为何在网络安全领域我们绝不能忽视人为因素
我们最近非常高兴地看到,由董事长兼首席执行官皮埃尔·丹休撰写的《福布斯》技术委员会首篇专栏文章正式发布。 该文章详细阐述了提升开发人员编写安全代码的能力,是防范网络攻击和数据泄露的关键所在。同时揭示了具备安全意识的开发者如何助力企业更快交付更优质、更安全的代码——其效率之高远超多数IT部门的认知。这种方法的必要性不言而喻。 近期研究显示,如今每39秒就发生一次网络攻击。我们目睹了单次勒索软件攻击对科洛尼尔管道公司造成的破坏——尽管其破坏程度远不及SolarWinds黑客事件,但足以说明问题。
许多常见的安全漏洞依然存在,因为没有人愿意花时间向开发者展示如何用更优的方法替代不良编码模式——这些方法能以更安全的方式实现相同功能。而在软件开发后期修复漏洞的代价极其高昂,无论是耗费的工时还是部署延迟都令人望而却步。 在代码部署后进行修复——尤其当攻击者利用了先前未被发现的安全漏洞时——有时可能耗费数百万美元。而这甚至尚未计入企业因严重安全事件遭受的声誉损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官固然不应轻易放弃安全工具,但若能自上而下推行包容性预防安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就践行安全编码时。
为此,以下列出了您应考虑的三项最重要策略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如对竞争对手的行动做出反应,而非制定并践行独特的愿景。许多企业在处理代码安全漏洞时也采取这种策略,只有在遭受成功入侵后才会重视网络安全。遗憾的是,届时损害已然造成。 罚款、恢复成本、客户流失和品牌重建都将对企业业绩造成负面影响。另一种被动应对的表现是依赖自动或手动代码扫描来查找现有代码中的漏洞,而非专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案。 这意味着代码中漏洞越多,漏检风险就越高。
唯有采取主动策略,与开发人员通力合作,从项目初期就协助他们编写安全代码,才能建立起一套软件开发流程,大幅降低代码漏洞暴露给用户的风险。
2. 提升资质,切勿过度
一旦您决定向开发人员提供编写安全代码所需的知识,请谨慎选择教学方式。那些导致编程工作停滞的内部培训研讨会,只会让开发人员和管理者都感到沮丧。 而需要在晚上或周末参加的异地课程则更不受欢迎。最佳方案是循序渐进地提升编程技能——在编码过程中逐步提供相关知识,本质上是在不显著分散开发者注意力或减缓开发进程的前提下实现技能提升。
3.创造激励,而非预设激励
开发人员不应将安全改进视为惩罚或纯粹的苦差事。管理者必须通过向开发人员传达安全代码对企业成功的重要作用来激发他们的热情。同时,还需强调安全程序员对企业更具价值,未来将获得更广阔的职业发展空间。
拜登政府受到欢迎 行政命令 已将重点转向网络安全,并强调有必要"纳入评估开发者和供应商自身安全实践的标准,并识别创新工具或方法以验证安全实践的合规性"。 工具虽不可或缺,却非万全之策。任何工具都无法完全杜绝人员以各种方式忽视、误解、滥用或规避已部署系统与工具的可能性。为最大化企业安全水平,首席信息安全官必须善用人因因素,激励开发者成为安全领域的积极倡导者与实践者。
我们近期欣喜地看到,董事长兼首席执行官皮埃尔·丹休(Pieter Danhieux)的首篇专栏文章已在《福布斯》科技委员会平台发布。文中详细阐述了通过持续培训开发人员编写更安全的代码,如何成为防范网络攻击和数据泄露的关键所在。
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
我们最近非常高兴地看到,由董事长兼首席执行官皮埃尔·丹休撰写的《福布斯》技术委员会首篇专栏文章正式发布。 该文章详细阐述了提升开发人员编写安全代码的能力,是防范网络攻击和数据泄露的关键所在。同时揭示了具备安全意识的开发者如何助力企业更快交付更优质、更安全的代码——其效率之高远超多数IT部门的认知。这种方法的必要性不言而喻。 近期研究显示,如今每39秒就发生一次网络攻击。我们目睹了单次勒索软件攻击对科洛尼尔管道公司造成的破坏——尽管其破坏程度远不及SolarWinds黑客事件,但足以说明问题。
