安全代码洞察

在我的软件开发与安全职业生涯中，我曾与众多应用程序安全经理、首席信息安全官、首席信息官以及网络安全专家交流过，他们遍布全球各类企业。

无论环境如何变化，团队经验多么丰富，在这个瞬息万变的数字世界中经历了多少岁月，始终存在一个不变的问题：开发团队极少主动参与安全工作。安全至今仍是禁忌话题，它既是团队间的隔阂，也是行业背后的隐忧。

然而，软件安全在我们的普遍认知中，对于继续沿着这条道路前进而言至关重要。为了使安全成为每位开发者工作中不可或缺的部分，我们必须改变讨论方式。我认为实现这一目标的最佳途径之一，是通过游戏化等手段赋予开发者安全相关的权限，使其积极参与其中。

当前的景色

开发者们带着几乎零安全编码实践知识的大学文凭踏入职场，从事的工作极少将安全培训列为优先事项（即便有，通常也只是健康安全合规视频的必修环节——枯燥至极，根本没人会在意安全编码）。他们初次接触安全概念往往是通过审计报告或测试缺陷报告，眼睁睁看着未来版本突然戛然而止，创造力瞬间被扼杀在萌芽状态。由于他们常与安全报告负责人发生冲突，在他们心中"安全"一词已与"挑刺"划上等号。真他妈的。

说实话，软件安全领域存在如此普遍的负面认知，实在令人遗憾。毕竟在我职业生涯中最美好的回忆里，有不少都与学习软件安全相关。在初涉黑客领域的岁月里，我常参加各类会议。在那里，不仅能与同行切磋技艺（坦白说还有点炫耀的成分），更能结识志同道合的朋友——他们和我一样，享受着破坏软件的乐趣。

BruCon、DefCon、BlackHat...这些活动为像我这样的人提供了在友好竞争中展示技能的机会。虽然我绝不承认自己参与过此类反社会活动，但确实有人通过入侵其他参与者的手机，在演示屏幕上展示信息供所有人观看来展示黑客技术。为了改进软件，发现漏洞并加以利用以促使修复，这已成为一种游戏。几年前，我有幸在中东数百名儿童面前讲授网络安全知识。至今仍记得班里有个8岁女孩，她通过游戏学习了密码暴力破解和base64编码技术。

游戏化教学也被应用于编程技能的指导。全球教育机构正采用这种方法，向包括高中生在内的低龄儿童传授编程知识。如今四岁的孩子也定期参与诸如"编程夏令营"等假期项目，还有许多优秀的在线课程能教孩子们用Python等语言编程。我还为四岁的女儿购置了出色的无屏幕编程工具——Cubetto。

然而，尽管存在这样的乐趣和进步，仍存在差距。没有人曾考虑过利用游戏化来教导开发者编写安全代码的可能性。

嗯... 几乎没人了。几年前，我意识到有必要重新激发安全领域的新鲜感，提升开发者参与并开始探索的动力。

游戏化：简单的方法。

我内心怀有强烈的愿望，希望提升开发者在安全方面的知识水平并赋予他们力量，正是这份热情促使我开发了Secure Code Warrior。软件安全至关重要，同时也是真正令人兴奋的领域。

思考的并非只有我一人。

游戏化能让枯燥的任务变得充满乐趣，让人欲罢不能——人们会不断游玩、渴望胜利、追求进步。看看《精灵宝可梦GO》的做法！就连最懒惰的人也会外出寻找幻想生物，而FitBit步数达成目标已成为许多人的日常追求... 当这些目标未能达成、连胜终结、未能获得徽章时，强烈的挫败感便会袭来。

那么，让我们回到安全培训的话题。我们已向众多客户证明，游戏化能够真正改变组织的安防文化，在应用安全团队与开发团队之间架起桥梁，并有助于整体提升软件构建水平。

目前，安全性并非开发者的优先事项。通过在训练方法中融入亲和力强、极具竞争力且引人入胜的元素，不仅能让玩家享受游戏过程，更能激发他们获取更多积分、打破高分纪录、提升精准度，并为挑战队友而不断回归的动力。

