为何在网络安全领域绝不能忽视人为因素
我们非常高兴地看到,由首席执行官Pieter Danhieux撰写的福布斯科技委员会首篇专栏文章近日上线。 该文章阐述了提升开发人员能力以编写更安全代码对防范网络攻击和数据泄露至关重要。同时揭示了注重安全的开发人员如何能比许多IT部门预期的更快地交付更高质量、更安全的代码。这种方法的必要性无疑是迫在眉睫的。 最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对科洛尼尔输油管道造成的破坏——尽管其整体破坏力远不及SolarWinds黑客事件。
许多常见漏洞之所以长期存在,是因为从未有人费心向开发者展示如何用更安全可靠的方式,用更优的执行方法替代不良编码模式。而在软件开发后期阶段修复漏洞的代价极其高昂,既耗费大量工时,又导致部署延迟。 尤其当攻击者利用未被发现的漏洞时,在代码部署后进行修复有时可能耗费数百万美元。而这甚至未计入重大安全事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官(CISO)当然不应轻易放弃现有安全工具,但通过自上而下推行包容性与预防性安全策略,CISO能够充分利用企业最宝贵的资源——人力因素,尤其是在软件开发生命周期初期就确保编码安全方面。
为此,以下是需要牢记的三大核心战略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并坚持独特的愿景。 许多企业在处理代码安全漏洞时也采取这种态度,只有在遭受成功入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,到那时为时已晚:罚款、追偿成本、客户流失和品牌修复等后果都将影响财务业绩。 另一种被动应对模式是依赖自动或手动代码分析来检测现有代码中的漏洞,而非专注于从源头构建安全代码。 遗憾的是,代码扫描并非完美解决方案,这意味着代码中的漏洞越多,某些漏洞被遗漏的可能性就越大。
唯有采取主动策略,并与开发人员协作帮助其从一开始就编写安全代码,才能建立一个软件开发生命周期,从而大幅降低编码漏洞暴露给用户的可能性。
2. 提升技能,切勿过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训会让开发人员和管理者都感到沮丧。而需要在晚上或周末参加的外部课程则更不受欢迎。 最佳方案是循序渐进地提升编码能力,在编码过程中分阶段提供相关知识——本质上是在不显著分散开发者注意力、不延缓开发进程的前提下实现技能提升。
3.激励,而非预设
开发人员不应将加强安全技能视为惩罚或纯粹的苦差事。管理者需通过阐明安全代码对企业成功的重要作用来激励开发者。同时必须让开发者认识到:具备安全意识的程序员对企业更具价值,未来将获得更广阔的职业发展机遇。
拜登政府广受好评 行政命令 更加强调网络安全,并指出有必要"纳入评估开发者和供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 但工具虽重要,却非万能。没有任何工具能完全消除个人忽视、误解、滥用或规避现有系统与工具的可能性。为优化企业安全,首席信息安全官必须善用人为因素,鼓励开发人员自愿成为安全理念的拥护者与实践者。
我们最近非常高兴地看到,由我们的首席执行官Pieter Danhieux撰写的福布斯科技委员会首篇文章已正式上线。该文章阐述了提升开发人员技能以编写更安全的代码,对于防范网络攻击和数据泄露至关重要。
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
我们非常高兴地看到,由首席执行官Pieter Danhieux撰写的福布斯科技委员会首篇专栏文章近日上线。 该文章阐述了提升开发人员能力以编写更安全代码对防范网络攻击和数据泄露至关重要。同时揭示了注重安全的开发人员如何能比许多IT部门预期的更快地交付更高质量、更安全的代码。这种方法的必要性无疑是迫在眉睫的。 最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对科洛尼尔输油管道造成的破坏——尽管其整体破坏力远不及SolarWinds黑客事件。
