本。
• 利息 - 开发人员为解决技术债务而花费的额外精力，而不是新功能。花在不完全正确的代码上的每一分钟都会增加债务的利息。

当新功能、错误修复和维护的成本超过项目预算时，人们最终会达到 "技术破产 "的状态--软件应用的价值大大降低。 

然而，一些债务的积累，就像生活中一样，是正常的，而且在大多数情况下，有点预期。 

理想情况下，所有的软件开发人员都应该在发送代码之前尽可能地减少bug。然而，他们面临着一个艰难的权衡：为了提高竞争力，一个组织可能希望以最低的成本快速向客户交付功能或产品。结果，应用程序的质量受到影响，因为开发人员的关键绩效指标是基于交付的速度，以及建立它的初始成本。图片中缺少的是代码中积累的缺陷和潜在的漏洞。这使得它在下一步出现错误或安全漏洞，或者更糟糕的是，被坏人利用。 

但问题就在这里：是否有一种不同的方式可以在不积累大量技术债务的情况下快速出货？ 

发现和修复缺陷和漏洞的成本是软件开发生命周期中最大的一笔开支。在开发生命周期中越早发现问题，整个交付的成本效益就越高。 

技术债务可以演变成安全债务

许多开发者试图通过使用开放源代码来规避这种权衡，以帮助他们快速行动，最好是使用已经审核过的解决方案。然而，严重依赖开放源码软件往往会带来自己的风险。 

• 82%的开源组件被发现是过时的（即没有补丁或没有很好的支持）。 
• 75%的代码库含有漏洞（高于2018年的60%），49%的代码库含有高危漏洞 
• 每个代码库平均发现82个漏洞 

这就扩散了技术债务的一个子集--安全债务。安全债务是指软件应用程序中漏洞的积累，使得保护数据和系统免受攻击变得更加困难甚至不可能。

最臭名昭著的例子之一是Equifax，这家信用报告巨头在2017年被入侵 ，因为它没有修补Apache Struts的一个已知漏洞，这是一个流行的开源网络应用框架。这个补丁已经存在了几个月，但这次漏洞泄露了超过1.47亿人的重要个人数据。

因此，必须更加重视安全编码实践，因为许多应用程序不仅在技术上达到了临界点，而且在应用程序本身的安全弱点和漏洞密度上也达到了临界点。

这可能导致巨大的损失，这些损失可能是有形的，也可能是无形的。 

声誉的损害。 客户信任的丧失会在接下来产生极其负面的影响。这可能包括对品牌的损害，销售的损失，以及因漏洞而产生的昂贵的法律问题。 

监管和合规影响。 如果一个安全漏洞会导致公司错过最后期限和/或合同义务。未能满足服务水平协议可能会使公司陷入监管机构的麻烦，导致大量罚款。 

补救费用。 在发生故障或停工后，往往需要额外的工作来弥补生产力的损失。

在SDLC中防止技术和安全债务

许多组织已经在转移他们的预算，以创建一个更强大的安全态势。去年， 谷歌承诺在5年内投入100亿美元，资助一项加强网络安全的计划。 拜登政府还要求在2022年的全权预算中为网络安全和基础设施安全局（CISA）提供21亿美元。 

提供更多的资源和培训来帮助加强你的开发人员的专业成长和知识，可以成为为所有运往生产的代码建立质量标准的第一步。 

在软件开发周期的后期，发现和修复漏洞或缺陷的成本会成倍增长。正如我们所看到的，由于在处理技术和安全债务上花费了大量的时间，企业正在通过放弃创新和花费在新功能或产品上的时间来创造自己的损失。 

在2022年，大多数开发人员团队说DevOps或DevSecOps是他们的首选方法，这并不奇怪。DevSecOps在软件开发生命周期的每个阶段都整合了安全，以提供更好、更安全的应用程序。安全和开发团队继续在孤军奋战，关系紧张，但很明显，这需要改变，以帮助企业取得成功。DevOps是企业试图打破障碍和重塑文化的一部分。DevSecOps的基本目标是，从软件开发生命周期的一开始就加强AppSec/安全与开发人员之间的合作。

