足场型学习能培养出具备强安全意识的开发者的原因
只需浏览几分钟技术新闻,就能立即意识到威胁环境正变得多么危险。每天似乎都有重大安全事件、新漏洞或网络攻击者与犯罪分子活跃利用威胁的报道涌现。几乎所有行业指标和报告都显示网络威胁数量正日益增长,且多数专家预测这一趋势将在未来数年持续。
面对这些新威胁,IT安全人员始终站在防线最前沿,而人员短缺问题正日益严峻。尽管安全人员薪资优厚且对任何企业或组织都不可或缺,但安全人才的短缺却始终存在。近期战略国际问题研究中心的调查显示,82%的IT决策者表示其组织正遭受网络安全技能短缺的困扰,71%的受访者指出这种短缺已给组织造成直接且可量化的损失。报告指出,仅在美国,该领域就存在超过52万个网络安全相关职位空缺,而实际从业人员仅约94万人。
全球范围内,目前约有350万个网络安全相关职位处于空缺状态。这意味着,即便是那些愿意支付高额费用来雇佣和留住顶尖专家的组织,也难以找到合适的候选人。平均而言,填补网络安全职位所需的时间比填补其他任何职位都要长约21%。
开发者支持长期以来一直被忽视
在过去的博客中多次提及,开发人员能够填补网络安全防御中的这些重大缺口。然而,传统上开发人员并未接受过网络安全培训。他们的职责能力几乎完全基于部署速度和时间,而安全问题则属于更上游的应用程序安全团队的工作范畴。
遗憾的是,这并非仅仅是改变方针、要求开发人员突然开始在应用程序或程序中添加安全措施的问题。即使开发人员愿意主动进行这些变更——调查结果也表明多数人确实如此——要实现这一目标仍需培训。虽然高层的鼓励和支持不可或缺,但能否实现有意义的学习,往往是首要的、也是最大的障碍。
全球数百万高薪且安全系数高的IT安全职位空缺并非偶然。倘若这是份轻松的工作,人人都会涌入该领域。对抗威胁、学习消除代码漏洞的方法本就困难重重,而威胁形势更在持续演变。即便对技术相对精通的开发者而言,若试图通过标准化培训来教授网络安全知识,往往收效甚微。这类培训既难以即时实施,也难以留下深刻印象,其积极影响更是微乎其微——尤其当这些要求被强加到本已超负荷的工作日程中时。
搭建脚手架,登上高台吧
用传统方法教授网络安全技能,无异于试图在双脚未离地的情况下建造摩天大楼。学生缺乏掌握网络安全这类复杂领域众多高阶概念所需的基础知识,因此这种做法注定行不通。为弥补这一缺陷,"脚手架学习"这一概念应运而生。
在采用脚手架式方法(即分层式方法)进行技能提升时,大型主题通常会被分解为独立的学习体验或概念。通过这种方式,学生能够在充分练习和指导下掌握每个概念,并获得各要素所需的全部支持。正如建筑高度增加时物理脚手架逐步搭建,新的高级概念会叠加在已掌握的概念之上。这种方法使学生能够达到更高层次的理解与技能掌握——这是仅凭自身力量无法企及的境界。
如同物理性的支架一样,这种支持也会在不再需要时逐步撤除,随着学生掌握技能,对学生的责任也随之加重。
支架式学习主要用于减少学生在无支持情况下应对困难任务时可能经历的负面情绪和自我认知,例如沮丧、恐惧或挫败感。然而,在处理现代网络安全这类极其复杂的概念时,它同样具有重要价值。这种方法绝非将开发者视为孩童,而是在安全团队工作中可能引发同样挫败感与沮丧感的情境下——尤其当开发者的努力屡遭退回,伴随着漏洞修复要求和新的批评时——它便显得尤为有效。
当开发者获得理解安全编码基础的工具(通常是OWASP十大漏洞)时,他们能够自行验证安全漏洞如何产生、为何危险,以及在生产环境部署前如何修复。在此基础上,通过实践经验积累,开发者可逐步应对更复杂的漏洞并实施恰当修复,从而拓展知识边界。安全层级将逐步累积,当面对不安全的软件架构或威胁建模等高级安全问题时,这些跨越不再令人畏惧,反而能精准应对。
作为行业,我们不应期望开发人员成为安全专家,但组织可以采用新的标准来支持开发人员,从而帮助他们创建更高质量的软件。对于正在工程部门提升技能的组织而言,每个阶段或每个基座层级的学习都将直接增强网络安全能力。无需等到课程结束才能看到成效。
学习网络安全并非易事,若缺乏适当的指导和支持,几乎不可能掌握相关知识。将安全计划纳入日常工作流程,方能充分发挥其价值,其效益几乎立竿见影。改进措施将迅速启动,并随着时间推移持续优化。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