我们已经知道，训练成功后将会出现以下情况。

• 开发者可以使用实际代码或自定义语言/框架进行工作。
• 课题简短，涵盖了所有常见的安全漏洞。
• 挑战始终在扩展和更新，因此开发者可以持续投入时间来磨练技能。
• 课题的复杂程度各不相同，因此对高级开发人员和经验尚浅的开发人员都具有吸引力。
• 开发人员及其经理可以查看进度情况，包括已完成的任务、优势与不足、培训所耗时间以及整体准确性等。

某大型客户充分展现了游戏化平台的真正魅力，为开发者准备了主题团队装备，并为游戏胜者提供了丰厚奖品，使赛事成为一场难忘的盛会。自此之后，他们持续举办国际赛事，至今整个团队仍在投入大量时间进行专业训练。

您自身的软件革命由此启程。澳大利亚银行业正以颠覆传统（或枯燥）培训的真正创新方式，率先采用游戏化培训对抗不良代码。快来看看客户在培训中如何突破——晋级更高阶的竞技场。准备好了吗？与我们携手，让团队升级进阶？

我们必须转变思路，努力将安全防护融入每位开发者的日常工作中。我认为实现这一目标的最佳途径之一，是通过游戏化等手段赋予开发者安全相关的权限，使其主动参与其中。

9月3日，我和团队的几位成员出席了由澳大利亚《首席安全官》杂志主办的卓越安全奖颁奖典礼。这场2019年女性网络安全奖是澳大利亚首批同类奖项之一，既是对网络安全领域女性贡献的礼赞，也表彰了那些常被忽视却成就斐然的杰出工作者。该盛会汇聚了业内备受推崇的顶尖安全精英，既是庆祝女性在网络安全领域贡献的盛典，更是为那些常被忽视却成就斐然的女性提供展示卓越才能与创新精神的期待已久的平台。

Secure Code Warrior客户成功副总裁（又名首席酷炫官）Fatemah Beydoun堪称当日不可或缺的核心人物。她不仅发表了主题演讲，面向未来的指导：我们如何才能更好地培养女性网络安全人才。尽管十二分钟的演讲时间难以充分展现她多年来对我们及整个网络安全行业的影响，但她无疑见证了重大的积极变革。

更具包容性的方法。

「在这个行业起步时，我是团队里为数不多的女性之一。」法蒂玛说道。由于多数社交场合以男性为主导，要参与其中结识合适人才并展现商业价值实属不易。我努力改变这种局面，致力于打造尽可能包容的空间。

例如，我经常参加行业活动，但许多企业的展位为吸引眼球而雇佣促销模特。理论上这无可厚非，但由于我显然不属于目标客群，常常遭到忽视。职业生涯早期我曾负责活动运营，那时就立誓要创造更具包容性且充满乐趣的方式来聚焦我们提供的服务。

法蒂玛与我共事多年，她始终致力于维护我们在业务拓展过程中所秉持的包容性与多样性原则。这不仅持续拓展了团队中女性的发展路径，确保她们的重要贡献获得认可，更通过多元化的方法、观点和人生经历，使团队成员获得成长与蜕变。

「当然，没有人愿意成为表面上的女性代表，」法蒂玛说道。「但问题在于，缺乏多样性的管理层往往倾向于将领导权移交给那些在个人层面能引发共鸣、与自己相似的人。这些管理层虽然能从女性基于功绩和技能的贡献中获益，但多数情况下，他们很难倾听女性的意见。当管理团队意识到多样性带来的优势（这超越了性别范畴）时，往往会开始提拔那些准备就绪、积极进取且能力出众的女性——她们正是为组织开拓新道路、创造卓越价值的关键力量。」她补充道。