许多常见漏洞之所以长期存在,是因为从未有人费心向开发者展示如何用更安全可靠的方式,用更优的执行方法替代不良编码模式。而在软件开发后期阶段修复漏洞的代价极其高昂,既耗费大量工时,又导致部署延迟。 尤其当攻击者利用未被发现的漏洞时,在代码部署后进行修复有时可能耗费数百万美元。而这甚至未计入重大安全事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官(CISO)当然不应轻易放弃现有安全工具,但通过自上而下推行包容性与预防性安全策略,CISO能够充分利用企业最宝贵的资源——人力因素,尤其是在软件开发生命周期初期就确保编码安全方面。
为此,以下是需要牢记的三大核心战略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并坚持独特的愿景。 许多企业在处理代码安全漏洞时也采取这种态度,只有在遭受成功入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,到那时为时已晚:罚款、追偿成本、客户流失和品牌修复等后果都将影响财务业绩。 另一种被动应对模式是依赖自动或手动代码分析来检测现有代码中的漏洞,而非专注于从源头构建安全代码。 遗憾的是,代码扫描并非完美解决方案,这意味着代码中的漏洞越多,某些漏洞被遗漏的可能性就越大。
唯有采取主动策略,并与开发人员协作帮助其从一开始就编写安全代码,才能建立一个软件开发生命周期,从而大幅降低编码漏洞暴露给用户的可能性。
2. 提升技能,切勿过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训会让开发人员和管理者都感到沮丧。而需要在晚上或周末参加的外部课程则更不受欢迎。 最佳方案是循序渐进地提升编码能力,在编码过程中分阶段提供相关知识——本质上是在不显著分散开发者注意力、不延缓开发进程的前提下实现技能提升。
3.激励,而非预设
开发人员不应将加强安全技能视为惩罚或纯粹的苦差事。管理者需通过阐明安全代码对企业成功的重要作用来激励开发者。同时必须让开发者认识到:具备安全意识的程序员对企业更具价值,未来将获得更广阔的职业发展机遇。
拜登政府广受好评 行政命令 更加强调网络安全,并指出有必要"纳入评估开发者和供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 但工具虽重要,却非万能。没有任何工具能完全消除个人忽视、误解、滥用或规避现有系统与工具的可能性。为优化企业安全,首席信息安全官必须善用人为因素,鼓励开发人员自愿成为安全理念的拥护者与实践者。
我们非常高兴地看到,由首席执行官Pieter Danhieux撰写的福布斯科技委员会首篇专栏文章近日上线。 该文章阐述了提升开发人员能力以编写更安全代码对防范网络攻击和数据泄露至关重要。同时揭示了注重安全的开发人员如何能比许多IT部门预期的更快地交付更高质量、更安全的代码。这种方法的必要性无疑是迫在眉睫的。 最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对科洛尼尔输油管道造成的破坏——尽管其整体破坏力远不及SolarWinds黑客事件。
许多常见漏洞之所以长期存在,是因为从未有人费心向开发者展示如何用更安全可靠的方式,用更优的执行方法替代不良编码模式。而在软件开发后期阶段修复漏洞的代价极其高昂,既耗费大量工时,又导致部署延迟。 尤其当攻击者利用未被发现的漏洞时,在代码部署后进行修复有时可能耗费数百万美元。而这甚至未计入重大安全事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官(CISO)当然不应轻易放弃现有安全工具,但通过自上而下推行包容性与预防性安全策略,CISO能够充分利用企业最宝贵的资源——人力因素,尤其是在软件开发生命周期初期就确保编码安全方面。
为此,以下是需要牢记的三大核心战略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并坚持独特的愿景。 许多企业在处理代码安全漏洞时也采取这种态度,只有在遭受成功入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,到那时为时已晚:罚款、追偿成本、客户流失和品牌修复等后果都将影响财务业绩。 另一种被动应对模式是依赖自动或手动代码分析来检测现有代码中的漏洞,而非专注于从源头构建安全代码。 遗憾的是,代码扫描并非完美解决方案,这意味着代码中的漏洞越多,某些漏洞被遗漏的可能性就越大。
唯有采取主动策略,并与开发人员协作帮助其从一开始就编写安全代码,才能建立一个软件开发生命周期,从而大幅降低编码漏洞暴露给用户的可能性。