实施解决技术债务和安全问题的新思维方式不一定是一个巨大的壮举。当试图提高组织的开发人员社区的安全意识和技能时，通过培训建立一个积极主动的心态是至关重要的。为开发人员提供强大的安全编码教育，确保学习是持续的、互动的、相关的和有背景的，这是必要的。真正的整体方法必须考虑培养真正的开发者主导的安全文化需要什么。这可能需要改变管理和建立开发人员团队的典型方式的重点。

创造一种文化变革并不容易，但Secure Code Warrior ，帮助你确定你的安全冠军，并帮助开发人员和组织掌握正确的技能，以应对当今不断变化的安全挑战。 

启动一个有吸引力和可扩展的安全代码计划是一个值得投资的项目，因为对安全的长期预防方式，而不是过去的被动方式。这最终有助于减轻漏洞的昂贵风险，教育开发人员如何快速发现和修复漏洞，并促进以更敏捷的方式专注于产品开发和加快上市时间。

编码实验室。开发人员的安全代码实践培训 

如果没有互动学习，提高技能是具有挑战性的 

在最近的一项行业调查中（《2022年开发者驱动的安全报告》），40%的开发者表示他们的培训不够实战。公司在安全和安全代码培训方面进行投资，但在结果上却看不到什么证据，即看到不安全代码的减少和代码返工的减少。更多的时候，枯燥和静态的安全代码培训模块使开发人员失去了兴趣，并产生了乏味的结果。

开发人员如果没有对关键概念以及进攻和防御策略的基础性理解，就不会对减少漏洞产生积极的影响。相反，他们经常遇到的是一种片面的、静态的方法，只解释 "如何修复 "有关的代码。为了真正掌握关键的安全概念，开发人员需要知道漏洞是如何工作的，了解它们的影响，说明是什么模式造成的，并在对他们有意义的情况下被展示如何修复它们。 

有许多开发人员有学习的动力，但却没有时间投资于安全代码培训项目--常常因为缺乏实践经验而感到沮丧。他们需要一个支持他们不同的学习方式，并在他们熟悉的环境中提供现实的培训的首选来源。然而，大多数培训需要冗长的虚拟桌面设置，或者缺乏与他们的经验相关的内容和场景。

当他们没有从互动和相关的学习机会中建立的技能时，衡量他们的表现或中心开发人员的KPI包括强调安全编码是不公平的。然而，安全软件开发的重要性怎么强调都不为过，让开发人员加入进来是至关重要的。 

进入Coding Labs，为开发者驱动的安全编码带来下一个级别的辅导，所有的互动模块都在一个方便的浏览器IDE中。 

提供开发者想要的实践培训  

编码实验室是Secure Code Warrior，是学习和提高开发人员安全成熟度的灵活、分层的方法的一部分。开发人员可以从更简单的指导性演练和视频开始，然后进阶到Missions 和我们新的编码实验室。 

开发人员不再遇到不明确和令人沮丧的 "对或错 "的指导，他们也可以确信自己学习的方式是正确的，并通过实时的上下文反馈提高自己的理解力。 

开发人员可以选择自定进度的学习路径，或在程序管理员指定的courses ，测试他们的技能。编码实验室就像一个私人教练，通过真实编码和直观反馈的互动、实践模块，开发人员可以更快地从学习到实践，提高他们的安全编码技能。

编码实验室。 

• 提供直观的反馈和上下文提示，以确保开发人员除了知道 "如何解决 "之外，还知道 "为什么这很重要"
• 通过简短的实验来促进学习，使学习成果最大化，同时又不占用生产力。
• 不需要启动虚拟桌面或设置--并且可以简单地部署到所有的开发人员
  
  

