在网络安全中绝不能忽视人为因素的原因
我们最近看到福布斯科技委员会主席兼首席执行官彼得·邓休的直播时感到非常兴奋。他在直播中详细阐述了提升开发者技能以编写更安全的代码,是防范网络攻击和数据泄露的关键所在。不仅如此,文章还揭示了具备安全意识的开发者如何能比多数IT部门预期的更早交付更优质、更安全的代码。这种方法的必要性确实极具说服力——最新调查显示,当前网络攻击每39秒就发生一次,而 勒索软件攻击仅需一次成功便足以引发混乱——从整体来看,科洛尼尔管道公司事件造成的破坏远不及SolarWinds黑客攻击事件。
许多常见漏洞之所以持续存在,是因为从未有专人向开发者明确展示如何将低效的编码模式替换为更安全、更优雅的实现方式。此外,在开发后期修改软件所产生的影响,无论从耗费的时间还是项目延迟来看,都代价极其高昂。代码部署后——尤其当攻击者利用尚未被发现的漏洞进行攻击后——修复代码可能耗费数百万美元。而这尚未计入遭受重大安全事件的企业声誉损失。
接受过安全培训的开发人员会自然而然地成为优秀的编码者。诚然,首席信息安全官不应立即放弃安全工具,但通过高层主导包容性与预防性的安全策略,他们能够充分利用企业最宝贵的资源——人为因素。尤其在软件开发生命周期的早期阶段,安全编码的实践至关重要。
为此,以下列出应牢记的三大策略:
1。不要事后补救,而要未雨绸缪地行动。
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非自主制定并追求愿景。许多企业在代码安全漏洞方面也默认采取这种策略,只有在遭受入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复都将重创收益。与其专注于事后补救,不如从源头构建安全代码。当然,利用自动或手动代码扫描来发现现有代码中的漏洞也是可行方案。但遗憾的是,代码扫描并非万能解药——代码中漏洞越多,漏检风险就越高。
唯有采取积极主动的方法,与开发人员通力合作,从一开始就协助其编写安全的代码,才能建立起这样的软件开发生命周期:它能大幅降低编码漏洞暴露给用户的风险。
2。技能提升,别过度投入
在决定为开发人员提供创建安全代码所需的知识后,请明智地选择实施方式。那些迫使开发人员停止编码的内部培训研讨会,只会让开发人员和管理人员都感到恼火。而要求在傍晚或周末参加的异地课程,则更不受欢迎。最佳方案是让开发人员逐步掌握编码技能——在编码过程中分阶段提供相关信息,这样既能提升基础能力,又不会分散开发人员注意力或延缓开发进程。
3。请不要误以为给予激励就是灌输观念。
开发者不应将提升安全技能视为惩罚或艰苦的工作。管理者必须通过传达安全代码在企业成功中发挥的关键作用来激励开发者。同时,强调安全编码者对公司更具价值,且未来职业发展机会更广阔也至关重要。
拜登政府受到欢迎 行政命令 随着网络安全关注度提升,亟需"建立评估开发者和供应商自身安全实践的标准,并识别创新工具与方法以验证安全实践的合规性"。然而,工具虽不可或缺,却远非全部。没有任何工具能完全消除个人通过各种手段规避、误解、滥用或绕过已部署系统与工具的可能性。要实现企业安全最大化,首席信息安全官必须善用人因因素,激励开发者主动支持并践行安全措施。
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
我们最近看到福布斯科技委员会主席兼首席执行官彼得·邓休的直播时感到非常兴奋。他在直播中详细阐述了提升开发者技能以编写更安全的代码,是防范网络攻击和数据泄露的关键所在。不仅如此,文章还揭示了具备安全意识的开发者如何能比多数IT部门预期的更早交付更优质、更安全的代码。这种方法的必要性确实极具说服力——最新调查显示,当前网络攻击每39秒就发生一次,而 勒索软件攻击仅需一次成功便足以引发混乱——从整体来看,科洛尼尔管道公司事件造成的破坏远不及SolarWinds黑客攻击事件。
许多常见漏洞之所以持续存在,是因为从未有专人向开发者明确展示如何将低效的编码模式替换为更安全、更优雅的实现方式。此外,在开发后期修改软件所产生的影响,无论从耗费的时间还是项目延迟来看,都代价极其高昂。代码部署后——尤其当攻击者利用尚未被发现的漏洞进行攻击后——修复代码可能耗费数百万美元。而这尚未计入遭受重大安全事件的企业声誉损失。
