展望 2025 年，人工智能与软件开发的交叉将继续以有意义的方式影响开发者社区。 

企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中，我们清楚地认识到，人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系，到围绕 "安全设计"（Secure-by-Design）期望的不断增加的压力（和困惑），让我们仔细看看明年我们可以期待什么：
‍

重写人工智能方程式：不是人工智能代替开发者，而是人工智能+开发者

"2025年，随着公司被要求采取大幅削减成本的措施，开发人员被人工智能工具所取代也就不足为奇了。但是，正如生成式人工智能首次亮相时的情况，以及如今经过多年更新和更多更新后的情况一样，它仍然不是一种安全、自主的生产力驱动力，尤其是在创建代码时。人工智能是一种极具颠覆性的技术，有许多令人惊叹的应用和用例，但还不足以取代熟练的人类开发人员。我同意Forrester 的 预测，即 2025 年向人工智能/人类替代的转变很可能会失败，尤其是长期而言。我认为，人工智能+开发人员的组合比单独使用人工智能更有可能实现这一目标。"

‍

人工智能带来的风险与机遇并存

"2025年期间，我们将看到人工智能生成的代码出现新的风险案例，包括幻觉蹲守、中毒库和影响软件供应链的漏洞利用等已知问题的不利影响。此外，人工智能将被更多地用于发现代码中的漏洞，以及利用人工智能编写漏洞利用程序，正如谷歌的 "零项目"（Project Zero）刚刚展示的那样。相比之下，我认为我们还将看到一些初步成熟的企业开发人员能够在工作中利用这些工具，而不会增加太多额外的风险，但这只是例外，而不是常规，这将取决于他们的组织是否积极衡量开发人员的风险，并相应地调整他们的安全计划。在 2025 年必将带来的快速发展的威胁环境中，那些技术娴熟、安全意识强、拥有经认可的人工智能编码工具的开发人员将能够更快地生成代码，而安全意识不强、技能一般的开发人员只会以更快的速度带来更多问题。" 

‍

走出人工智能的阴影

"围绕人工智能的立法环境正在迅速变化，试图跟上技术的频繁进步及其采用速度。2025 年，安全领导者需要确保做好准备，遵守潜在的指令。在未来的一年里，以下几个方面的结合将被证明对企业最为关键：了解 "影子人工智能 "的本质，然后确保其不在企业中使用，其次是严格使用仅安装在公司系统上的经过批准和验证的工具。这将使开发人员群体获得更多的assessment ，了解必须如何为他们提供最佳支持，以不断提高他们的安全能力，并将其应用到工作的各个方面。"

‍

人工智能工具的安全等级将成为开发人员的重要衡量标准

"现在，在由 LLM 驱动的编码工具方面，市场可谓是自由竞争。新的工具层出不穷，每种工具都标榜有更好的输出、安全性和生产力。进入 2025 年后，我们需要一个标准来衡量和评估每个人工智能工具的安全性。这包括编码能力，即生成具有良好、安全编码模式的代码的能力，这些模式不会被威胁行为者利用。 

‍

人工智能将使初级开发人员更难进入该领域

"开发人员的入门门槛比以往任何时候都要高。随着混合型和分布式工作团队的出现，以及入门级职位所需的技能水平的提高，初级开发人员的门槛逐年提高。2025 年，雇主将开始期望初级开发人员在开始工作时就已经掌握在工作流程中安全集成和优化人工智能工具的技能和知识，而不是花时间进行在职培训。在未来一年内，未能学会如何在开发工作流程中利用人工智能工具的开发人员将对自己的职业发展产生重大影响，并在获得工作机会方面遇到挑战。他们有可能会妨碍自己的'编码许可'，从而无法参与更复杂的项目，因为安全的人工智能能力最终将成为关键。"