只需浏览几分钟技术新闻,就能立即意识到威胁环境正变得多么危险。每天似乎都有重大安全事件、新漏洞或网络攻击者与犯罪分子活跃利用威胁的报道涌现。几乎所有行业指标和报告都显示网络威胁数量正日益增长,且多数专家预测这一趋势将在未来数年持续。
面对这些新威胁,IT安全人员始终站在防线最前沿,而人员短缺问题正日益严峻。尽管安全人员薪资优厚且对任何企业或组织都不可或缺,但安全人才的短缺却始终存在。近期战略国际问题研究中心的调查显示,82%的IT决策者表示其组织正遭受网络安全技能短缺的困扰,71%的受访者指出这种短缺已给组织造成直接且可量化的损失。报告指出,仅在美国,该领域就存在超过52万个网络安全相关职位空缺,而实际从业人员仅约94万人。
全球范围内,目前约有350万个网络安全相关职位处于空缺状态。这意味着,即便是那些愿意支付高额费用来雇佣和留住顶尖专家的组织,也难以找到合适的候选人。平均而言,填补网络安全职位所需的时间比填补其他任何职位都要长约21%。
开发者支持长期以来一直被忽视
在过去的博客中多次提及,开发人员能够填补网络安全防御中的这些重大缺口。然而,传统上开发人员并未接受过网络安全培训。他们的职责能力几乎完全基于部署速度和时间,而安全问题则属于更上游的应用程序安全团队的工作范畴。
遗憾的是,这并非仅仅是改变方针、要求开发人员突然开始在应用程序或程序中添加安全措施的问题。即使开发人员愿意主动进行这些变更——调查结果也表明多数人确实如此——要实现这一目标仍需培训。虽然高层的鼓励和支持不可或缺,但能否实现有意义的学习,往往是首要的、也是最大的障碍。
全球数百万高薪且安全系数高的IT安全职位空缺并非偶然。倘若这是份轻松的工作,人人都会涌入该领域。对抗威胁、学习消除代码漏洞的方法本就困难重重,而威胁形势更在持续演变。即便对技术相对精通的开发者而言,若试图通过标准化培训来教授网络安全知识,往往收效甚微。这类培训既难以即时实施,也难以留下深刻印象,其积极影响更是微乎其微——尤其当这些要求被强加到本已超负荷的工作日程中时。
搭建脚手架,登上高台吧
用传统方法教授网络安全技能,无异于试图在双脚未离地的情况下建造摩天大楼。学生缺乏掌握网络安全这类复杂领域众多高阶概念所需的基础知识,因此这种做法注定行不通。为弥补这一缺陷,"脚手架学习"这一概念应运而生。
在采用脚手架式方法(即分层式方法)进行技能提升时,大型主题通常会被分解为独立的学习体验或概念。通过这种方式,学生能够在充分练习和指导下掌握每个概念,并获得各要素所需的全部支持。正如建筑高度增加时物理脚手架逐步搭建,新的高级概念会叠加在已掌握的概念之上。这种方法使学生能够达到更高层次的理解与技能掌握——这是仅凭自身力量无法企及的境界。
如同物理性的支架一样,这种支持也会在不再需要时逐步撤除,随着学生掌握技能,对学生的责任也随之加重。
支架式学习主要用于减少学生在无支持情况下应对困难任务时可能经历的负面情绪和自我认知,例如沮丧、恐惧或挫败感。然而,在处理现代网络安全这类极其复杂的概念时,它同样具有重要价值。这种方法绝非将开发者视为孩童,而是在安全团队工作中可能引发同样挫败感与沮丧感的情境下——尤其当开发者的努力屡遭退回,伴随着漏洞修复要求和新的批评时——它便显得尤为有效。
当开发者获得理解安全编码基础的工具(通常是OWASP十大漏洞)时,他们能够自行验证安全漏洞如何产生、为何危险,以及在生产环境部署前如何修复。在此基础上,通过实践经验积累,开发者可逐步应对更复杂的漏洞并实施恰当修复,从而拓展知识边界。安全层级将逐步累积,当面对不安全的软件架构或威胁建模等高级安全问题时,这些跨越不再令人畏惧,反而能精准应对。
作为行业,我们不应期望开发人员成为安全专家,但组织可以采用新的标准来支持开发人员,从而帮助他们创建更高质量的软件。对于正在工程部门提升技能的组织而言,每个阶段或每个基座层级的学习都将直接增强网络安全能力。无需等到课程结束才能看到成效。
学习网络安全并非易事,若缺乏适当的指导和支持,几乎不可能掌握相关知识。将安全计划纳入日常工作流程,方能充分发挥其价值,其效益几乎立竿见影。改进措施将迅速启动,并随着时间推移持续优化。