接受过安全培训的开发人员会自然而然地成为优秀的编码者。诚然,首席信息安全官不应立即放弃安全工具,但通过高层主导包容性与预防性的安全策略,他们能够充分利用企业最宝贵的资源——人为因素。尤其在软件开发生命周期的早期阶段,安全编码的实践至关重要。
为此,以下列出应牢记的三大策略:
1。不要事后补救,而要未雨绸缪地行动。
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非自主制定并追求愿景。许多企业在代码安全漏洞方面也默认采取这种策略,只有在遭受入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复都将重创收益。与其专注于事后补救,不如从源头构建安全代码。当然,利用自动或手动代码扫描来发现现有代码中的漏洞也是可行方案。但遗憾的是,代码扫描并非万能解药——代码中漏洞越多,漏检风险就越高。
唯有采取积极主动的方法,与开发人员通力合作,从一开始就协助其编写安全的代码,才能建立起这样的软件开发生命周期:它能大幅降低编码漏洞暴露给用户的风险。
2。技能提升,别过度投入
在决定为开发人员提供创建安全代码所需的知识后,请明智地选择实施方式。那些迫使开发人员停止编码的内部培训研讨会,只会让开发人员和管理人员都感到恼火。而要求在傍晚或周末参加的异地课程,则更不受欢迎。最佳方案是让开发人员逐步掌握编码技能——在编码过程中分阶段提供相关信息,这样既能提升基础能力,又不会分散开发人员注意力或延缓开发进程。
3。请不要误以为给予激励就是灌输观念。
开发者不应将提升安全技能视为惩罚或艰苦的工作。管理者必须通过传达安全代码在企业成功中发挥的关键作用来激励开发者。同时,强调安全编码者对公司更具价值,且未来职业发展机会更广阔也至关重要。
拜登政府受到欢迎 行政命令 随着网络安全关注度提升,亟需"建立评估开发者和供应商自身安全实践的标准,并识别创新工具与方法以验证安全实践的合规性"。然而,工具虽不可或缺,却远非全部。没有任何工具能完全消除个人通过各种手段规避、误解、滥用或绕过已部署系统与工具的可能性。要实现企业安全最大化,首席信息安全官必须善用人因因素,激励开发者主动支持并践行安全措施。
我们最近看到福布斯科技委员会主席兼首席执行官彼得·邓休的直播时感到非常兴奋。他在直播中详细阐述了提升开发者技能以编写更安全的代码,是防范网络攻击和数据泄露的关键所在。不仅如此,文章还揭示了具备安全意识的开发者如何能比多数IT部门预期的更早交付更优质、更安全的代码。这种方法的必要性确实极具说服力——最新调查显示,当前网络攻击每39秒就发生一次,而 勒索软件攻击仅需一次成功便足以引发混乱——从整体来看,科洛尼尔管道公司事件造成的破坏远不及SolarWinds黑客攻击事件。
许多常见漏洞之所以持续存在,是因为从未有专人向开发者明确展示如何将低效的编码模式替换为更安全、更优雅的实现方式。此外,在开发后期修改软件所产生的影响,无论从耗费的时间还是项目延迟来看,都代价极其高昂。代码部署后——尤其当攻击者利用尚未被发现的漏洞进行攻击后——修复代码可能耗费数百万美元。而这尚未计入遭受重大安全事件的企业声誉损失。
接受过安全培训的开发人员会自然而然地成为优秀的编码者。诚然,首席信息安全官不应立即放弃安全工具,但通过高层主导包容性与预防性的安全策略,他们能够充分利用企业最宝贵的资源——人为因素。尤其在软件开发生命周期的早期阶段,安全编码的实践至关重要。
为此,以下列出应牢记的三大策略:
1。不要事后补救,而要未雨绸缪地行动。
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非自主制定并追求愿景。许多企业在代码安全漏洞方面也默认采取这种策略,只有在遭受入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复都将重创收益。与其专注于事后补救,不如从源头构建安全代码。当然,利用自动或手动代码扫描来发现现有代码中的漏洞也是可行方案。但遗憾的是,代码扫描并非万能解药——代码中漏洞越多,漏检风险就越高。
唯有采取积极主动的方法,与开发人员通力合作,从一开始就协助其编写安全的代码,才能建立起这样的软件开发生命周期:它能大幅降低编码漏洞暴露给用户的风险。
2。技能提升,别过度投入