‍

时间会阻碍组织实现设计安全

"开发人员需要足够的时间和资源来提高技能，熟悉正确的工具和实践，以实现 "设计安全"。除非组织获得安全和工程领导的支持，否则他们的进展将受到阻碍，甚至完全停滞。当企业试图削减成本或限制资源时，他们往往会优先考虑眼前的修复工作，而不是长期的解决方案--专注于多方面的修复工具，这些工具在某些方面做得 "还行"，而在其他方面做得 "一般"。2025 年，这种不平衡将使优先考虑安全软件开发的企业与只想快速解决问题以跟上不断变化的形势的企业之间产生更大的差距。

‍

供应链安全审计将在降低全球风险方面发挥关键作用

"所有外包/第三方供应商都将开始受到越来越严格的审查。您可以在内部实施最完善的安全计划，但对于您的外包公司来说，如果他们没有实施'安全设计'（Secure by Design），整个安全框架就会受到损害。因此，企业将对外包工作进行严格审核，给企业领导者施加压力，要求他们严格遵守安全和行业合规准则。归根结底，安全团队的成功取决于全方位、360 度的视角，包括整个组织和任何外部合作伙伴的统一方法"。

‍

人工智能将对 "穿越噪音 "产生影响  

"开发团队在代码漏洞扫描仪的误报率问题上苦苦挣扎。他们如何确定分配给他们的漏洞确实存在安全风险？ 2025 年，在代码修复方面，人工智能将成为帮助开发人员 "穿越噪音 "的重要工具--提供对代码本身更深入的理解。通过利用机器学习，人工智能可以根据上下文更好地确定真实威胁的优先级，从而减少用于提高安全警报准确性的时间。这将使团队能够专注于真正构成风险的漏洞，提高整体效率，实现更快、更安全的开发周期"。

‍

标杆管理将成为企业实现设计安全目标的解决方案

缺乏安全基准将在 2025 年被证明是对企业不利的，因为他们将没有明确的基准来衡量自己在达到 "设计安全 "标准方面的进展。如果没有一个基准系统来评估团队是如何遵守安全编码实践的，这些组织就有可能无意中引入漏洞，从而导致重大漏洞。而如果确实发生了漏洞，他们很可能没有时间实施基准系统，而是被迫在没有首先评估其开发人员团队的安全成熟度的情况下加速实施其 SBD 计划，最终使其组织面临更大的风险。

‍

以人工智能生成代码为代价的技术债务

"业界已经存在大量技术债务问题，这已经不是什么秘密了--而且是已经编写好的代码。随着开发人员对本质上不安全的人工智能生成代码的盲目依赖激增，再加上执行监督有限，情况只会变得更糟。这种态势很有可能导致我们在明年看到报告的 CVE 增加 10 倍。

‍

要想在 2025 年取得成功，企业必须愿意负责任地、安全地引入人工智能，同时对其开发团队进行适当的培训和风险缓解投资。明年是 CISA 的 "安全设计"（Secure-by-Design）承诺一周年，那些优先采用安全开发方法以最大限度地消除与人工智能、第三方安全问题和其他新兴威胁相关的风险的品牌，才能保持其竞争优势。

要积极主动地保护软件的安全，就必须始终站在最新标准和合规要求的最前沿。毕竟，网络安全领域不断出现新的威胁和漏洞，尤其是随着新技术的出现。如今，我们正共同处于人工智能的拐点上，每天似乎都有新的演变和使用案例出现，这一点从未像今天这样真实。 

为了应对这些挑战，OWASP 基金会最近发布了更新版的《OWASP 大型语言模型（LLM）应用 10 强》，旨在让开发人员、架构师和其他软件交付贡献者了解部署 LLM 和生成式人工智能应用时的潜在风险。我们Secure Code Warrior 很高兴地宣布，最新版本中的更改和更新已在我们的安全代码learning platform 中实施和提供。有了这些最新可用和更新的材料，我们的所有用户在使用 LLM 时都能走在降低风险的最前沿。

本次更新有哪些新内容？

OWASP 从之前的十佳项目中删除了两个项目：

• 不安全的插件设计--这涉及到 LLM 与插件的交互方式，以及插件与外部存储或服务的交互方式。 
• 模型盗窃--指未经授权复制或获取机器学习模型或人工智能系统。