许多常见的安全漏洞依然存在,因为没有人愿意花时间向开发者展示如何用更优的方法替代不良编码模式——这些方法能以更安全的方式实现相同功能。而在软件开发后期修复漏洞的代价极其高昂,无论是耗费的工时还是部署延迟都令人望而却步。 在代码部署后进行修复——尤其当攻击者利用了先前未被发现的安全漏洞时——有时可能耗费数百万美元。而这甚至尚未计入企业因严重安全事件遭受的声誉损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官固然不应轻易放弃安全工具,但若能自上而下推行包容性预防安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就践行安全编码时。
为此,以下列出了您应考虑的三项最重要策略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如对竞争对手的行动做出反应,而非制定并践行独特的愿景。许多企业在处理代码安全漏洞时也采取这种策略,只有在遭受成功入侵后才会重视网络安全。遗憾的是,届时损害已然造成。 罚款、恢复成本、客户流失和品牌重建都将对企业业绩造成负面影响。另一种被动应对的表现是依赖自动或手动代码扫描来查找现有代码中的漏洞,而非专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案。 这意味着代码中漏洞越多,漏检风险就越高。
唯有采取主动策略,与开发人员通力合作,从项目初期就协助他们编写安全代码,才能建立起一套软件开发流程,大幅降低代码漏洞暴露给用户的风险。
2. 提升资质,切勿过度
一旦您决定向开发人员提供编写安全代码所需的知识,请谨慎选择教学方式。那些导致编程工作停滞的内部培训研讨会,只会让开发人员和管理者都感到沮丧。 而需要在晚上或周末参加的异地课程则更不受欢迎。最佳方案是循序渐进地提升编程技能——在编码过程中逐步提供相关知识,本质上是在不显著分散开发者注意力或减缓开发进程的前提下实现技能提升。
3.创造激励,而非预设激励
开发人员不应将安全改进视为惩罚或纯粹的苦差事。管理者必须通过向开发人员传达安全代码对企业成功的重要作用来激发他们的热情。同时,还需强调安全程序员对企业更具价值,未来将获得更广阔的职业发展空间。
拜登政府受到欢迎 行政命令 已将重点转向网络安全,并强调有必要"纳入评估开发者和供应商自身安全实践的标准,并识别创新工具或方法以验证安全实践的合规性"。 工具虽不可或缺,却非万全之策。任何工具都无法完全杜绝人员以各种方式忽视、误解、滥用或规避已部署系统与工具的可能性。为最大化企业安全水平,首席信息安全官必须善用人因因素,激励开发者成为安全领域的积极倡导者与实践者。
我们最近非常高兴地看到,由董事长兼首席执行官皮埃尔·丹休撰写的《福布斯》技术委员会首篇专栏文章正式发布。 该文章详细阐述了提升开发人员编写安全代码的能力,是防范网络攻击和数据泄露的关键所在。同时揭示了具备安全意识的开发者如何助力企业更快交付更优质、更安全的代码——其效率之高远超多数IT部门的认知。这种方法的必要性不言而喻。 近期研究显示,如今每39秒就发生一次网络攻击。我们目睹了单次勒索软件攻击对科洛尼尔管道公司造成的破坏——尽管其破坏程度远不及SolarWinds黑客事件,但足以说明问题。
许多常见的安全漏洞依然存在,因为没有人愿意花时间向开发者展示如何用更优的方法替代不良编码模式——这些方法能以更安全的方式实现相同功能。而在软件开发后期修复漏洞的代价极其高昂,无论是耗费的工时还是部署延迟都令人望而却步。 在代码部署后进行修复——尤其当攻击者利用了先前未被发现的安全漏洞时——有时可能耗费数百万美元。而这甚至尚未计入企业因严重安全事件遭受的声誉损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官固然不应轻易放弃安全工具,但若能自上而下推行包容性预防安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就践行安全编码时。
为此,以下列出了您应考虑的三项最重要策略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如对竞争对手的行动做出反应,而非制定并践行独特的愿景。许多企业在处理代码安全漏洞时也采取这种策略,只有在遭受成功入侵后才会重视网络安全。遗憾的是,届时损害已然造成。 罚款、恢复成本、客户流失和品牌重建都将对企业业绩造成负面影响。另一种被动应对的表现是依赖自动或手动代码扫描来查找现有代码中的漏洞,而非专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案。 这意味着代码中漏洞越多,漏检风险就越高。
唯有采取主动策略,与开发人员通力合作,从项目初期就协助他们编写安全代码,才能建立起一套软件开发流程,大幅降低代码漏洞暴露给用户的风险。
2. 提升资质,切勿过度