在决定为开发人员提供创建安全代码所需的知识后,请明智地选择实施方式。那些迫使开发人员停止编码的内部培训研讨会,只会让开发人员和管理人员都感到恼火。而要求在傍晚或周末参加的异地课程,则更不受欢迎。最佳方案是让开发人员逐步掌握编码技能——在编码过程中分阶段提供相关信息,这样既能提升基础能力,又不会分散开发人员注意力或延缓开发进程。
3。请不要误以为给予激励就是灌输观念。
开发者不应将提升安全技能视为惩罚或艰苦的工作。管理者必须通过传达安全代码在企业成功中发挥的关键作用来激励开发者。同时,强调安全编码者对公司更具价值,且未来职业发展机会更广阔也至关重要。
拜登政府受到欢迎 行政命令 随着网络安全关注度提升,亟需"建立评估开发者和供应商自身安全实践的标准,并识别创新工具与方法以验证安全实践的合规性"。然而,工具虽不可或缺,却远非全部。没有任何工具能完全消除个人通过各种手段规避、误解、滥用或绕过已部署系统与工具的可能性。要实现企业安全最大化,首席信息安全官必须善用人因因素,激励开发者主动支持并践行安全措施。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
我们最近看到福布斯科技委员会主席兼首席执行官彼得·邓休的直播时感到非常兴奋。他在直播中详细阐述了提升开发者技能以编写更安全的代码,是防范网络攻击和数据泄露的关键所在。不仅如此,文章还揭示了具备安全意识的开发者如何能比多数IT部门预期的更早交付更优质、更安全的代码。这种方法的必要性确实极具说服力——最新调查显示,当前网络攻击每39秒就发生一次,而 勒索软件攻击仅需一次成功便足以引发混乱——从整体来看,科洛尼尔管道公司事件造成的破坏远不及SolarWinds黑客攻击事件。
许多常见漏洞之所以持续存在,是因为从未有专人向开发者明确展示如何将低效的编码模式替换为更安全、更优雅的实现方式。此外,在开发后期修改软件所产生的影响,无论从耗费的时间还是项目延迟来看,都代价极其高昂。代码部署后——尤其当攻击者利用尚未被发现的漏洞进行攻击后——修复代码可能耗费数百万美元。而这尚未计入遭受重大安全事件的企业声誉损失。
接受过安全培训的开发人员会自然而然地成为优秀的编码者。诚然,首席信息安全官不应立即放弃安全工具,但通过高层主导包容性与预防性的安全策略,他们能够充分利用企业最宝贵的资源——人为因素。尤其在软件开发生命周期的早期阶段,安全编码的实践至关重要。
为此,以下列出应牢记的三大策略:
1。不要事后补救,而要未雨绸缪地行动。
企业往往陷入被动应对的陷阱,例如追随竞争对手的行动,而非自主制定并追求愿景。许多企业在代码安全漏洞方面也默认采取这种策略,只有在遭受入侵后被迫采取行动时,才会认真对待网络安全。遗憾的是,此时损害已然造成——罚款、恢复成本、客户流失和品牌修复都将重创收益。与其专注于事后补救,不如从源头构建安全代码。当然,利用自动或手动代码扫描来发现现有代码中的漏洞也是可行方案。但遗憾的是,代码扫描并非万能解药——代码中漏洞越多,漏检风险就越高。
唯有采取积极主动的方法,与开发人员通力合作,从一开始就协助其编写安全的代码,才能建立起这样的软件开发生命周期:它能大幅降低编码漏洞暴露给用户的风险。
2。技能提升,别过度投入
在决定为开发人员提供创建安全代码所需的知识后,请明智地选择实施方式。那些迫使开发人员停止编码的内部培训研讨会,只会让开发人员和管理人员都感到恼火。而要求在傍晚或周末参加的异地课程,则更不受欢迎。最佳方案是让开发人员逐步掌握编码技能——在编码过程中分阶段提供相关信息,这样既能提升基础能力,又不会分散开发人员注意力或延缓开发进程。
3。请不要误以为给予激励就是灌输观念。
开发者不应将提升安全技能视为惩罚或艰苦的工作。管理者必须通过传达安全代码在企业成功中发挥的关键作用来激励开发者。同时,强调安全编码者对公司更具价值,且未来职业发展机会更广阔也至关重要。
拜登政府受到欢迎 行政命令 随着网络安全关注度提升,亟需"建立评估开发者和供应商自身安全实践的标准,并识别创新工具与方法以验证安全实践的合规性"。然而,工具虽不可或缺,却远非全部。没有任何工具能完全消除个人通过各种手段规避、误解、滥用或绕过已部署系统与工具的可能性。要实现企业安全最大化,首席信息安全官必须善用人因因素,激励开发者主动支持并践行安全措施。
开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