根据以前版本的 OWASP Top 10，Secure Code Warrior 与这些漏洞相关的指南是我们 LLM Top 10 课程的一部分。这些指南以易懂、易读的格式提供了有关漏洞和安全概念的易消化信息，现已从课程中删除。不过，这些指南仍可在 Explore 中找到，同时还有我们提供的所有其他学习材料。 

OWASP 将 "前十名 "保持在正式的 "前十名"，并增加了两个新项目：

• 系统提示泄漏 --通常隐藏在系统 中，用于指导模型行为的提示会暴露给用户。
• 矢量和嵌入 --可暴露不公开的特定、专有或实时信息

这些漏洞的指南已添加到 LLM Top 10 课程中，与被删除的指南一样，这两个漏洞也可以在 Explore 中供希望利用自学优势的用户访问。

最后，OWASP 还对其列表中的现有漏洞类别进行了一些修改，重新命名了一些类别，使其更加广泛或具体，并对其定义进行了修改。我们支持这些主题的指南现已更新，以反映 OWASP 指南中的细微变化以及新的命名约定。此外，它们的优先级顺序也已更新，以符合 OWASP LLM Top 10 中的顺序。

在Secure Code Warrior ，我们致力于帮助用户保持领先地位。随着 OWASP 的最新更新已经反映在我们敏捷的learning platform 中，我们让用户可以轻松访问最新的培训材料，这些材料涵盖了最新的漏洞，并能在部署 LLM 和生成式 AI 技术时降低风险。无论您是要应对新引入的系统提示泄漏或矢量和嵌入威胁，还是要更新您对错误信息和无界消费的理解，我们的平台都能提供您所需的资源，帮助您掌握这些关键概念，改善您的安全态势。

改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践，并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而，安全编码不是一次性就能解决的问题，它必须成为一种生活方式，融入组织的基因。开发人员不仅要向左转，或从左开始，而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容，并在软件开发生命周期（SDLC）的初期就遵循最佳实践，将其作为日常工作的一部分。您需要跟踪开发人员的绩效，并根据内部标准和行业基准衡量他们的进步，从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性，并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性，同时确定需要改进的领域。此外，它还有助于确保符合一系列监管合规要求，无论是《通用数据保护条例》（GDPR）、《支付卡行业数据安全标准》（PCI DSS）、《加利福尼亚州消费者隐私法案》（CCPA）还是其他要求。

我们的研究表明，安全代码培训是有效的。信任分数》采用一种算法，从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点，揭示了该算法在减少漏洞方面的有效性，以及如何使这一举措更加有效。

如果开发人员接受培训，培训就能提高安全性 

多年来，在软件开发流程（SDLC）的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了，但并不是当前的首要任务。但是，随着软件开发速度的不断加快，以及复杂而具有破坏性的网络威胁（通常建立在针对软件漏洞的基础上）步伐的加快，安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置，该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据，发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的，如相关公司的规模（规模较小、开发人员相对较少的公司产生的结果范围更大），以及学习小组是否专注于某个特定问题，在这种情况下，他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计，由于开发人员提高了安全技能，漏洞将减少 47% 至 53%。例如，据统计，一家拥有 10,000 多名开发人员的平均水平公司（既不是平台上的佼佼者，也不是基准最高的公司）的漏洞减少了 53%。 

当然，最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能，使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训，这些场景应与开发人员的工作类型和使用的语言相匹配。此外，培训还应该足够灵活，以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说，技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方（如开源软件库）创建的软件。开发人员热衷于使用生成式人工智能模型，他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而，尽管在Snyk的一项调查中，76% 的受访者表示人工智能生成的代码比人类生成的代码更安全，但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现，80% 的开发人员跳过了应用人工智能代码安全策略，这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中，开发人员将与安全团队合作，而不是与他们分开，在 SDLC 的早期阶段解决这些问题，在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外，持续培训也至关重要。公司需要采用一种安全第一的文化，这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进，并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展，网络安全也不应该停止发展。对于生产软件的企业来说，经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性，还能让组织深入了解绩效数据，关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如，如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效，并确认他们是否已经掌握并正在使用必要的安全技能，从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目，同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题，影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉，甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性，它们一直在实施越来越严格的法规，并愿意对 CISO 以及其他可能的高层管理人员提起诉讼，甚至提出刑事指控，如Uber和SolarWinds 的案例。 

