为何我们绝不能忽视网络安全中的人为因素
近日,我们欣喜地看到首席执行官皮特·丹休(Pieter Danhieux)在《福布斯》技术委员会的首次亮相。该刊物详细阐述了提升开发者技能以编写更安全代码的重要性——这正是防范网络攻击和数据泄露的关键所在。 不仅如此,文章还揭示了这些注重安全的开发者如何以远超多数IT部门预期的速度,交付更优质、更安全的代码。这种方法的必要性毋庸置疑。 最新研究显示,当前每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对Colonial Pipeline造成的破坏——尽管从更宏观层面看,其破坏性远不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为没有人愿意向开发者展示如何用更安全可靠的方式替代低效的编码模式,以实现相同功能。 此外,在软件开发后期阶段修复漏洞的代价极其高昂——无论是投入的时间成本还是实施延迟都令人望而却步。尤其当攻击者利用未被发现的漏洞发起攻击后,对已部署代码的修复有时可能耗资数百万美元。而这还不包括重大数据泄露事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。毫无疑问,首席信息安全官(CISO)短期内不应放弃安全工具,但若能自上而下推行包容性与预防性的安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就保护代码安全方面。
为此,以下是需要考虑的三个主要高层次策略。
1. 主动出击,而非被动应对
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并追求独特的愿景。 许多企业在处理代码安全漏洞时也默认采取这种被动策略,只有在遭遇成功入侵后才会被迫重视网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复等损失都将体现在最终的财务报表中。 另一种被动应对方式是依赖自动或手动代码扫描来发现现有代码漏洞,而非专注于从源头构建安全代码。遗憾的是,代码扫描并非万能解药——代码漏洞越多,遗漏风险就越大。
唯有采取主动策略,并与开发人员通力合作,帮助他们从一开始就编写安全的代码,才能建立一个能够显著降低用户遭遇编码漏洞风险的软件开发生命周期。
2. 提升你的技能,别太夸张
一旦决定为开发人员提供创建安全代码所需的知识,请谨慎选择方法。那些终结编程的内部培训课程,既让开发人员感到沮丧,也让管理人员头疼。 要求在夜间或周末参加的线下课程则更不受欢迎。最佳方案是循序渐进地培养编码技能,在编码过程中逐步提供相关知识——本质上是在不显著分散开发者精力、不延缓开发进程的前提下提升技能。
3.激励,而非承担
开发人员不应将提升安全技能视为惩罚或纯粹负担。管理者应通过阐明安全代码对企业成功的重要作用来激励开发人员。同时需传达这样的理念:具备安全意识的程序员对企业更具价值,未来将获得更多职业发展机遇。
拜登政府受到欢迎 行政命令 已加强网络安全关注度,并强调需"纳入评估开发者与供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 然而,工具虽不可或缺,却非万全之策。任何工具都无法彻底消除人为因素——人们可能忽视、误解、滥用或以某种方式规避已建立的系统和工具。为最大限度保障企业安全,首席信息安全官(CISO)必须善用人力因素,激励开发者成为积极主动的安全倡导者与专业人士。
近日,我们欣喜地看到公司总裁兼首席执行官皮埃尔·丹休(Pieter Danhieux)在《福布斯》技术委员会的首次发声。该文章详细阐述了如何提升开发人员技能以编写更安全的代码,这对于防范网络攻击和数据泄露至关重要。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
近日,我们欣喜地看到首席执行官皮特·丹休(Pieter Danhieux)在《福布斯》技术委员会的首次亮相。该刊物详细阐述了提升开发者技能以编写更安全代码的重要性——这正是防范网络攻击和数据泄露的关键所在。 不仅如此,文章还揭示了这些注重安全的开发者如何以远超多数IT部门预期的速度,交付更优质、更安全的代码。这种方法的必要性毋庸置疑。 最新研究显示,当前每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对Colonial Pipeline造成的破坏——尽管从更宏观层面看,其破坏性远不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为没有人愿意向开发者展示如何用更安全可靠的方式替代低效的编码模式,以实现相同功能。 此外,在软件开发后期阶段修复漏洞的代价极其高昂——无论是投入的时间成本还是实施延迟都令人望而却步。尤其当攻击者利用未被发现的漏洞发起攻击后,对已部署代码的修复有时可能耗资数百万美元。而这还不包括重大数据泄露事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。毫无疑问,首席信息安全官(CISO)短期内不应放弃安全工具,但若能自上而下推行包容性与预防性的安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就保护代码安全方面。