建立强大的技能并实时练习安全编码 

Coding Labs使开发人员能够在类似于IDE的环境中学习，模拟他们的工作方式，帮助他们通过更好地参与主题事项而不分心来磨练自己的技能。开发人员将通过直观的指导，围绕避免安全漏洞的内涵和外延，边学习边编码。

作为SCW平台的一部分，这种新的体验为开发人员的能力提升带来了全新的视角。开发人员可以通过建立在分层学习基础上的各种培训类型进行培训--从讲解视频到动手挑战，从简单到困难不等。 

程序管理员可以选择自定进度的学习或以Coding Labs作为学习活动来创建定制课程。开发人员将随着时间的推移积累他们的技能--通过认识核心原则从坚实的基础开始，并随着时间的推移在编写安全代码的真实世界实践中增加他们的知识。 

编码实验室就像一个私人教练，让开发人员通过平易近人、有指导的培训来解决新的漏洞--最终达到更具挑战性和实践性的经验。领导者可以相信，开发人员会发现培训更有吸引力，更容易保留，并最终应用到代码库中，以减少漏洞和返工。

想了解更多吗？预订一个演示 

免费试用Secure Code Warrior

‍

本周，我们正式庆祝Secure Code Warrior 。一方面，这是阿波罗11号任务长度的350倍，以及相当于45000场足球比赛，或玩超级马里奥奥德赛5696次到最后。另一方面，它只是巨龟寿命的三十分之一（如果你想知道，250年）。在一个高增长的创业公司的世界里，它代表了一个由许多曲折、转折、教训和成就组成的旅程，其中许多是我们最初在商业计划书上签字时无法想象的。 

在无处不在的经济衰退威胁、军事冲突和我们迄今经历的一些最具破坏性的数据泄露事件之间，2022年对许多人来说并不是最积极的一年，包括我自己。如果我说这是一个不折不扣的终点线，那将是虚伪的，但我仍然为我们在面对持续的全球挑战时的复原力感到自豪。我们有一个卓越的团队，我们每个人都真正致力于推动企业安全项目的成功，通过将开发人员置于转型的核心，以防御性的方法来解决存在已久的问题。我们已经开创了自己的道路并取得了胜利。虽然我们可能不是这个星球上唯一的 "游戏化 "网络安全教育选择，但有一点是肯定的：没有人拥有我们的愿景、毅力或我们的创始团队，我们已经一起经历了很多。

我们的生日里程碑经常被用来回顾过去一年的关键事件，但这一次，我想强调的是，我们在保留第一天就挤在狭小办公室里的六个人的情况下取得如此增长是多么特别。

我们找到了自己的定位，每天一起工作，执行一个愿景，我们相信这个愿景将改变开发人员对其在安全方面的作用的看法。这是一项重大的工作，但我们没有忘记我们的根和我们的纽带的重要性。

‍

我们有很长的路要走，但有了这个核心和一个不断壮大的热情、同情心和奉献精神的团队，我真的相信我们可以在改变软件开发中的安全现状方面有所作为。 

而你知道是什么让我如此自信吗？从一开始，我们就强调多样性，并认为它是团队中的一个力量支柱。最好的组织是由来自不同背景、文化和各行各业的人的贡献建立起来的。在过去的一年里，我们的团队增加了一百多名新人，我可以自豪地说，我们是一个方法的大熔炉，最终成为一个强大的、有才华的人类群体，可以把我们推向众所周知的平流层。 

如果说过去三年教会了我们什么，那就是要期待意外，但我可以依赖的不变的是，我们互相支持，慢慢地，但肯定的是，我们正在帮助使软件更加安全。而且我们在做这些事情的时候没有失去我们的冒险精神。