在当今的环境中，采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上，因此安全编码是这种文化的核心要素。作为文化思想的一部分，有针对性的培训和技能提升，再加上证明培训有助于改变文化的证据，可以让企业走上加强安全态势的道路。 

开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

在当今云驱动的 DevOps 世界中，安全团队很难跟上如潮水般涌现的新创新，因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而，尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件，到近年来发生的更多事件，如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞，并在事件发生时作出反应。这种方法在另一个时代也许是合适的，但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位，他们需要停止追逐那些对他们来说发展太快的安全威胁，或者等到数据外泄事件发生时才行动。相反，他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性，就必须采用安全设计方法，并辅以有效的开发人员培训，以确保在软件开发生命周期（SDLC）之初就采用最佳安全实践，并在投入生产之前对漏洞进行修复。

迄今为止，事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局（CISA）一直试图通过其 "设计安全"（Secure-by-Design）倡议将预防作为一项关键政策来推动，该倡议提倡安全编码以及其他最佳实践--从多因素身份验证（MFA）到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而，我们的研究表明，迄今为止，只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起，那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计，这约占全球开发人员总数的 3.5%，预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码，尤其是在生成式人工智能程序大大加快了开发速度的情况下，很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识，因为传统模式要求开发人员和安全专业人员分头工作，安全团队在软件制作完成后再解决安全问题。但在当今的环境中，安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告（BSIMM14）显示，全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全，这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较，应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场，预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长，但与网络安全（预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元）或操作技术安全（预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元）的支出相比，就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增，这方面的资金却不足。事实上，如果企业在应用程序安全和 "安全设计 "方法上投入更多资金，就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施，因此也更难向高层管理人员推销。首先，一些历史悠久的公司，如金融服务行业的公司，都有一些老旧的遗留系统，其中一些可以追溯到上世纪中叶，当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏，但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢，但采用 "按设计确保安全 "实践的推动力不会消失，因为在当今的网络威胁环境中，对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员，而不是提高汽车的安全性，那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划，在 SDLC 的早期阶段，提高开发人员编写安全代码和纠正错误（如人工智能助手或第三方代码带来的错误）的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划，并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是，这需要包括一种衡量其进展的方法，以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况，同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的，反映了组织内安全第一的思想，即安全是业务的优先事项。当然，响应和恢复是企业整体安全态势的重要组成部分。但是，通过将重点放在预防上，企业可以在降低风险方面取得长足进步，或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

随着网络威胁日益猖獗和复杂，网络安全的焦点正集中在安全代码的重要性上。白宫的《国家网络安全战略》、网络安全和基础设施安全局（CISA）的 "按设计保证安全"（Secure-by-Design）倡议，以及其他国家的倡议和立法，将安全责任完全推到了软件生产商的肩上。在软件开发生命周期（SDLC）的早期确保安全，曾经被认为是一件很好的事情，但现在对于企业保护其数据和系统并避免发生漏洞后的监管后果至关重要。

确保安全编码实践的关键在于开发人员的培训。软件工程师通常很少或根本没有接受过网络安全教育。他们的工作，尤其是在当今加速的 DevOps 环境中，一直是尽快开发出新的应用程序、升级和服务，而且越来越多地借助快速工作的生成式人工智能模型，让安全团队在 SDLC 的后期阶段解决网络安全问题。这种方法无法有效解决大量代码产生的缺陷，往往会导致软件漏洞被释放到生态系统中。

开发人员需要从一开始就接受编写安全代码的培训，并能够捕捉人工智能生成的不安全代码，或者当这些代码出现在他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说，这是一个尚未涉足的领域。他们如何知道开发人员正在接受所需的培训？培训是否定期进行？