只需浏览几分钟技术新闻,就能立即意识到威胁环境正变得多么危险。每天似乎都有重大安全事件、新漏洞或网络攻击者与犯罪分子活跃利用威胁的报道涌现。几乎所有行业指标和报告都显示网络威胁数量正日益增长,且多数专家预测这一趋势将在未来数年持续。
面对这些新威胁,IT安全人员始终站在防线最前沿,而人员短缺问题正日益严峻。尽管安全人员薪资优厚且对任何企业或组织都不可或缺,但安全人才的短缺却始终存在。近期战略国际问题研究中心的调查显示,82%的IT决策者表示其组织正遭受网络安全技能短缺的困扰,71%的受访者指出这种短缺已给组织造成直接且可量化的损失。报告指出,仅在美国,该领域就存在超过52万个网络安全相关职位空缺,而实际从业人员仅约94万人。
全球范围内,目前约有350万个网络安全相关职位处于空缺状态。这意味着,即便是那些愿意支付高额费用来雇佣和留住顶尖专家的组织,也难以找到合适的候选人。平均而言,填补网络安全职位所需的时间比填补其他任何职位都要长约21%。
开发者支持长期以来一直被忽视
在过去的博客中多次提及,开发人员能够填补网络安全防御中的这些重大缺口。然而,传统上开发人员并未接受过网络安全培训。他们的职责能力几乎完全基于部署速度和时间,而安全问题则属于更上游的应用程序安全团队的工作范畴。
遗憾的是,这并非仅仅是改变方针、要求开发人员突然开始在应用程序或程序中添加安全措施的问题。即使开发人员愿意主动进行这些变更——调查结果也表明多数人确实如此——要实现这一目标仍需培训。虽然高层的鼓励和支持不可或缺,但能否实现有意义的学习,往往是首要的、也是最大的障碍。
全球数百万高薪且安全系数高的IT安全职位空缺并非偶然。倘若这是份轻松的工作,人人都会涌入该领域。对抗威胁、学习消除代码漏洞的方法本就困难重重,而威胁形势更在持续演变。即便对技术相对精通的开发者而言,若试图通过标准化培训来教授网络安全知识,往往收效甚微。这类培训既难以即时实施,也难以留下深刻印象,其积极影响更是微乎其微——尤其当这些要求被强加到本已超负荷的工作日程中时。
搭建脚手架,登上高台吧
用传统方法教授网络安全技能,无异于试图在双脚未离地的情况下建造摩天大楼。学生缺乏掌握网络安全这类复杂领域众多高阶概念所需的基础知识,因此这种做法注定行不通。为弥补这一缺陷,"脚手架学习"这一概念应运而生。
在采用脚手架式方法(即分层式方法)进行技能提升时,大型主题通常会被分解为独立的学习体验或概念。通过这种方式,学生能够在充分练习和指导下掌握每个概念,并获得各要素所需的全部支持。正如建筑高度增加时物理脚手架逐步搭建,新的高级概念会叠加在已掌握的概念之上。这种方法使学生能够达到更高层次的理解与技能掌握——这是仅凭自身力量无法企及的境界。
如同物理性的支架一样,这种支持也会在不再需要时逐步撤除,随着学生掌握技能,对学生的责任也随之加重。
支架式学习主要用于减少学生在无支持情况下应对困难任务时可能经历的负面情绪和自我认知,例如沮丧、恐惧或挫败感。然而,在处理现代网络安全这类极其复杂的概念时,它同样具有重要价值。这种方法绝非将开发者视为孩童,而是在安全团队工作中可能引发同样挫败感与沮丧感的情境下——尤其当开发者的努力屡遭退回,伴随着漏洞修复要求和新的批评时——它便显得尤为有效。
当开发者获得理解安全编码基础的工具(通常是OWASP十大漏洞)时,他们能够自行验证安全漏洞如何产生、为何危险,以及在生产环境部署前如何修复。在此基础上,通过实践经验积累,开发者可逐步应对更复杂的漏洞并实施恰当修复,从而拓展知识边界。安全层级将逐步累积,当面对不安全的软件架构或威胁建模等高级安全问题时,这些跨越不再令人畏惧,反而能精准应对。
作为行业,我们不应期望开发人员成为安全专家,但组织可以采用新的标准来支持开发人员,从而帮助他们创建更高质量的软件。对于正在工程部门提升技能的组织而言,每个阶段或每个基座层级的学习都将直接增强网络安全能力。无需等到课程结束才能看到成效。
学习网络安全并非易事,若缺乏适当的指导和支持,几乎不可能掌握相关知识。将安全计划纳入日常工作流程,方能充分发挥其价值,其效益几乎立竿见影。改进措施将迅速启动,并随着时间推移持续优化。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