职场灵活性：成功的关键要素

在创立自己的公司时，我很快意识到团队成员只有在能够喘息喘息时才能发挥最佳工作状态。灵活性对每个人都很重要，而支持在职家庭的政策有助于留住关键人才。

最初引入的政策之一是婴儿随行政策。该政策通过提供必要的灵活性，使职场母亲能够在无需顾虑的情况下将婴儿带到工作场所，从而帮助新生儿更快地重返职场。

「我不想被迫在成为母亲和事业之间做出选择。能够带着年幼的儿子去工作，让我感受到被支持和珍视，这真是积极的转变，」法蒂玛说道。「我的专业能力不会因生育而消失，作为初创公司的创始成员，我只是想回来继续奋斗！」

她也有同样的看法，在接受ABC新闻采访时谈到了灵活工作的优势：

导师文化盛行吗？

在开启精彩职业生涯并保持发展势头之际，寻求导师指导对他们而言是绝佳选择。但在IT、网络安全等男性主导的众多领域，女性高管比例远低于男性，这可能带来一定挑战。

女性在领导岗位上发现"自我"固然重要，但男性也可以通过提拔团队中的优秀女性，并在可能时担任导师来提供支持。

"领导团队不仅能显著推动组织多元化，更能确保优秀女性获得最应得的评价与职业发展路径。捷星航空网络安全负责人伊维特·鲁金斯正是如此践行。作为女性权益倡导者，她通过自身成就与努力开辟道路，助力更多女性自信地迈向领导岗位。"法蒂玛如是说。

目前，我们刚刚庆祝Secure Code Warrior的员工人数达到100人。我们自豪地宣布，女性员工占比已超过50%。Fatemah是所有人的优秀榜样，也是杰出的导师。

每家企业都拥有无法估量的团队多样性优势。将优秀创意转化为卓越创意的关键，在于汇聚不同领域的多元观点。一如既往，我们团结协作，方能更加强大。

众所周知，蟑螂几乎能在任何环境中生存——甚至核爆也不例外。虽然该理论仅在一定程度上成立，但其简单的身体构造使其相较体型极为强韧，在多数环境下都难以彻底根除。

我一直在思考...如果说数字世界中存在与蟑螂相当的生物，那无疑就是代码中的SQL注入（SQLi）漏洞。这种漏洞已存在二十余年，但各类组织仍屡屡中招。其危害范围之广，既体现在针对目标的昂贵攻击案例中，也体现在SQL注入引发的选举黑客事件里——伊利诺伊州20万选民记录遭泄露后，联邦调查局紧急敦促所有IT管理员立即加强安全防护。

Imparva黑客情报计划报告显示，在2005至2011年间，83%的已报告数据泄露事件都使用了SQL注入攻击。时至今日，注入漏洞仍是全球最大的安全威胁之一，位列OWASP十大安全漏洞榜单。这类攻击手段虽然相对简单，却始终难以根除。

同样的漏洞至今仍在大量应用程序安全扫描中出现，这简直荒谬至极。我们明明了解其运作机制和防范方法，为何仍会发生？事实上，我们的软件安全体系存在着巨大的改进空间。

VeraCode软件安全状况报告——基于2017年40万次应用程序扫描的惊人统计数据显示：仅有30%的应用程序通过了OWASP十大安全政策测试。这一现象在过去五年中持续存在，近三分之一的新扫描应用程序存在SQL注入漏洞。这充分证明了问题的普遍性。我们并未从过往错误中汲取教训，首席信息安全官（CISO）在获取足够安全人才方面似乎正面临艰苦的斗争。通常情况下，应用程序安全专家与开发人员的比例达到1:100仍显不足。

为什么在生命维持装置中采用软件安全技术？

众所周知，安全专家严重短缺，但开发人员即使发现问题也未予修复，更明显的是他们根本不具备防范漏洞的机制。Veracode的同一份报告显示，在所有开发漏洞中，仅有14.4%记录了缓解措施。这意味着绝大多数漏洞都是在缺乏开发缓解措施的情况下提交的。在最初90天内被修复的漏洞不足三分之一，而开发周期内未修复的漏洞占比高达42%。

