SCW图标
感谢下载!
更多资源
英雄背景无分隔线
博客

¿Ha sobreestimado la madurez de seguridad de su organización?

马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日
最后更新于 2026年3月6日
应用安全
安全编码
播放视频按钮。
播放视频按钮。

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

Progresión lunar sobre fondo negro.
Progresión lunar sobre fondo negro.
查看资源
查看资源

Con una escasez persistente de habilidades que contrasta con la avalancha de código que se escribe para satisfacer las necesidades de software del mundo, muchas empresas se están quedando atrás en su estrategia de ciberseguridad y en la infraestructura existente. Es hora de que analicemos honestamente nuestra madurez general en materia de ciberseguridad y evaluemos las ventajas rápidas y viables que tenemos ante nosotros.

感兴趣了解更多吗?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

了解更多

Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。

预约演示
分享到:
领英品牌社交x 标志
作者
马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到:
领英品牌社交x 标志
Progresión lunar sobre fondo negro.
Progresión lunar sobre fondo negro.
播放视频按钮。
播放视频按钮。

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

查看资源
查看资源

请填写以下表格以下载报告

我们希望获得您的许可,以便向您发送有关我们产品或安全编码相关主题的信息。我们将始终以最高标准谨慎处理您的个人数据,绝不会出于营销目的将其出售给其他公司。

发送
scw 成功图标
SCW 错误图标
要提交表单,请启用「分析」cookie。完成后请随时将其重新禁用。
Progresión lunar sobre fondo negro.
播放视频按钮。
播放视频按钮。

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

观看网络研讨会
开始
了解更多

点击下方链接,下载此资源的PDF文件。

Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。

查看报告预约演示
下载PDF
查看资源
分享到:
领英品牌社交x 标志
感兴趣了解更多吗?

分享到:
领英品牌社交x 标志
作者
马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到:
领英品牌社交x 标志

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

目录

下载PDF
查看资源
感兴趣了解更多吗?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

了解更多

Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。

预约演示下载
分享到:
领英品牌社交x 标志
资源中心

入门资源

更多出版物
宣传册

安全编码培训主题与内容

我们行业领先的内容始终在不断演进,以适应软件开发领域不断变化的格局,同时兼顾不同岗位需求。内容主题涵盖人工智能到XQuery注入技术,面向架构师、工程师、产品经理及质量保证等各类岗位。立即预览我们按主题和职能分类的内容目录。

了解更多
2026年3月11日
安全编码培训主题与内容
手册
客户案例

荷兰商会为大规模开发者驱动的安全性树立标杆

荷兰商会分享了如何通过基于角色的认证体系、信任评分基准以及共同承担安全责任的文化,将安全编码融入日常开发实践。

2026年1月6日
电子书

电子书《OWASP 2025年十大安全风险》

想攻克OWASP十大漏洞吗?立即下载这份直击要害的指南,助您防御OWASP 2025十大漏洞:

2025年12月23日
网络研讨会

利用人工智能进行威胁建模:让每个开发人员都成为威胁建模者

离开时,您将能够更好地帮助开发人员将威胁建模理念和技术与他们已经在使用的人工智能工具相结合,从一开始就加强安全性、改善协作并构建更具弹性的软件。

2025 年 10 月 28 日
资源中心

入门资源

更多出版物

赛博兽回归:Beat the Boss的AI任务现已开放点播

Cybermon 2025 击败老板挑战现已在SCW全年开放。通过部署基于人工智能和大型语言模型的先进安全挑战,强化大规模人工智能的安全开发。

了解更多
2026年3月5日
博客
博客

《网络弹性法》解读:对安全设计软件开发意味着什么

了解欧盟《网络弹性法》(CRA) 的具体要求、适用对象,以及工程团队如何通过安全设计实践、漏洞预防和开发者能力建设来做好准备。

2026年2月24日
博客

促进者1:明确定义且可衡量的成功标准

启航者1拉开了我们十集系列《成功启航者》的序幕,展示如何将安全编码与企业成果(如降低风险和提升速度)相联系,从而实现长期项目成熟度。

2026年2月19日
博客

SCW迎来11周年:一场关于适应性与持续改进的实时实践课

2025年对人工智能、网络安全和SCW而言都是硕果累累的一年。我怀着沉稳的信心迈向2026年,这份乐观唯有通过勤奋且富有成效的工作方能获得。

2026年1月27日