在Secure Code Warrior ，我们不断创新，以帮助开发人员和组织掌握正确的技能来应对当今不断变化的安全挑战。 

我们已经汇编了我们平台的首要功能和更新，以及今年发布的资源和指南，以帮助您的组织在软件开发周期的开始阶段通过开发人员驱动的安全来保证您的软件安全。

2022年的亮点

2022年是安全代码学习的一个重要年份。以下是我们从用户那里获得的一些指标，以显示我们的范围和规模learning platform 。

‍

2022年是建设的大年，让我们来回顾一下几个最重要的亮点。

2022年的最佳发布

即将推出。编码实验室

通过Coding Labs，开发人员可以在一个独一无二的全功能浏览器集成开发环境中通过实践学习来提高他们的安全编码技能。通过在一个熟悉的环境中进行培训，从学习新技能到将其应用于实际代码，以及在漏洞出现之前防止漏洞的出现，比以往任何时候都要容易。

编码实验室目前可供客户预览，请联系您的SCW代表以了解了解更多 如果您还没有获得访问权限，请联系您的SCW代表，了解更多信息。

SCORM LMS整合

SCORM是国际电子标准courses 。如果你的课程是以SCORM格式发布的，你可以肯定几乎所有的学习管理系统（LMS）都会识别它。

SCORM LMS的集成允许管理员在一个地方轻松地管理他们的安全代码培训项目和其他培训平台，节省你的时间，让你专注于重要的事情，比如专注于更有影响力的方式来改善你的培训项目。 

Secure Code Warrior Okta工作流程的连接器 

这种整合有助于防止不安全的代码被引入到你的代码库中，其强大的安全能力检查可以被内置到你的流程中。 

当在代码库中工作时，例如在GitHub仓库中，你可以设置必要的课程和评估作为在基地中编码的限定条件。这使你的领导能够确保每个开发人员都准备好在相关的代码库中工作，帮助提升整个组织的安全态势。 

了解更多关于Okta + SCW的信息 

请看这里的演示 

了解更多信息，并在这次关于 开发人员生产力和启用的网络研讨会上看到Coding Labs的现场演示。

查看我们的博客中的新内容

在我们的产品讲座中查看Okta演示和我们其他的集成。 

新闻中的漏洞 

Secure Code Warrior 提供对顶级漏洞的快速反应，以确保你了解情况，知道该怎么做。此外，在可能的情况下，我们甚至会创建一个模拟，让你在机械方面获得实践经验，你可以更好地保护你的应用程序免受未来威胁。 

2022年是一个多事之秋，当它涉及到漏洞和攻击抬头的时候。从将数百万应用程序置于危险之中的log4j漏洞，到花了近15年时间才被修复的python tar遍历路径。Secure Code Warrior ，为你准备好应对这些类型的漏洞的指南和免费测试missions 。 

• Log4J的漏洞
• 木马源
• 春天的漏洞
• NGINX和微软Windows SMB远程程序调用服务漏洞
• 硬编码的凭证
• Python路径遍历错误

额外的发布和更新 

在Secure Code Warrior ，我们的宗旨是可扩展的和有吸引力的教育，满足开发人员的需求，无论他们处于什么水平。6月，我们启动了季度性的ProductTalk网络研讨会系列，涵盖了我们正在向客户推出的所有令人兴奋的东西。

2022年，SCW增加了许多语言和内容，并对管理经验进行了重要的改进，还探索了更详细的报告。 

灵活多样的教育

Secure Code Warrior 包含63种以上不同语言的培训内容（还在不断增加），从最流行的语言（Java和C++）到后起之秀如GO和Typescript。在2022年，我们将更多的内容和语言加入到我们的剧目中。 

• 新的OWASP课程模板 ，帮助建立在你的开发人员的基础知识和安全意识。
• 新语言 - SAP:ABAP像SAP:ABAP 这样的利基语言得到了SCW的处理，培训内容以开发人员喜欢的形式提供 - 代码片段和样本