我经常与安全专家、首席信息安全官和首席执行官交流，但有趣的是，我注意到许多企业（除了误报带来的灾难之外）对发现的无法缓解的漏洞数量感到不满，甚至完全停止了扫描，转而寄希望于最好的结果。

为什么应用程序安全专业人员会导致这种情况发生呢？

毫无疑问，应用安全团队成员深切体会到代码中的问题。毕竟，这正是他们核心技能之一，也是他们成为团队宝贵资源的关键所在。然而，他们的工作常常受到若干因素的阻碍。

例如，应用安全经理发现问题后，会询问开发人员："能否修复代码？"。虽然不同组织对这个关键问题的回答各异，但通常开发人员因忙于应对严格的功能交付冲刺周期，既没有解决问题的时间，也没有合适的辅助工具。应用安全专家自身或许能识别漏洞，但往往缺乏即时修复所需的技能或访问权限。

此外，还需认识到所有问题都存在一个寻找解决方案、实施并测试的过程。即使代码中发现的只是微小问题，其修复所需的时间也难以估量，更不用说所需的资源了。软件存在超过700种漏洞，但仅凭一人之力根本无法防御所有漏洞。正因如此，多数企业始终固守OWASP十大漏洞防护准则。与此同时，开发者仍在持续构建功能，最终将漏洞不断引入自己编写的代码中。

解决方案是什么？

简单的事实是，我们并未为开发者提供实现安全编码所需的工具和培训。组织中不存在强制开发者掌握充分安全技能的法规。更令人遗憾的是，绝大多数大学和实习项目都未能为初级开发者做好安全编码的准备工作。

当有人想驾驶飞机时，必须经历极为严格的流程：飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下，竟会被放任到天空中。然而在编写代码时，这种情况却屡见不鲜。

我们需要投入时间对开发人员进行安全编程教育。但在当今这个软件开发节奏快、优秀开发人员和安全专家短缺的世界里，这似乎永远不会成为优先事项。现在正是改变这种状况的时候了。

世界经济论坛近期标题呼吁："没有安全保障，数字经济便无从谈起"，并在相关报道中强调安全必须成为所有数字化转型战略的核心。"安全不仅是企业的保护伞，更能推动企业创新、构建新产品与服务。安全不仅具有防御功能，更能为企业战略性增长创造竞争优势。"

通过提升安全编码技能与成果，组织将获得强大的网络防护能力，从而能够编写更优质、更高效的代码。开发者无需成为安全专家，但但要成为抵御网络攻击的前线力量，必须具备主动实践的权限。开发者完全可以成为安全与创新领域的下一个英雄——他们才智过人，是富有创造力的问题解决者，且普遍热衷于技能提升。请通过专业培训激发他们的优势，推动其践行更高的软件安全标准。阅读白皮书了解更多详情。

当有人想驾驶飞机时，必须经历极为严格的流程：飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下，竟会被放任到天空中。然而在编写代码时，这种情况却屡见不鲜。

流行文化中充斥着关于邪恶AI、机器人以及攻击人类主人的家用电器的描述。这些内容深深浸染着科幻的趣味与幻想色彩，随着物联网和联网设备在家庭中的普及，关于网络安全与防护的讨论也应随之普及。软件无处不在，我们常常忘记自己依赖多少行代码来实现那些带来创新与便利的精妙功能。正如基于Web的软件、API和移动设备一样，嵌入式系统中的脆弱代码一旦被攻击者发现，就可能遭到利用。

微波军队奴役人类的可能性较低（不过特斯拉机器人确实令人有些担忧），但网络攻击引发恶意网络事件的风险依然存在。我们的汽车、飞机和医疗设备中，有些依赖复杂的嵌入式系统代码执行关键任务，这些设备遭到入侵不仅令人忧心，更可能危及生命。

与市面上其他类型的软件一样，开发者在创建阶段最初接触代码。同样地，与所有其他类型的软件一样，这段代码也可能成为阴险且普遍存在的漏洞温床，这些漏洞在产品发布前可能无法被发现。