一旦您决定向开发人员提供编写安全代码所需的知识,请谨慎选择教学方式。那些导致编程工作停滞的内部培训研讨会,只会让开发人员和管理者都感到沮丧。 而需要在晚上或周末参加的异地课程则更不受欢迎。最佳方案是循序渐进地提升编程技能——在编码过程中逐步提供相关知识,本质上是在不显著分散开发者注意力或减缓开发进程的前提下实现技能提升。
3.创造激励,而非预设激励
开发人员不应将安全改进视为惩罚或纯粹的苦差事。管理者必须通过向开发人员传达安全代码对企业成功的重要作用来激发他们的热情。同时,还需强调安全程序员对企业更具价值,未来将获得更广阔的职业发展空间。
拜登政府受到欢迎 行政命令 已将重点转向网络安全,并强调有必要"纳入评估开发者和供应商自身安全实践的标准,并识别创新工具或方法以验证安全实践的合规性"。 工具虽不可或缺,却非万全之策。任何工具都无法完全杜绝人员以各种方式忽视、误解、滥用或规避已部署系统与工具的可能性。为最大化企业安全水平,首席信息安全官必须善用人因因素,激励开发者成为安全领域的积极倡导者与实践者。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
我们最近非常高兴地看到,由董事长兼首席执行官皮埃尔·丹休撰写的《福布斯》技术委员会首篇专栏文章正式发布。 该文章详细阐述了提升开发人员编写安全代码的能力,是防范网络攻击和数据泄露的关键所在。同时揭示了具备安全意识的开发者如何助力企业更快交付更优质、更安全的代码——其效率之高远超多数IT部门的认知。这种方法的必要性不言而喻。 近期研究显示,如今每39秒就发生一次网络攻击。我们目睹了单次勒索软件攻击对科洛尼尔管道公司造成的破坏——尽管其破坏程度远不及SolarWinds黑客事件,但足以说明问题。
许多常见的安全漏洞依然存在,因为没有人愿意花时间向开发者展示如何用更优的方法替代不良编码模式——这些方法能以更安全的方式实现相同功能。而在软件开发后期修复漏洞的代价极其高昂,无论是耗费的工时还是部署延迟都令人望而却步。 在代码部署后进行修复——尤其当攻击者利用了先前未被发现的安全漏洞时——有时可能耗费数百万美元。而这甚至尚未计入企业因严重安全事件遭受的声誉损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官固然不应轻易放弃安全工具,但若能自上而下推行包容性预防安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就践行安全编码时。
为此,以下列出了您应考虑的三项最重要策略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如对竞争对手的行动做出反应,而非制定并践行独特的愿景。许多企业在处理代码安全漏洞时也采取这种策略,只有在遭受成功入侵后才会重视网络安全。遗憾的是,届时损害已然造成。 罚款、恢复成本、客户流失和品牌重建都将对企业业绩造成负面影响。另一种被动应对的表现是依赖自动或手动代码扫描来查找现有代码中的漏洞,而非专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案。 这意味着代码中漏洞越多,漏检风险就越高。
唯有采取主动策略,与开发人员通力合作,从项目初期就协助他们编写安全代码,才能建立起一套软件开发流程,大幅降低代码漏洞暴露给用户的风险。
2. 提升资质,切勿过度
一旦您决定向开发人员提供编写安全代码所需的知识,请谨慎选择教学方式。那些导致编程工作停滞的内部培训研讨会,只会让开发人员和管理者都感到沮丧。 而需要在晚上或周末参加的异地课程则更不受欢迎。最佳方案是循序渐进地提升编程技能——在编码过程中逐步提供相关知识,本质上是在不显著分散开发者注意力或减缓开发进程的前提下实现技能提升。
3.创造激励,而非预设激励
开发人员不应将安全改进视为惩罚或纯粹的苦差事。管理者必须通过向开发人员传达安全代码对企业成功的重要作用来激发他们的热情。同时,还需强调安全程序员对企业更具价值,未来将获得更广阔的职业发展空间。
拜登政府受到欢迎 行政命令 已将重点转向网络安全,并强调有必要"纳入评估开发者和供应商自身安全实践的标准,并识别创新工具或方法以验证安全实践的合规性"。 工具虽不可或缺,却非万全之策。任何工具都无法完全杜绝人员以各种方式忽视、误解、滥用或规避已部署系统与工具的可能性。为最大化企业安全水平,首席信息安全官必须善用人因因素,激励开发者成为安全领域的积极倡导者与实践者。
目录
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