一些开展开发人员教育的公司发现，为开发人员建立一套技能基准并根据明确定义的基准来衡量他们的进展是有益的。为了帮助实现这一目标，Secure Code Warrior 推出了一项基准，旨在准确衡量开发人员在安全培训方面的进展。SCW Trust Score使企业能够衡量培训在工作中的应用情况，并使安全、开发人员和工程团队能够进行协作。

这种方法既能证明安全代码培训已初见成效，又能找出需要改进的地方。

安全设计的理由

软件生产商完全有理由在 SDLC 流程之初就将安全性纳入其中。事实证明，对应用程序和服务不断增长的需求以及人工智能为开发流程带来的速度对开发人员非常有用，他们很快就采用了生成式人工智能，但这也不可避免地导致漏洞百出的软件被发布到管道中。生成的代码越多，缺陷也就越多--最近的研究发现，近四分之三的应用程序（无论其创建方式如何）至少包含一个安全漏洞，其中近 20% 被认为是关键漏洞。 

在软件开发流程（SDLC）的后期弥补漏洞变得既耗时又昂贵，令人望而却步。美国国家标准与技术研究院（NIST）发现，在测试过程中修复缺陷所需的时间是在 SDLC 开始阶段确保软件安全所需的时间的 15 倍，而在部署/维护阶段修复缺陷所需的时间则要长 30 到 100 倍。 

所有这些都强调了在开发周期开始时应用安全的重要性，事实证明，这不仅是降低风险的最有效方法，也是最具成本效益的方法。开发人员与安全团队合作，而不是让他们作为单独的实体运作，是将安全引入 SDLC 开始阶段的最佳人选。接受过安全最佳实践培训的开发人员能有效减少漏洞。问题是，接受过培训的开发人员少之又少。

基准之美 

公司的基本途径包括建立安全技能基线、提供培训，以及向组织和监管机构证实开发人员已掌握必要的技能。事实证明，这对所有经济部门的许多组织来说都具有挑战性，但其实大可不必如此。

安全领导者面临的挑战之一，是在整个企业中推广培训计划的难度。但 SCW 的研究表明，企业，尤其是那些拥有大量开发人员的企业，可以成功实施安全设计方法。规模较小的企业在应用安全设计原则的程度上往往差异很大。不过，它们也能从包含信任分数的方法中获益，而且可能会更快地显示出改进效果。

Trust Score 使用基准指标来衡量每个学员的进步，汇总他们的分数来评估整个团队的表现，并将组织的进步与行业基准和最佳实践进行比较。它不仅能跟踪培训情况，还能显示开发人员日常应用新技能的情况。它还能突出需要改进的方面，使企业能够优化其培训/技能提升计划。 

在 CISA 有数据可查的关键基础设施领域中，大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基地到医疗保健、IT 和关键制造等行业的信任度得分都在同一范围内--在 1000 分的评分标准中略高于 300 分。尽管传统观点认为，作为监管最严格的行业，金融服务业将遥遥领先，但没有一个行业超过其他行业。

未纳入信任度排名的关键基础设施部门，如化工、能源和核运营部门，一般不会创建自己的软件，而是依赖于其他部门，尤其是 IT 部门。然而，在这些部门内维护安全系统的重要性（没有人愿意看到核电站被入侵）只能说明，首先确保这些部门所使用软件的安全是多么重要。

总结

监管压力的增加和网络威胁形势的现实，使得那些希望保护其数据、系统、业务运营和声誉的企业必须采用 "按设计确保安全 "的方法。在很大程度上，创建安全软件的工作掌握在开发人员的手中，但他们需要得到全面的技能提升和培训计划的帮助，以提供他们所需的教育，并展示如何应用这些教育。 

一个包含基准的计划，在信任分数等工具的支持下，可以清楚地了解开发团队的关键进展。这是一种重要的新方法，开发人员和他们为之工作的公司都需要这种方法，以确保他们不断提高安全软件开发技能，同时满足新的设计安全要求。