只需浏览几分钟技术新闻,就能立即意识到威胁环境正变得多么危险。每天似乎都有重大安全事件、新漏洞或网络攻击者与犯罪分子活跃利用威胁的报道涌现。几乎所有行业指标和报告都显示网络威胁数量正日益增长,且多数专家预测这一趋势将在未来数年持续。
面对这些新威胁,IT安全人员始终站在防线最前沿,而人员短缺问题正日益严峻。尽管安全人员薪资优厚且对任何企业或组织都不可或缺,但安全人才的短缺却始终存在。近期战略国际问题研究中心的调查显示,82%的IT决策者表示其组织正遭受网络安全技能短缺的困扰,71%的受访者指出这种短缺已给组织造成直接且可量化的损失。报告指出,仅在美国,该领域就存在超过52万个网络安全相关职位空缺,而实际从业人员仅约94万人。
全球范围内,目前约有350万个网络安全相关职位处于空缺状态。这意味着,即便是那些愿意支付高额费用来雇佣和留住顶尖专家的组织,也难以找到合适的候选人。平均而言,填补网络安全职位所需的时间比填补其他任何职位都要长约21%。
开发者支持长期以来一直被忽视
在过去的博客中多次提及,开发人员能够填补网络安全防御中的这些重大缺口。然而,传统上开发人员并未接受过网络安全培训。他们的职责能力几乎完全基于部署速度和时间,而安全问题则属于更上游的应用程序安全团队的工作范畴。
遗憾的是,这并非仅仅是改变方针、要求开发人员突然开始在应用程序或程序中添加安全措施的问题。即使开发人员愿意主动进行这些变更——调查结果也表明多数人确实如此——要实现这一目标仍需培训。虽然高层的鼓励和支持不可或缺,但能否实现有意义的学习,往往是首要的、也是最大的障碍。
全球数百万高薪且安全系数高的IT安全职位空缺并非偶然。倘若这是份轻松的工作,人人都会涌入该领域。对抗威胁、学习消除代码漏洞的方法本就困难重重,而威胁形势更在持续演变。即便对技术相对精通的开发者而言,若试图通过标准化培训来教授网络安全知识,往往收效甚微。这类培训既难以即时实施,也难以留下深刻印象,其积极影响更是微乎其微——尤其当这些要求被强加到本已超负荷的工作日程中时。
搭建脚手架,登上高台吧
用传统方法教授网络安全技能,无异于试图在双脚未离地的情况下建造摩天大楼。学生缺乏掌握网络安全这类复杂领域众多高阶概念所需的基础知识,因此这种做法注定行不通。为弥补这一缺陷,"脚手架学习"这一概念应运而生。
在采用脚手架式方法(即分层式方法)进行技能提升时,大型主题通常会被分解为独立的学习体验或概念。通过这种方式,学生能够在充分练习和指导下掌握每个概念,并获得各要素所需的全部支持。正如建筑高度增加时物理脚手架逐步搭建,新的高级概念会叠加在已掌握的概念之上。这种方法使学生能够达到更高层次的理解与技能掌握——这是仅凭自身力量无法企及的境界。
如同物理性的支架一样,这种支持也会在不再需要时逐步撤除,随着学生掌握技能,对学生的责任也随之加重。
支架式学习主要用于减少学生在无支持情况下应对困难任务时可能经历的负面情绪和自我认知,例如沮丧、恐惧或挫败感。然而,在处理现代网络安全这类极其复杂的概念时,它同样具有重要价值。这种方法绝非将开发者视为孩童,而是在安全团队工作中可能引发同样挫败感与沮丧感的情境下——尤其当开发者的努力屡遭退回,伴随着漏洞修复要求和新的批评时——它便显得尤为有效。
当开发者获得理解安全编码基础的工具(通常是OWASP十大漏洞)时,他们能够自行验证安全漏洞如何产生、为何危险,以及在生产环境部署前如何修复。在此基础上,通过实践经验积累,开发者可逐步应对更复杂的漏洞并实施恰当修复,从而拓展知识边界。安全层级将逐步累积,当面对不安全的软件架构或威胁建模等高级安全问题时,这些跨越不再令人畏惧,反而能精准应对。
作为行业,我们不应期望开发人员成为安全专家,但组织可以采用新的标准来支持开发人员,从而帮助他们创建更高质量的软件。对于正在工程部门提升技能的组织而言,每个阶段或每个基座层级的学习都将直接增强网络安全能力。无需等到课程结束才能看到成效。
学习网络安全并非易事,若缺乏适当的指导和支持,几乎不可能掌握相关知识。将安全计划纳入日常工作流程,方能充分发挥其价值,其效益几乎立竿见影。改进措施将迅速启动,并随着时间推移持续优化。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