开发者并非安全专家，因此任何企业都不应期望他们承担此类职责。然而，开发者能够掌握更强大的工具来应对与自身相关的威胁类型。随着技术需求的持续演进，嵌入式系统（通常采用C或C++编写）的使用频率日益增加，针对该环境工具的专业安全培训对开发者而言至关重要。

爆炸的空气炸锅、恶棍车辆... 坐着的是鸭子吗？

虽然现有的安全开发标准和法规在保护我们安全方面发挥着作用，但要真正保障各类软件安全，我们仍需取得更精准、更有意义的进展。想象有人通过黑客手段操控空气炸锅引发的问题或许难以置信，但现实中确实发生过——远程代码执行攻击（攻击者可将温度升至危险水平）同样会导致车辆被劫持的漏洞。

车辆尤其复杂，搭载着多个嵌入式系统，每个系统都处理着从自动雨刷到发动机、制动功能等所有精细操作。互联车辆与不断增长的通信技术栈（如Wi-Fi、蓝牙、GPS等）相互交织，已成为暴露于多重攻击路径的复杂数字基础设施。预计到2023年，全球将有7630万辆联网汽车行驶在道路上，这构筑了实现真正安全防护的坚实基础。

MISRA是制定嵌入式系统代码安全、安全性、可移植性和可靠性指南的主要组织，积极致力于对抗嵌入式系统的威胁。这些指南是所有企业在嵌入式系统项目中应遵循的基准北极星。

然而，要编写并运行符合这一黄金标准的代码，不仅需要具备安全意识，更需要对工具充满信心的嵌入式系统工程师。

嵌入式系统的安全技能提升为何如此具体？

C和C++编程语言虽在当今标准中属于老牌语言，但至今仍被广泛使用。嵌入式C/C++构成了嵌入式系统代码库功能的核心，作为互联设备世界的一部分，它正过着现代而辉煌的生活。

这些语言根源深远，在注入缺陷、缓冲区溢出等常见问题上展现出相似的脆弱性行为。但要真正降低嵌入式系统的安全漏洞风险，开发者必须实际使用模拟工作环境的代码。在常规安全实践中，通用的C语言培训远不如在嵌入式C环境中投入额外时间和精力来得有效且令人难忘。

现代车辆搭载着数十至上百个嵌入式系统，因此开发人员必须接受精准培训，明确在集成开发环境中应查找何种问题以及如何进行修正。
‍

保护嵌入式系统免受一楼影响是每个人的责任。

在许多组织中，至少就开发人员的职责而言，开发速度优先于安全性的现状依然存在。编写安全代码的能力很少受到重视，而快速开发出优秀功能才是黄金标准。尽管对软件的需求持续增长，但这种文化正导致我们在对抗漏洞及其引发的网络攻击时节节败退。

即使开发人员未接受过培训，这也不应归咎于开发人员。AppSec团队的成员需要通过向整个开发社区推荐适当且易于获取（更不用说可评估）的技能提升计划来弥补这一缺口。在软件开发项目的初期阶段，安全性应成为首要考量事项，所有人员——尤其是开发人员——都应获得履行职责所需的必要支持。

亲身体验嵌入式系统的安全问题

缓冲区溢出、注入漏洞和业务逻辑缺陷都是嵌入式系统开发中的常见陷阱。一旦这些漏洞深埋在车辆或设备中微控制器错综复杂的内部结构中，从安全角度来看就可能引发重大灾难。

缓冲区溢出问题尤为频发。若想深入了解前述空气炸锅如何暴露安全隐患（导致远程代码执行），请查阅关于CVE-2020-28592漏洞的报告。

那么，让我们通过实际的嵌入式 C/C++ 代码来亲身体验缓冲区溢出漏洞。请尝试这个挑战，看看能否找出、定位并修复导致这个棘手漏洞的糟糕编码模式。
‍

怎么样？访问www.securecodewarrior.com我们将提供准确有效的嵌入式系统安全培训。

本文最初发布于 DevOps.com。并进行了更新与修订。

与「区块链」、「大数据」、「数字颠覆」类似，「DevOps」这一术语是当前大型组织IT部门中另一个流行的术语。

许多企业（正确地）认识到，软件开发生命周期作为一种更精确的流程，能够与业务目标紧密结合，实现更清晰的工作流，并促进开发团队与运维团队之间的协作。DevOps本质上是"敏捷"开发，它使所有成员都能成长，持续创新，并随时准备应对现代业务对快速部署的需求。对安全专家而言，这无疑是重大利好。通过在更早阶段将安全机制融入流程，既能降低漏洞修复成本，又能规避未来可能发生的重大灾难。