简化的配置和管理

我们知道，让安全编码程序的部署和维护变得简单是多么重要。在2022年，我们做了很多有意的改进，以使我们的管理员的工作更容易，并创造一个无头痛和直观的经验。

• 课程表视图 - 现在，你更容易为不同的开发团队快速创建courses 。
• 课程编辑和版本管理 - 管理员可以编辑他们现有的courses ，并创建基本的课程版本，而不必创建一个全新的课程
• 批量操作-- 用更少的点击做更多的事情，从一个地方对courses ，而不是在每一种语言中应用改变。
• 继续按钮 -从主屏幕访问Courses ，有一个 "继续 "按钮，在新的主页上显示一个活动卡列表，帮助用户快速恢复他们以前开始的模块。

报告和分析

对于公司管理者和团队经理来说，需要监控整个组织的活动，这对于了解你的开发人员的参与度和衡量你的培训计划的成功至关重要。通过访问关键指标，如完成的courses ，以及在courses 上花费的时间--无论是在团队还是个人层面，甚至可以做出更多的战略决策，以建立更丰富的培训计划。

• 培训指标--报告你的应用安全计划的进展和成功，其指标显示开发人员在培训中的进展情况，而不是他们在平台上花了多长时间。

• Assessment CSV下载- 快速了解你的开发者的优势和劣势，以评估你的战略和成熟度，CSV下载包括所有版本的assessment ，而不仅仅是一个版本。

技术堆栈的整合

Secure Code Warrior我们的整合方法确保您的SCW项目直接建立在您的首选产品和开发人员的工作流程中，以增强用户体验，实现及时补救，并取得更多学习成果。 

• Secure Code Warrior 适用于GitHub -在GitHub工作流程中启用上下文培训，将上下文应用安全培训材料附加到SARIF文件中，或直接在问题和拉动请求中使用，让开发人员在最需要时获得知识，以帮助你更快地发布高质量的代码。

了解更多关于SCW+GitHub的信息 

• Secure Code Warrior for GitLab - 将高度相关的Secure Code Warrior 培训链接嵌入到GitLab内部漏洞报告的漏洞细节部分。这有助于缩短学习和应用知识之间的时间差距，确保未来的使用。

查看演示

了解更多关于SCW+GitLab 的信息 

• Synopsys Seeker集成- 在Seeker内将Secure Code Warrior 资源、视频和培训链接到漏洞发现。Synopsys Seeker内的微观学习有助于识别和解决漏洞，在Seeker内的培训指导容易获得。 

了解更多关于Synopsys + SCW的信息

2022年发展奥林匹克运动会

Secure Code Warrior 2022年10月19日举办了第二届Devlympics安全编码竞赛。我们很自豪地与大家分享，2022年的Devlympics比去年规模更大今年的活动包括2910名注册者，有近800名选手参加了冠军赛或终极勇士赛场，事实证明，在帮助所有经验水平的开发人员提高他们的安全编码技能方面，这是一个巨大的成功。 

在24小时内，tournament ，来自世界各地的开发者用他们选择的编程语言进行了进攻和防御性编码挑战。开发人员有机会与他们的同行竞争，他们的技能范围很广，从业余爱好者到所选语言的专业人士。

同时，安全专家被邀请到 安全代码论坛的Discord频道进行现场游戏，并分享反馈，交换笑话和备忘录，并了解更多关于Secure Code Warrior 。 

帮助你成功的资源 

Secure Code Warrior 是被列入Gartner® Cool Vendors™软件工程的四家公司之一。提高开发人员的生产力的报告。除了提供创新的解决方案，帮助企业提高开发人员的生产力和减少安全风险外，Secure Code Warrior ，还发布了一些关于开发人员驱动安全的重要性的资源和研究。 

无论你是一名AppSec经理，还是一名工程经理，都在努力争取开发者团队的参与和投入，或者你是一名工程经理，正在努力提高团队的安全姿态，我们已经为你提供了在组织中倡导开发者驱动的安全所需的指南和工具。 

