为什么框架学习能培养出注重安全的开发者
只需浏览几分钟技术新闻,便会清楚意识到威胁形势正变得何等危险。似乎每天都有关于重大数据泄露、新安全漏洞或网络攻击者与犯罪分子积极利用漏洞的严重威胁的报道。 几乎所有行业指标和报告都显示网络威胁正呈危险增长态势,多数专家预测这一趋势将在未来数年持续蔓延。
面对这些新威胁,IT安全人员组成的前线防线已疲于奔命且人手不足。尽管他们薪资丰厚,对任何企业或组织都几乎不可或缺,但安全人员永远不够用。 在战略与国际研究中心近期开展的一项调查中,82%的IT决策者表示其企业正遭受网络安全人才短缺的困扰,71%的受访者指出这种短缺已给企业造成直接且可量化的损失。 仅在美国,该报告就发现,在这个仅有约94万从业人员的领域,网络安全岗位存在超过52万个空缺。
全球目前约有350万个网络安全岗位处于空缺状态,这意味着即使是那些愿意支付巨额薪资来招聘和留住高级人才的企业,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间比其他岗位长约21%,而这些岗位能否最终填补尚不确定。
开发者激活功能长期被忽视
我们在许多早期博客中都提到过,开发人员可以被纳入进来,以填补网络安全防御体系中的某些关键漏洞。问题在于,开发人员传统上从未接受过网络安全培训。他们的工作表现几乎完全取决于开发速度和交付周期,而安全工作则属于应用安全团队的职责范围。
遗憾的是,这不仅仅是转变思路,要求开发人员突然开始加强应用程序和软件的安全性那么简单。即使他们愿意做出这些改变——调查显示许多人确实如此——仍需接受培训才能实现目标。他们同样需要高层管理者的鼓励与支持,但有意义的学习往往是首要且最大的障碍。
全球数百万高薪且高度安全的IT安全职位至今仍空缺,这绝非偶然。若此类工作简单易行,人人都会投身其中。掌握威胁应对技巧、消除代码漏洞并非易事,而威胁形势更在持续演变。 试图通过静态培训来向技术娴熟的开发人员传授网络安全知识,效率极低——这类培训既难以快速完成,内容又难以令人印象深刻,实际成效微乎其微。尤其当这些培训要求被叠加在开发人员本已超负荷的工作日程上时,效果更是雪上加霜。
搭建脚手架以到达更高处
用传统方法传授网络安全技能,无异于试图在脚不离地的情况下建造摩天大楼。这种做法行不通,因为学生缺乏必要的根基来掌握网络安全这类复杂学科中的众多高阶概念。为弥补这一缺陷,可采用"脚手架学习"的教学理念。
在继续教育中采用框架或“多层次”方法时,通常会将大型主题分解为独立的学习体验或概念单元。这种方式确保学生能够通过适当的练习和指导掌握每个概念,并为每个组成部分提供全面支持。 新颖的高阶概念会叠加在已学概念之上,如同建造高楼时逐层搭建脚手架。这种方式能使学生获得超越自主学习水平的理解深度与技能掌握度。
与实体支架完全相同,这种支撑也会在不再需要时逐步撤除,使学生随着能力不断提升而承担更多责任。
支架式教学主要用于减轻学生在独立解决困难任务时可能经历的挫败感、畏难情绪或消极自我认知。 然而在攻克现代网络安全这类极端复杂的概念时,这种方法同样价值非凡。这绝非将开发者视为孩童对待,而是当开发者与安全团队的互动体验产生相同效果时——尤其当他们的努力成果被漏洞修复和新一轮批评所抵消时——这种方法能带来巨大帮助。
当开发人员获得能够帮助他们理解安全编码基础的工具(通常从OWASP十大安全漏洞开始)时,他们就能亲眼看到安全漏洞如何产生、为何危险以及如何在投入生产前修复它们。 在此基础上,他们可通过处理更复杂的安全漏洞来拓展知识体系,并在实践中积累应用优质修复方案的经验。能力层级将逐步提升,当面对软件架构缺陷或威胁建模等高级安全问题时,这些跨越性挑战便不再令人望而生畏,反而能被精准应对。
作为行业,我们不应指望开发人员成为安全专家,但企业可以制定支持开发人员的新标准,以开发更高质量的软件。对于那些持续提升技术能力的组织而言,额外的好处在于:学习过程中每一步进展或每个阶段的提升,都将直接转化为更强的网络安全能力。 无需等到课程结束才能看到成效。
学习网络安全知识颇具挑战,若缺乏正确的指导与帮助,几乎难以掌握其精髓。引入配备学习支架的安全计划能助您充分挖掘其价值,其效益几乎立竿见影。改进效果将迅速显现,并随时间推移持续提升。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