为此,以下是需要考虑的三个主要高层次策略。
1. 主动出击,而非被动应对
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并追求独特的愿景。 许多企业在处理代码安全漏洞时也默认采取这种被动策略,只有在遭遇成功入侵后才会被迫重视网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复等损失都将体现在最终的财务报表中。 另一种被动应对方式是依赖自动或手动代码扫描来发现现有代码漏洞,而非专注于从源头构建安全代码。遗憾的是,代码扫描并非万能解药——代码漏洞越多,遗漏风险就越大。
唯有采取主动策略,并与开发人员通力合作,帮助他们从一开始就编写安全的代码,才能建立一个能够显著降低用户遭遇编码漏洞风险的软件开发生命周期。
2. 提升你的技能,别太夸张
一旦决定为开发人员提供创建安全代码所需的知识,请谨慎选择方法。那些终结编程的内部培训课程,既让开发人员感到沮丧,也让管理人员头疼。 要求在夜间或周末参加的线下课程则更不受欢迎。最佳方案是循序渐进地培养编码技能,在编码过程中逐步提供相关知识——本质上是在不显著分散开发者精力、不延缓开发进程的前提下提升技能。
3.激励,而非承担
开发人员不应将提升安全技能视为惩罚或纯粹负担。管理者应通过阐明安全代码对企业成功的重要作用来激励开发人员。同时需传达这样的理念:具备安全意识的程序员对企业更具价值,未来将获得更多职业发展机遇。
拜登政府受到欢迎 行政命令 已加强网络安全关注度,并强调需"纳入评估开发者与供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 然而,工具虽不可或缺,却非万全之策。任何工具都无法彻底消除人为因素——人们可能忽视、误解、滥用或以某种方式规避已建立的系统和工具。为最大限度保障企业安全,首席信息安全官(CISO)必须善用人力因素,激励开发者成为积极主动的安全倡导者与专业人士。
近日,我们欣喜地看到首席执行官皮特·丹休(Pieter Danhieux)在《福布斯》技术委员会的首次亮相。该刊物详细阐述了提升开发者技能以编写更安全代码的重要性——这正是防范网络攻击和数据泄露的关键所在。 不仅如此,文章还揭示了这些注重安全的开发者如何以远超多数IT部门预期的速度,交付更优质、更安全的代码。这种方法的必要性毋庸置疑。 最新研究显示,当前每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对Colonial Pipeline造成的破坏——尽管从更宏观层面看,其破坏性远不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为没有人愿意向开发者展示如何用更安全可靠的方式替代低效的编码模式,以实现相同功能。 此外,在软件开发后期阶段修复漏洞的代价极其高昂——无论是投入的时间成本还是实施延迟都令人望而却步。尤其当攻击者利用未被发现的漏洞发起攻击后,对已部署代码的修复有时可能耗资数百万美元。而这还不包括重大数据泄露事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。毫无疑问,首席信息安全官(CISO)短期内不应放弃安全工具,但若能自上而下推行包容性与预防性的安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就保护代码安全方面。
为此,以下是需要考虑的三个主要高层次策略。
1. 主动出击,而非被动应对
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并追求独特的愿景。 许多企业在处理代码安全漏洞时也默认采取这种被动策略,只有在遭遇成功入侵后才会被迫重视网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复等损失都将体现在最终的财务报表中。 另一种被动应对方式是依赖自动或手动代码扫描来发现现有代码漏洞,而非专注于从源头构建安全代码。遗憾的是,代码扫描并非万能解药——代码漏洞越多,遗漏风险就越大。
唯有采取主动策略,并与开发人员通力合作,帮助他们从一开始就编写安全的代码,才能建立一个能够显著降低用户遭遇编码漏洞风险的软件开发生命周期。