• 安全代码教练- 一个资源中心，供开发人员学习并与他们的社区成员接触，以了解更多关于安全编码的信息
• 白皮书。开发者驱动的安全现状
• 白皮书。提高软件安全所面临的挑战
• 安全代码培训蓝图
• 实现开发团队安全成熟度的步骤
• 开发商安全成熟度矩阵
• 开发者团队中安全成熟度的重要性
• 安全成熟度测验 
• 开发者驱动的安全手册 

有兴趣尝试Secure Code Warrior ，但还没有一个账户？今天就注册一个免费的试用账户来开始吧。

请与销售部联系以了解更多信息。 

在Twitter上关注Secure Code Warrior ，以获得关于最新发布和改进的更新。

现在就说到这里，2023年见！。

‍

‍

拙劣代码的代价 

技术的飞跃使开发人员比以往任何时候都更容易以更快的速度交付代码。这对创新来说是令人振奋的，但当涉及到提高软件的质量和安全性时，却令人生畏。如果要保持代码交付的速度，证明额外的工具、培训计划和提高开发人员技能的投资是合理的，这似乎是一个 "不错的选择"，而不是一个关键的业务功能。  

运送代码的速度可能变得更快，但不幸的是，运送安全的代码并不容易，这使得企业比以往更容易受到威胁。在全球范围内，网络犯罪的成本是惊人的，而且正在迅速增加。事实上，在2020年，网络犯罪的成本约为1万亿美元。平均而言，数据泄露的成本为435万美元--包括现有客户和潜在客户的业务损失，以及处理检测、升级和返工的资源。 

尽管有这些天文数字的成本，超过一半的组织没有要求开发人员每年进行正式的安全代码培训。

安全专家们都知道，在寻找和修复漏洞时，感觉就像在玩打地鼠的游戏。即使你已经有了一个带有修复策略的安全计划，也总是有机会改进。大多数组织发现，当他们的灾难恢复或备份能力受到考验时，他们的安全方法并不像他们曾经想象的那样强大。如果加强你的组织对网络攻击的恢复能力是你的首要任务之一，那么把留给你的开发人员的视角转移到你的计划之内，以继续改善你的安全态势。一个熟练的、被授权的开发者团队，从一开始就构建安全的代码，并有足够的知识来快速定位和修复漏洞，是你减轻风险的最经济的手段。   

谈到开发者教育，一个误区是它只是企业的成本，甚至是一种保险政策。安联公司DevSec意识宣讲员Klaus Klinger认为，"整个事情必须从管理层的头脑开始。投资于开发人员的培训不是一项损失的投资，而是对质量、生产力和公司声誉的投资"。

在这个领域，投资回报率往往难以量化，但最终企业应该考虑的是他们的安全态势如何帮助他们降低风险，简化方法，并为他们的开发团队节省时间和生产力。 

如何量化网络安全成本的投资回报率？

当涉及到投资回报率时，重要的是要在两个不同的框架内考虑它：减轻风险的成本节约与你的安全培训的影响。

让我们考虑一下这个太常见的例子：一个漏洞或漏洞导致一个电子商务网站被迫离线数天，而其团队正在寻找问题和如何修复它。未能补救的成本可以量化为中断期间的收入损失、被盗凭证的影响、客户信任的丧失（导致长期的销售减少），以及修复问题时的整体生产力损失。 

这实际上可以归结为一个成本/效益分析。你要评估的关键领域是你公司的安全成熟度，你公司的风险接受程度，以及你的代码中需要维护或改进的地方。

人们经常关注错误的指标来确定成功和价值。也许我们应该少关注项目初始投资的回报，而是要衡量项目本身的影响 。 

证明影响的措施

为了建立投资回报率，你必须建立可衡量的目标。这首先要评估你的开发人员的安全编码知识，了解他们在哪些方面需要增长技能。 

一个起点是衡量参与度，以帮助你做出战略决策，即如何建立更丰富的培训项目。最重要的是--衡量影响。首先，在你开始在每个团队进行培训计划之前，通过代码分析、bug赏金或经典的漏洞测试，看看在软件开发生命周期中被发现的弱点数量。要知道你的培训计划是否达到了预期的效果，最简单的方法之一就是测量被引入到代码库中的漏洞的总体减少情况。