‍

令人振奋的是，随着美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略，CISA 的 "按设计保证安全"（SBD）运动在全球范围内获得了强劲的发展势头，其中许多国家还为最初的建议做出了贡献。

自 2024 年 4 月以来，已有 200 多家公司签署了 "按设计保证安全"承诺书，其中包括美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国。 Secure Code Warrior等 200 多家公司签署了 "按设计保证安全 "承诺书，表明业界对更高软件质量和安全标准的广泛承诺。我们将这些指导方针视为网络安全领导者的关键时刻，他们首次获得了全球政府对软件开发中重大文化变革的支持。虽然这些建议在直接向美国政府销售的软件供应商之外还不是强制性的，但我认为这不仅是未来的趋势，也是开始反击威胁行为者的黄金机会。指导方针的核心是努力消除各类漏洞，全行业都关注这一目标，我们将在数十年内对数字安全产生最重大、最积极的影响。

我们相信这一行动至关重要，我们的最新研究论文 安全技能基准：简化企业的安全设计 是我们深入分析企业级真正的 "按设计确保安全 "计划，并根据数据驱动的研究结果得出最佳实践方法的结果。 

衡量组织安全设计工作的投资回报率

彻底改革长期存在的软件开发实践并非易事。首席信息安全官在试图证明安全计划活动在个人和公司层面的投资回报率 (ROI) 和商业价值时经常面临挑战，许多人对预算削减和缺乏高管对新网络计划的支持感到越来越沮丧。然而，一份有数据支持的提案将在这里发挥重要作用。 

近年来，缺乏技能基准来让组织评估其是否符合行业标准一直是一大挑战。这使得设计和实施安全计划变得异常困难，这些计划会影响正确的领域并促进开发团队的持续改进，而这是成功的软件安全实践的关键要素。 

让“安全设计”计划发挥作用的关键不仅在于让开发人员掌握确保代码安全的技能，还在于向监管机构保证这些技能已经到位。因此，我们决定分析开发人员团队的准备情况，结果可能会令人惊讶。

试图加速 SBD 计划的公司如何利用信任评分

如果不清楚从哪里开始以及需要达到什么目标，那么几乎不可能有效地改进。然而，数百家企业客户有效地利用了SCW 信任评分（一种量化开发人员团队安全能力的全球基准）来提供这些有用的、细粒度的数据点。这些见解塑造了高效的、由开发人员驱动的安全计划，有助于成功实施 Secure-by-Design 计划。

我们白皮书中的分析显示，顶级关键基础设施行业的组织在培训开发人员推进 SBD 计划方面取得了进展。我们还发现这些行业的开发团队的安全态势处于平均水平。

Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球 600 家企业客户和 25 万多名活跃开发人员的 2000 多万个数据点的洞察。分析发现：

• 目前参与以开发人员为中心的 SBD 技能提升计划的开发人员总数不到全球所有开发人员的 4%；
• 金融服务行业拥有最高的信任评分，为 336；
• 大多数大规模的安全设计技能提升计划都取得了成功，而规模较小的计划往往比较分散。然而，事实证明，一旦获得授权，这些计划就能更快地带来可衡量的投资回报 (ROI)；
• 当技能提升计划牢固实施时，开发人员在应用程序中引入的风险会大大减少。分析发现，大型技能提升计划中的开发人员（一家公司有 7000 多名开发人员）可以预测漏洞减少 47-53%。

解决方案 | 结论

SCW 信任评分是任何安全领导者的强大工具，可全面深入了解组织内的特定领域。报告可以根据语言、团队或类别进行筛选，生成定制报告，使公司能够满足开发人员或团队的特定需求，并确定需要额外培训或指导的领域。毕竟，安全是一项永无止境的事业；有效地对性能进行基准测试将有助于发现持续改进的机会。

软件开发和部署的加速，加上网络威胁形势愈发严峻，监管部门也愈发严厉，网络安全问题已成为当务之急。如果企业尚未这样做，那么必须优先考虑在企业范围内建立安全第一的文化。