2. 提升技能,切勿过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训会让开发人员和管理者都感到沮丧。而需要在晚上或周末参加的外部课程则更不受欢迎。 最佳方案是循序渐进地提升编码能力,在编码过程中分阶段提供相关知识——本质上是在不显著分散开发者注意力、不延缓开发进程的前提下实现技能提升。
3.激励,而非预设
开发人员不应将加强安全技能视为惩罚或纯粹的苦差事。管理者需通过阐明安全代码对企业成功的重要作用来激励开发者。同时必须让开发者认识到:具备安全意识的程序员对企业更具价值,未来将获得更广阔的职业发展机遇。
拜登政府广受好评 行政命令 更加强调网络安全,并指出有必要"纳入评估开发者和供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 但工具虽重要,却非万能。没有任何工具能完全消除个人忽视、误解、滥用或规避现有系统与工具的可能性。为优化企业安全,首席信息安全官必须善用人为因素,鼓励开发人员自愿成为安全理念的拥护者与实践者。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
我们非常高兴地看到,由首席执行官Pieter Danhieux撰写的福布斯科技委员会首篇专栏文章近日上线。 该文章阐述了提升开发人员能力以编写更安全代码对防范网络攻击和数据泄露至关重要。同时揭示了注重安全的开发人员如何能比许多IT部门预期的更快地交付更高质量、更安全的代码。这种方法的必要性无疑是迫在眉睫的。 最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹了单次勒索软件攻击对科洛尼尔输油管道造成的破坏——尽管其整体破坏力远不及SolarWinds黑客事件。
许多常见漏洞之所以长期存在,是因为从未有人费心向开发者展示如何用更安全可靠的方式,用更优的执行方法替代不良编码模式。而在软件开发后期阶段修复漏洞的代价极其高昂,既耗费大量工时,又导致部署延迟。 尤其当攻击者利用未被发现的漏洞时,在代码部署后进行修复有时可能耗费数百万美元。而这甚至未计入重大安全事件对企业声誉造成的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。首席信息安全官(CISO)当然不应轻易放弃现有安全工具,但通过自上而下推行包容性与预防性安全策略,CISO能够充分利用企业最宝贵的资源——人力因素,尤其是在软件开发生命周期初期就确保编码安全方面。
为此,以下是需要牢记的三大核心战略。
1. 主动出击,而非被动应对
企业常陷入被动应对的陷阱,例如追随竞争对手的行动,而非发展并坚持独特的愿景。 许多企业在处理代码安全漏洞时也采取这种态度,只有在遭受成功入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,到那时为时已晚:罚款、追偿成本、客户流失和品牌修复等后果都将影响财务业绩。 另一种被动应对模式是依赖自动或手动代码分析来检测现有代码中的漏洞,而非专注于从源头构建安全代码。 遗憾的是,代码扫描并非完美解决方案,这意味着代码中的漏洞越多,某些漏洞被遗漏的可能性就越大。
唯有采取主动策略,并与开发人员协作帮助其从一开始就编写安全代码,才能建立一个软件开发生命周期,从而大幅降低编码漏洞暴露给用户的可能性。
2. 提升技能,切勿过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训会让开发人员和管理者都感到沮丧。而需要在晚上或周末参加的外部课程则更不受欢迎。 最佳方案是循序渐进地提升编码能力,在编码过程中分阶段提供相关知识——本质上是在不显著分散开发者注意力、不延缓开发进程的前提下实现技能提升。
3.激励,而非预设
开发人员不应将加强安全技能视为惩罚或纯粹的苦差事。管理者需通过阐明安全代码对企业成功的重要作用来激励开发者。同时必须让开发者认识到:具备安全意识的程序员对企业更具价值,未来将获得更广阔的职业发展机遇。
拜登政府广受好评 行政命令 更加强调网络安全,并指出有必要"纳入评估开发者和供应商自身安全实践的标准,同时识别创新工具或方法以证明符合安全规范"。 但工具虽重要,却非万能。没有任何工具能完全消除个人忽视、误解、滥用或规避现有系统与工具的可能性。为优化企业安全,首席信息安全官必须善用人为因素,鼓励开发人员自愿成为安全理念的拥护者与实践者。
目录
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