‍

评估投资回报率的首要问题。‍

1.我们是否简化了我们的方法？

你是向问题投掷更多的工具，还是从根本上解决问题？在你的技术堆栈中增加更多的工具会产生一种 "瑞士奶酪 "的方法来寻找和修复漏洞。它们还增加了运营成本，而对许多漏洞的源头--代码却没有什么影响。尽管扫描和测试工具绝对应该是你武器库的一部分，但它们不应该是你的最后一道防线。‍

2.我们是否提高了效率和生产力？

花费在详尽的代码审查和从AppSec发回的代码的重做上的时间会导致生产力的重大损失。通过授权并让开发人员团队亲身参与安全代码培训来减少消防演习，应该是评估你的安全计划的积极影响的良好基准。‍

3.我们是否降低了风险？

寻找和修复一个漏洞就像解决一个大难题，有时需要几天、几周甚至几个月的时间才能完成一个强大的解决方案。赋予开发者在源头上拥有修复的权力，可以让AppSec专注于风险监控和加强组织的安全态势。

4.我们是否在提高速度（但仍然保持质量）？

快速发送代码并不总是一件好事。偷工减料和在代码中引入漏洞会在未来造成许多麻烦，并积累技术债务。短期思维在这里不是答案。人们可以通过从一开始就保护他们的代码来减少风险，这样问题就不会在未来变得复杂。
‍

建议跟踪的指标。  

• 参与度--你为培训预算了多少时间，开发人员如何参与？他们是否完成了courses 、评估，并参与了tournaments ？ 
• 技能--优势领域在哪里？你确定哪些领域需要改进？ 
• 漏洞的减少--你是否注意到在代码审查期间漏洞的明显减少？你是否看到AppSec回来的返工减少了？ 
• 生产率--补救一个问题需要多长时间？你是否注意到随着漏洞的减少，生产力或速度有所提高？ 

通过左移创造价值

违规行为和漏洞每年都在迅速增加。重要的是开始积极主动地建立一个整体的安全方法--首先从你的代码开始。这将有助于。 

• 通过投资于你最有价值的资源--你的员工来降低复杂性，而不是把钱扔在那些只能解决部分问题的工具上。 
• 通过限制通常由AppSec在代码部署后发现的返工或修复，来提高效率和整体效益。 
• 降低风险，实现合规性，避免昂贵的罚款，失去客户的信任，或者更糟糕的是--数据泄露的代价。 

避免短期思维和快速修复。它们只能导致技术债务和更多的成本。通过利用提高技能的力量，使你的开发人员成为防止漏洞和网络犯罪的最佳防线，并看到自己的影响和成本节约，从而进行长期规划。

‍

为了应对像SolarWinds事件这样的重大安全漏洞，该事件利用软件更新程序感染了超过18000名流行的Orion管理软件的用户，其中包括许多顶级企业和政府机构，人们越来越多地推动更有效的开发者主导的安全工作。各种规模的组织都开始质疑他们的 "软件供应链"，并要求制作他们的软件的开发者具有经过验证的安全技能和意识。

甚至美国政府也在呼吁更好的由开发者主导的安全实践和加强软件供应链。这些概念是拜登总统发布的关于改善国家网络安全的行政命令的一个关键组成部分。

总的来说，通过DevSecOps这样的项目和运动，开发者社区已经接受了将安全转移到软件开发生命周期（SDLC）早期的想法。在最近的调查中，开发者社区表示，他们很重视为支持这一努力而接受的安全培训。

软件漏洞继续被利用，甚至开发人员也承认，他们有时会在代码中留下漏洞。

为什么？

该调查证实，编写高质量的代码是开发社区的首要任务。然而，调查也发现了几个原因，即对开发人员的培训虽然被认为是有价值的，但却远远达不到帮助保护软件供应链安全的目标。33%的人说，他们仍然在他们的代码中留下漏洞，因为即使在提供了任何培训之后，他们仍然不知道如何识别或修复已知的漏洞。92%的人说他们至少需要某种程度的额外安全培训，而50%的人说需要更多的培训。