最近，Linux 用户的日子并不好过，据报道，在过去几年中，有几个高严重性漏洞以各种方式影响着该系统。

2024 年 9 月 27 日，evasocket.net 的 Simone Margaritelli发布了有关 CUPS 中几个可利用漏洞的重要信息，并随后为其中四个漏洞分配了 CVE。这个数字可能还会增加，但在撰写本文时，安全社区还在争论这些发现的实际严重性。虽然其中一个 CVE（CVE-2024-47177）目前被 MITRE 评为 9.1 级严重程度，但成功利用这个命令注入漏洞依赖于启用了 CUPS 服务的服务器，此外还需要访问 UDP 端口 631 或 DNS-SD。不过RedHat指出，可以将 CUPS 重新映射到其他端口。 

Margaritelli 对这一事件进行了全面的分析，揭示了一个阴险、复杂的攻击链，尽管社区存在分歧，但这一攻击链不容忽视。它给我们上了一堂课，让我们了解到，如果威胁行为者足够果断，如果糟糕的编码模式留下了可乘之机，看似无害的依赖关系也会被深度利用。

CUPS 场景与许多开发人员和 AppSec 专业人员以前可能经历过的场景有些不同，让我们一起来看看，顺便测试一下你的技能。

漏洞：通过 CUPS 远程执行代码 (RCE)

Evilsocket 博客提供了有关这些漏洞的无与伦比的详尽背景资料，我们将继续密切关注这一资源。Margaritelli 还在文章中引用了一位不愿透露姓名的消息人士的话，他似乎对 Linux 的总体安全性并不乐观：

‍

"从通用安全的角度来看，如今的整个 Linux 系统就是一个无穷无尽、毫无希望的安全漏洞大杂烩，等着被人利用。"

这令人清醒地意识到开源环境中仍然普遍存在的固有安全风险，更不用说全球开发社区对提高安全意识和安全编码技能的迫切需要了。

让我们来看看 CVEs：

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍该漏洞链非常广泛，目前影响到以下软件包的所有当前和先前版本：

• Distrotech/cups-filters
• OpenPrinting/cups-filters
• 浏览杯子
• libcupsfilters
• libppd
  
  

二十多年来，CUPS 一直是 UNIX 和 Linux 操作系统的传统组件。它作为打印服务依赖程序的功能使其急于执行网络请求，成为 RCE 类漏洞的主要攻击目标。

不过，在这种情况下，如何将攻击巧妙地结合在一起并取得成功结果，还是有一些独到之处的。这主要是指未经身份验证、未被发现的攻击者可以用恶意 URL 替换 Internet 打印协议 (IPP) URL，此外还可以修改指令，从而在 "PPD（PostScript 打印机描述）文件"（该文件用于描述新添加打印机的功能）中造成命令注入。一旦打印任务被激活，就会导致命令执行攻击，而这依赖于 CUPS 组件中缺乏输入验证。

此外，正如 Evilsocket指出的那样，修复这一特定漏洞是一把双刃剑。CUPS 包括 foomatic-rip 过滤器，这个可执行文件以前曾是一个高风险、可被利用的组件。与该组件相关的 CVE 可以追溯到 2011 年，虽然已经确定 foomatic-rip 可以被用来执行操作系统命令，但修复该漏洞会导致稳定性问题，并失去对许多旧版打印机的支持。这是一个需要克服的复杂问题。

1. 威胁方发起攻击
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. 受害者系统处理打印机属性
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. 受害者系统连接到攻击者控制的 IPP 服务器
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

如何降低 RCE 风险？

对于使用 CUPS 作为业务运营一部分的公司，必须遵循Evilsocket和RedHat 建议的修复建议。这包括但不限于作为紧急优先事项应用安全补丁。

有关命令注入的一般信息，请查看我们的综合指南。

如果您有兴趣获得更多免费的编码指南，请查看Secure Code Coach，它可以帮助您掌握安全编码的最佳实践。

可衡量安全代码学习工作的实用见解 

最大化安全代码学习计划的价值在很大程度上取决于用户的参与度。网络安全世界是一个不断变化的世界，既有新的威胁，也有加强整体安全态势的机会。要积极主动地保护代码安全，就必须持续开展安全代码学习，以最大限度地提高计划的效率和相关性。要做到这一点，项目领导者需要清楚地了解用户的参与情况，不仅是在单个时间点上的参与情况，还包括长期的参与情况，以确定趋势并优化项目的性能。