只需浏览几分钟技术新闻,便会清楚意识到威胁形势正变得何等危险。似乎每天都有关于重大数据泄露、新安全漏洞或网络攻击者与犯罪分子积极利用漏洞的严重威胁的报道。 几乎所有行业指标和报告都显示网络威胁正呈危险增长态势,多数专家预测这一趋势将在未来数年持续蔓延。
面对这些新威胁,IT安全人员组成的前线防线已疲于奔命且人手不足。尽管他们薪资丰厚,对任何企业或组织都几乎不可或缺,但安全人员永远不够用。 在战略与国际研究中心近期开展的一项调查中,82%的IT决策者表示其企业正遭受网络安全人才短缺的困扰,71%的受访者指出这种短缺已给企业造成直接且可量化的损失。 仅在美国,该报告就发现,在这个仅有约94万从业人员的领域,网络安全岗位存在超过52万个空缺。
全球目前约有350万个网络安全岗位处于空缺状态,这意味着即使是那些愿意支付巨额薪资来招聘和留住高级人才的企业,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间比其他岗位长约21%,而这些岗位能否最终填补尚不确定。
开发者激活功能长期被忽视
我们在许多早期博客中都提到过,开发人员可以被纳入进来,以填补网络安全防御体系中的某些关键漏洞。问题在于,开发人员传统上从未接受过网络安全培训。他们的工作表现几乎完全取决于开发速度和交付周期,而安全工作则属于应用安全团队的职责范围。
遗憾的是,这不仅仅是转变思路,要求开发人员突然开始加强应用程序和软件的安全性那么简单。即使他们愿意做出这些改变——调查显示许多人确实如此——仍需接受培训才能实现目标。他们同样需要高层管理者的鼓励与支持,但有意义的学习往往是首要且最大的障碍。
全球数百万高薪且高度安全的IT安全职位至今仍空缺,这绝非偶然。若此类工作简单易行,人人都会投身其中。掌握威胁应对技巧、消除代码漏洞并非易事,而威胁形势更在持续演变。 试图通过静态培训来向技术娴熟的开发人员传授网络安全知识,效率极低——这类培训既难以快速完成,内容又难以令人印象深刻,实际成效微乎其微。尤其当这些培训要求被叠加在开发人员本已超负荷的工作日程上时,效果更是雪上加霜。
搭建脚手架以到达更高处
用传统方法传授网络安全技能,无异于试图在脚不离地的情况下建造摩天大楼。这种做法行不通,因为学生缺乏必要的根基来掌握网络安全这类复杂学科中的众多高阶概念。为弥补这一缺陷,可采用"脚手架学习"的教学理念。
在继续教育中采用框架或“多层次”方法时,通常会将大型主题分解为独立的学习体验或概念单元。这种方式确保学生能够通过适当的练习和指导掌握每个概念,并为每个组成部分提供全面支持。 新颖的高阶概念会叠加在已学概念之上,如同建造高楼时逐层搭建脚手架。这种方式能使学生获得超越自主学习水平的理解深度与技能掌握度。
与实体支架完全相同,这种支撑也会在不再需要时逐步撤除,使学生随着能力不断提升而承担更多责任。
支架式教学主要用于减轻学生在独立解决困难任务时可能经历的挫败感、畏难情绪或消极自我认知。 然而在攻克现代网络安全这类极端复杂的概念时,这种方法同样价值非凡。这绝非将开发者视为孩童对待,而是当开发者与安全团队的互动体验产生相同效果时——尤其当他们的努力成果被漏洞修复和新一轮批评所抵消时——这种方法能带来巨大帮助。
当开发人员获得能够帮助他们理解安全编码基础的工具(通常从OWASP十大安全漏洞开始)时,他们就能亲眼看到安全漏洞如何产生、为何危险以及如何在投入生产前修复它们。 在此基础上,他们可通过处理更复杂的安全漏洞来拓展知识体系,并在实践中积累应用优质修复方案的经验。能力层级将逐步提升,当面对软件架构缺陷或威胁建模等高级安全问题时,这些跨越性挑战便不再令人望而生畏,反而能被精准应对。
作为行业,我们不应指望开发人员成为安全专家,但企业可以制定支持开发人员的新标准,以开发更高质量的软件。对于那些持续提升技术能力的组织而言,额外的好处在于:学习过程中每一步进展或每个阶段的提升,都将直接转化为更强的网络安全能力。 无需等到课程结束才能看到成效。
学习网络安全知识颇具挑战,若缺乏正确的指导与帮助,几乎难以掌握其精髓。引入配备学习支架的安全计划能助您充分挖掘其价值,其效益几乎立竿见影。改进效果将迅速显现,并随时间推移持续提升。