很明显，开发人员社区重视他们所接受的任何培训。然而，当被问及采用安全编码做法的障碍时，缺乏时间被认为是头号原因，其次是五分之一的受访者认为缺乏一个统一的方法是罪魁祸首。培训被认为是一次性的活动，而不是持续的战略努力的一部分，将安全纳入开发人员的工作流程，并在日常的基础上使用。

因此，开发人员没有能力建立和保留安全编码技能，作为整个组织的凝聚力和持续计划的一部分。我们还可以得出结论，鉴于许多开发人员说他们仍然无法识别和修复常见的漏洞，目前接受的培训并不是特别有效或全面。

92%的开发者说他们至少需要某种程度的安全方面的额外培训，而92 50%的人说需要大量的培训。

各组织可以做什么来解决这个问题？

有趣的是，开发人员绝大多数都说他们需要更多的安全培训。虽然他们很重视他们所接受的培训，但这可能是一种情况，他们只是对他们能得到的任何东西感到高兴。

当被要求就如何改善他们的培训发表意见时，他们对这个问题的真实想法开始浮出水面。一般来说，开发人员接受的大多数培训都是有限的、非互动的，只是在一定程度上针对他们的工作职责，而且不是帮助提高组织的安全技能和意识的整体或持续计划的一部分。根据接受调查的开发人员，如果组织想要提高所提供的培训的有效性，它应该作为促进整个SDLC更加重视安全的综合方法的一部分。此外，开发人员还有一些具体的要求，以使他们的培训更有价值。最受欢迎的建议之一是包括更多的使用案例和他们可能从安全角度遇到的情况的实践案例。另一个提高有效性的流行反应是教育最终涵盖越来越复杂或困难的场景--此举可能还需要一个更有凝聚力的方法和一个持续学习和技能发展的长期计划。开发人员还强调需要更多的互动性，甚至可能增加竞争元素。一般来说，如果用户只是看视频或听讲座，而没有机会亲身体验，在试图教授像安全编码这样复杂和（被认为是）困难的技能时，培训被认为是无效的或特别有价值的。

开发人员还强调需要更多的互动性，甚至可能加入竞争元素。

在采用有凝聚力的安全方法时，还有哪些因素是重要的？

在试图提高组织的开发人员社区的安全意识和技能时，培训当然是至关重要的。而确保学习是持续的、互动的、相关的和有背景的，是必要的。但是，一个真正有凝聚力的方法来提高安全意识，甚至超越了这个范围。

真正有凝聚力的方法必须考虑培养真正由开发人员主导的安全文化所需的内容。这可能需要改变管理和建立开发人员团队的典型方式的重点。例如，传统上对开发人员的评估是基于他们编码的速度。但是，一个有凝聚力的安全方法可能需要改变那些长期持有的衡量标准和价值观。相反，评估的重点可以从奖励原始速度转移到奖励那些能够创建高质量代码的开发者，这些代码也是安全的，也就是说，它没有漏洞。

它也可以让开发者社区本身作为努力的一部分。这些人将是有才华和安全意识的开发人员，他们在培训中或作为新的重点指标评估的一部分而表现突出。他们也应该愿意帮助其他开发者提高他们的技能，从而从内部改善开发社区。

真正有凝聚力的方法必须考虑培养真正由开发人员主导的安全文化所需的内容。这可能需要改变管理和建立开发人员团队的典型方式的重点。

进一步阅读

白皮书。提高软件安全的挑战（和机遇）。

白皮书。预防性的开发者驱动的软件安全方法

白皮书。DevSecOps Superbowl。安全卫士如何支持你的团队取得对后期漏洞的胜利

报告。开发者驱动的安全现状 2022年