因此，我们非常高兴地宣布推出一份新报告，该报告旨在衡量用户的参与度，从而轻松发现关键趋势，并确定何时在组织内部采取行动。有了这些新的洞察力，企业不仅可以采取更多措施，最大限度地提高安全代码学习的投资回报，还可以持久改善网络安全状况。

本报告有何新内容？

Engagement Insights报告显示了您所选时间段（默认情况下为过去12个月）内与您的敏捷学习计划相关的一些关键统计数据，所有这些数据也可通过报告API访问。参与度报告可快速、轻松地查看在此期间积极参与南华早报敏捷学习learning platform 的新学员人数、参与平台的活跃学员人数以及当前启用学员人数。

‍

‍

这些总数仅仅是个开始。您可以细分学员参与平台的方式，发现所选时间段内活跃学员的趋势。有了这些信息，您就可以计划沟通（内部通讯、博客）或其他参与活动，让开发人员不断回来磨练自己的技能。

‍

同样，"上次学习活动 "细目显示了学习者最近一次使用 SCW 平台的时间。与任何形式的学习一样，概念的记忆会随着时间的推移而逐渐消失。理想的状态是将大部分学习者归入表示最近参与的前几个括号中。这种分组方式不仅能保持开发人员技能的新鲜度，还能避免技能随着时间的推移而逐渐消退，从而提高企业的SCW 信任分值。

‍

‍

洞察力不仅仅局限于频率和重复性。您可以深入了解用户是如何参与安全代码学习活动的。"参与度报告 "提供了学习者在所选时间段内在Secure Code Warrior 平台不同部分所花费时间的明细。管理员可以利用这些信息来确定用户群参与的驱动因素。您是否已经有一段时间没有开展 SCWtournament ，是否有机会重新吸引一部分开发人员？学习者是否在Courses 或 "评估 "中的结构化学习内容之外使用 "探索 "模块来开阔视野？识别高参与度类型以及顶级用户为设计开发人员喜爱的程序和表彰活跃的领导者提供了机会。

‍

正如您所看到的，有许多方法可以衡量学员对敏捷学习计划的参与度。我们将继续致力于提供更多的见解和报告，以推动最有效的学习成果和组织网络安全态势的改善。如果您有任何问题、反馈，或想了解更多有助于优化您的计划的具体数据，请告诉我们！

‍

减少安全债务是所有公司都在努力实现的目标。 如何最大限度地减少安全漏洞？ 如何加快产品上市速度，同时确保生成的代码是一流的？  

与许多公司一样，DigitalOcean 选择了Secure Code Warrior ，以便与具有安全意识的开发人员一起，从一开始就构建和发布高质量的代码，从而推动数字创新和现代化。  

DigitalOcean 提供可扩展的计算资源和一整套云解决方案，使开发人员能够毫不费力地部署、管理和扩展应用程序。随着公司的扩张和工程团队的壮大，该公司转向Secure Code Warrior 。 在快节奏的技术行业中，该公司需要确保其开发人员能够识别设计审查中出现的常见不良编码模式，从而主动防止其再次发生。 

正如产品安全高级经理 Ari Kalfus 所说："我们需要一个针对开发人员、实践性强、专注于我们组织面临的风险的解决方案。"Secure Code Warrior 实现了这一点，其中最显著的成果之一就是能够快速、定期地强化安全编码实践。 这使得各团队的安全债务明显减少。总体而言，DigitalOcean发现，接受SCW培训的团队不仅更善于识别和缓解安全问题，而且现在也有信心在不影响安全的情况下推动创新。

点击这里了解更多有关DigitalOcean如何减少其整体安全债务......现在，DigitalOcean正利用其安全盈余进一步推动生产力和创新的发展。