只需浏览几分钟技术新闻,便会清楚意识到威胁形势正变得何等危险。似乎每天都有关于重大数据泄露、新安全漏洞或网络攻击者与犯罪分子积极利用漏洞的严重威胁的报道。 几乎所有行业指标和报告都显示网络威胁正呈危险增长态势,多数专家预测这一趋势将在未来数年持续蔓延。
面对这些新威胁,IT安全人员组成的前线防线已疲于奔命且人手不足。尽管他们薪资丰厚,对任何企业或组织都几乎不可或缺,但安全人员永远不够用。 在战略与国际研究中心近期开展的一项调查中,82%的IT决策者表示其企业正遭受网络安全人才短缺的困扰,71%的受访者指出这种短缺已给企业造成直接且可量化的损失。 仅在美国,该报告就发现,在这个仅有约94万从业人员的领域,网络安全岗位存在超过52万个空缺。
全球目前约有350万个网络安全岗位处于空缺状态,这意味着即使是那些愿意支付巨额薪资来招聘和留住高级人才的企业,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间比其他岗位长约21%,而这些岗位能否最终填补尚不确定。
开发者激活功能长期被忽视
我们在许多早期博客中都提到过,开发人员可以被纳入进来,以填补网络安全防御体系中的某些关键漏洞。问题在于,开发人员传统上从未接受过网络安全培训。他们的工作表现几乎完全取决于开发速度和交付周期,而安全工作则属于应用安全团队的职责范围。
遗憾的是,这不仅仅是转变思路,要求开发人员突然开始加强应用程序和软件的安全性那么简单。即使他们愿意做出这些改变——调查显示许多人确实如此——仍需接受培训才能实现目标。他们同样需要高层管理者的鼓励与支持,但有意义的学习往往是首要且最大的障碍。
全球数百万高薪且高度安全的IT安全职位至今仍空缺,这绝非偶然。若此类工作简单易行,人人都会投身其中。掌握威胁应对技巧、消除代码漏洞并非易事,而威胁形势更在持续演变。 试图通过静态培训来向技术娴熟的开发人员传授网络安全知识,效率极低——这类培训既难以快速完成,内容又难以令人印象深刻,实际成效微乎其微。尤其当这些培训要求被叠加在开发人员本已超负荷的工作日程上时,效果更是雪上加霜。
搭建脚手架以到达更高处
用传统方法传授网络安全技能,无异于试图在脚不离地的情况下建造摩天大楼。这种做法行不通,因为学生缺乏必要的根基来掌握网络安全这类复杂学科中的众多高阶概念。为弥补这一缺陷,可采用"脚手架学习"的教学理念。
在继续教育中采用框架或“多层次”方法时,通常会将大型主题分解为独立的学习体验或概念单元。这种方式确保学生能够通过适当的练习和指导掌握每个概念,并为每个组成部分提供全面支持。 新颖的高阶概念会叠加在已学概念之上,如同建造高楼时逐层搭建脚手架。这种方式能使学生获得超越自主学习水平的理解深度与技能掌握度。
与实体支架完全相同,这种支撑也会在不再需要时逐步撤除,使学生随着能力不断提升而承担更多责任。
支架式教学主要用于减轻学生在独立解决困难任务时可能经历的挫败感、畏难情绪或消极自我认知。 然而在攻克现代网络安全这类极端复杂的概念时,这种方法同样价值非凡。这绝非将开发者视为孩童对待,而是当开发者与安全团队的互动体验产生相同效果时——尤其当他们的努力成果被漏洞修复和新一轮批评所抵消时——这种方法能带来巨大帮助。
当开发人员获得能够帮助他们理解安全编码基础的工具(通常从OWASP十大安全漏洞开始)时,他们就能亲眼看到安全漏洞如何产生、为何危险以及如何在投入生产前修复它们。 在此基础上,他们可通过处理更复杂的安全漏洞来拓展知识体系,并在实践中积累应用优质修复方案的经验。能力层级将逐步提升,当面对软件架构缺陷或威胁建模等高级安全问题时,这些跨越性挑战便不再令人望而生畏,反而能被精准应对。
作为行业,我们不应指望开发人员成为安全专家,但企业可以制定支持开发人员的新标准,以开发更高质量的软件。对于那些持续提升技术能力的组织而言,额外的好处在于:学习过程中每一步进展或每个阶段的提升,都将直接转化为更强的网络安全能力。 无需等到课程结束才能看到成效。
学习网络安全知识颇具挑战,若缺乏正确的指导与帮助,几乎难以掌握其精髓。引入配备学习支架的安全计划能助您充分挖掘其价值,其效益几乎立竿见影。改进效果将迅速显现,并随时间推移持续提升。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
