人間主導の安全なコーディングによる事後対応型から事前対応型への焦点の移行
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
過去20年以上にわたり、同じ10件のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害を引き起こしています。それでも、多くの企業はいまだに侵害後や事後からの修復を選択しており、そのすべてがもたらす人的影響とビジネス上の影響に悩まされています。しかし今、新しい調査研究により、人間が主導する新しい方向性が示されました。
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
在过去的20多年里,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。然而,许多企业仍然选择在漏洞发生后进行补救;在这一切的人为和商业影响中浑浑噩噩。但现在,一项新的研究指出了一个新的、由人主导的方向。
以下讨论的是由Secure Code Warrior 与Evans Data Corp进行的一项研究得出的见解,该研究题为 "从反应到预防。应用安全的变化"(2021年),探索开发人员对安全编码、安全代码实践和安全操作的态度。下载白皮书 这里.
在即将发布的研究中,开发人员和开发经理被问及他们与安全编码相关的活动。排名前三的回答是。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
,积极和持续地编写受保护的软件,以防止漏洞。
那么这告诉我们什么呢?在前三个回答中,有两个仍然集中在反应式方法上,第一个依赖于工具(扫描器),第二个依赖于开发人员(即人类)进行手动检查--在这两种情况下,都是在代码编写之后。使用这些方法检测到的漏洞必须被踢回给开发团队进行返工,这对项目的时间表和项目成本都有影响。
同时,在被提名的三项活动中,有两项依赖于人的因素--这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞的影响。 这突出了一个向左开始的转变--一种主动的和预防性的方法,从软件开发生命周期的一开始就将安全纳入软件。
反应性可能等于昂贵的
根据IBM的一项研究*,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。这是一个强大的激励机制,促使我们采取新的积极主动和更人性化的方法来捍卫软件安全,使开发人员从一开始就能更安全地编码。
这就是你可以称之为人类主导的防御。但要让开发人员开始关心安全问题,它必须成为他们每天思考和编码方式的一部分。这就要求采取新的培训方法,与开发人员的日常工作高度相关,并激发他们的学习欲望--目前的培训模式无法做到这一点。
为了创造一种积极主动的安全文化,需要新的培训,即。
- 使安全编码成为开发人员提高软件安全技能的一种积极和参与性的体验。
- 鼓励开发者以安全的思维方式看待他们的日常编码任务
- 使安全编码成为他们日常工作流程的内在要求
当这些线索结合在一起时,就能从一开始就防止漏洞的发生,使团队能够更快、更有信心地交付高质量的代码。好消息是,在软件开发过程中,已经有一个Learning Platform ,'从左边开始'--它已经赋予开发人员技能和工具,从一开始就创建高质量的代码。
*IBM软件集团;尽量减少代码缺陷以提高软件质量和降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