2. 提升你的技能,别太夸张
一旦决定为开发人员提供创建安全代码所需的知识,请谨慎选择方法。那些终结编程的内部培训课程,既让开发人员感到沮丧,也让管理人员头疼。 要求在夜间或周末参加的线下课程则更不受欢迎。最佳方案是循序渐进地培养编码技能,在编码过程中逐步提供相关知识——本质上是在不显著分散开发者精力、不延缓开发进程的前提下提升技能。
3.激励,而非承担
开发人员不应将提升安全技能视为惩罚或纯粹负担。管理者应通过阐明安全代码对企业成功的重要作用来激励开发人员。同时需传达这样的理念:具备安全意识的程序员对企业更具价值,未来将获得更多职业发展机遇。
拜登政府受到欢迎 行政命令 已加强网络安全关注度,并强调需"纳入评估开发者与供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 然而,工具虽不可或缺,却非万全之策。任何工具都无法彻底消除人为因素——人们可能忽视、误解、滥用或以某种方式规避已建立的系统和工具。为最大限度保障企业安全,首席信息安全官(CISO)必须善用人力因素,激励开发者成为积极主动的安全倡导者与专业人士。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
近日,我们欣喜地看到首席执行官皮特·丹休(Pieter Danhieux)在《福布斯》技术委员会的首次亮相。该刊物详细阐述了提升开发者技能以编写更安全代码的重要性——这正是防范网络攻击和数据泄露的关键所在。 不仅如此,文章还揭示了这些注重安全的开发者如何以远超多数IT部门预期的速度,交付更优质、更安全的代码。这种方法的必要性毋庸置疑。 最新研究显示,当前每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对Colonial Pipeline造成的破坏——尽管从更宏观层面看,其破坏性远不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为没有人愿意向开发者展示如何用更安全可靠的方式替代低效的编码模式,以实现相同功能。 此外,在软件开发后期阶段修复漏洞的代价极其高昂——无论是投入的时间成本还是实施延迟都令人望而却步。尤其当攻击者利用未被发现的漏洞发起攻击后,对已部署代码的修复有时可能耗资数百万美元。而这还不包括重大数据泄露事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。毫无疑问,首席信息安全官(CISO)短期内不应放弃安全工具,但若能自上而下推行包容性与预防性的安全策略,便能充分利用企业最宝贵的资源——人力因素,尤其在软件开发生命周期初期就保护代码安全方面。
为此,以下是需要考虑的三个主要高层次策略。
1. 主动出击,而非被动应对
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并追求独特的愿景。 许多企业在处理代码安全漏洞时也默认采取这种被动策略,只有在遭遇成功入侵后才会被迫重视网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复等损失都将体现在最终的财务报表中。 另一种被动应对方式是依赖自动或手动代码扫描来发现现有代码漏洞,而非专注于从源头构建安全代码。遗憾的是,代码扫描并非万能解药——代码漏洞越多,遗漏风险就越大。
唯有采取主动策略,并与开发人员通力合作,帮助他们从一开始就编写安全的代码,才能建立一个能够显著降低用户遭遇编码漏洞风险的软件开发生命周期。
2. 提升你的技能,别太夸张
一旦决定为开发人员提供创建安全代码所需的知识,请谨慎选择方法。那些终结编程的内部培训课程,既让开发人员感到沮丧,也让管理人员头疼。 要求在夜间或周末参加的线下课程则更不受欢迎。最佳方案是循序渐进地培养编码技能,在编码过程中逐步提供相关知识——本质上是在不显著分散开发者精力、不延缓开发进程的前提下提升技能。
3.激励,而非承担
开发人员不应将提升安全技能视为惩罚或纯粹负担。管理者应通过阐明安全代码对企业成功的重要作用来激励开发人员。同时需传达这样的理念:具备安全意识的程序员对企业更具价值,未来将获得更多职业发展机遇。
拜登政府受到欢迎 行政命令 已加强网络安全关注度,并强调需"纳入评估开发者与供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 然而,工具虽不可或缺,却非万全之策。任何工具都无法彻底消除人为因素——人们可能忽视、误解、滥用或以某种方式规避已建立的系统和工具。为最大限度保障企业安全,首席信息安全官(CISO)必须善用人力因素,激励开发者成为积极主动的安全倡导者与专业人士。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