只需浏览几分钟技术新闻,便会清楚意识到威胁形势正变得何等危险。似乎每天都有关于重大数据泄露、新安全漏洞或网络攻击者与犯罪分子积极利用漏洞的严重威胁的报道。 几乎所有行业指标和报告都显示网络威胁正呈危险增长态势,多数专家预测这一趋势将在未来数年持续蔓延。
面对这些新威胁,IT安全人员组成的前线防线已疲于奔命且人手不足。尽管他们薪资丰厚,对任何企业或组织都几乎不可或缺,但安全人员永远不够用。 在战略与国际研究中心近期开展的一项调查中,82%的IT决策者表示其企业正遭受网络安全人才短缺的困扰,71%的受访者指出这种短缺已给企业造成直接且可量化的损失。 仅在美国,该报告就发现,在这个仅有约94万从业人员的领域,网络安全岗位存在超过52万个空缺。
全球目前约有350万个网络安全岗位处于空缺状态,这意味着即使是那些愿意支付巨额薪资来招聘和留住高级人才的企业,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间比其他岗位长约21%,而这些岗位能否最终填补尚不确定。
开发者激活功能长期被忽视
我们在许多早期博客中都提到过,开发人员可以被纳入进来,以填补网络安全防御体系中的某些关键漏洞。问题在于,开发人员传统上从未接受过网络安全培训。他们的工作表现几乎完全取决于开发速度和交付周期,而安全工作则属于应用安全团队的职责范围。
遗憾的是,这不仅仅是转变思路,要求开发人员突然开始加强应用程序和软件的安全性那么简单。即使他们愿意做出这些改变——调查显示许多人确实如此——仍需接受培训才能实现目标。他们同样需要高层管理者的鼓励与支持,但有意义的学习往往是首要且最大的障碍。
全球数百万高薪且高度安全的IT安全职位至今仍空缺,这绝非偶然。若此类工作简单易行,人人都会投身其中。掌握威胁应对技巧、消除代码漏洞并非易事,而威胁形势更在持续演变。 试图通过静态培训来向技术娴熟的开发人员传授网络安全知识,效率极低——这类培训既难以快速完成,内容又难以令人印象深刻,实际成效微乎其微。尤其当这些培训要求被叠加在开发人员本已超负荷的工作日程上时,效果更是雪上加霜。
搭建脚手架以到达更高处
用传统方法传授网络安全技能,无异于试图在脚不离地的情况下建造摩天大楼。这种做法行不通,因为学生缺乏必要的根基来掌握网络安全这类复杂学科中的众多高阶概念。为弥补这一缺陷,可采用"脚手架学习"的教学理念。
在继续教育中采用框架或“多层次”方法时,通常会将大型主题分解为独立的学习体验或概念单元。这种方式确保学生能够通过适当的练习和指导掌握每个概念,并为每个组成部分提供全面支持。 新颖的高阶概念会叠加在已学概念之上,如同建造高楼时逐层搭建脚手架。这种方式能使学生获得超越自主学习水平的理解深度与技能掌握度。
与实体支架完全相同,这种支撑也会在不再需要时逐步撤除,使学生随着能力不断提升而承担更多责任。
支架式教学主要用于减轻学生在独立解决困难任务时可能经历的挫败感、畏难情绪或消极自我认知。 然而在攻克现代网络安全这类极端复杂的概念时,这种方法同样价值非凡。这绝非将开发者视为孩童对待,而是当开发者与安全团队的互动体验产生相同效果时——尤其当他们的努力成果被漏洞修复和新一轮批评所抵消时——这种方法能带来巨大帮助。
当开发人员获得能够帮助他们理解安全编码基础的工具(通常从OWASP十大安全漏洞开始)时,他们就能亲眼看到安全漏洞如何产生、为何危险以及如何在投入生产前修复它们。 在此基础上,他们可通过处理更复杂的安全漏洞来拓展知识体系,并在实践中积累应用优质修复方案的经验。能力层级将逐步提升,当面对软件架构缺陷或威胁建模等高级安全问题时,这些跨越性挑战便不再令人望而生畏,反而能被精准应对。
作为行业,我们不应指望开发人员成为安全专家,但企业可以制定支持开发人员的新标准,以开发更高质量的软件。对于那些持续提升技术能力的组织而言,额外的好处在于:学习过程中每一步进展或每个阶段的提升,都将直接转化为更强的网络安全能力。 无需等到课程结束才能看到成效。
学习网络安全知识颇具挑战,若缺乏正确的指导与帮助,几乎难以掌握其精髓。引入配备学习支架的安全计划能助您充分挖掘其价值,其效益几乎立竿见影。改进效果将迅速显现,并随时间推移持续提升。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