问题在于，真正成功实施DevOps的企业寥寥无几。若缺乏全公司范围内的充分支持、培养和理解，整个项目转眼间就会回到原点。众所周知，这属于"战争自不必说"的项目类型。

那么，问题出在哪里呢？这确实是个值得探讨的话题。我认为在DevOps实践中，存在若干方法能显著促进更顺畅的转型。有效的实施计划绝非仅靠炫目的新工具、花哨的头衔或团队会议就能达成。虽然过程未必轻松，但通过持续修正失败的策略（或从一开始就采用正确方法），长期来看能大幅减轻痛苦。最终，这将催生出更高质量、更安全的软件产品。

让我们来分解一下：

请松开「敏捷」围裙的系带。

存在一种误解，认为组织必须在敏捷与DevOps之间二选一，开辟一条道路后就永远不能回头。

关键在于，开发流程在将两者融合考虑并实施时才能发挥最佳效能。DevOps并非对敏捷开发的重新发明，而是敏捷开发的延伸。若过度依赖流程，往往会导致脱轨——要么完全背离敏捷，要么彻底背离敏捷。

敏捷开发支持跨职能团队原则，将设计师、测试人员和开发人员从项目初期就紧密结合，并确保整个项目周期保持开放的沟通渠道。其目标在于消除孤岛式交付并减少重复工作——这两点同样是DevOps流程的优势所在。然而DevOps更进一步，通过整合系统、安全与运维能力，构建出坚实可靠的端到端技能体系，其终极目标是向客户交付完整且可运行的软件产品。

在向更注重DevOps的流程转型这一不可避免的进程中，孤岛式开发带来的风险可能再度加剧。许多情况下，原有的敏捷团队虽已开始协作，但由于安全与运维环节尚未深度融入系统，各方对具体实施方式、工作重点及整体目标仍缺乏共识。

DevOps若没有明确的目标、跨部门的入职流程以及与所有相关方的直接沟通，便无法有效运作。虽然需要经过需要谨慎变更管理的协调期，但让所有人达成共识——即DevOps功能带来的增强——这仅仅是成功的一半。

DevOps作为流程的一部分，开始着重强调安全最佳实践，清晰阐述其步骤，从而弥合安全团队与其他成员之间的隔阂（这点值得庆幸）。正如前文所述，要让开发人员从一开始就实现安全编码仍需时日，但成功实施DevOps方法论，将为在开发团队内部构建安全技能奠定坚实基础。

自动化并非万能（也并非最安全）。

DevOps方法论的另一大特征是软件开发流程的高度自动化。持续集成与持续交付（CI/CD）原则构成了这一理念的基础，正如您所料，其实现高度依赖于工具支持。

这些工具堪称卓越，确实如此。它们能够相对无缝地管理代码仓库、测试、维护及存储等各个环节，从而为软件交付流程带来前所未有的速度。

然而，机器人终将夺走我们所有工作并囚禁人类——尽管这尚未成为现实。过度依赖工具与自动化会大幅增加错误概率。扫描与测试无法检测所有问题，代码可能未经检查就投入使用，最终导致质量（更不用说安全性） 将面临巨大风险。攻击者只需找到一个后门便可窃取数据。若在质量管理和安全管理中忽视人为因素，可能招致灾难性后果。

「快乐媒介」旨在协调人们的平衡，同时也是工具。工具应当作为可靠团队的助手，助力项目达成目标。它需要做到以下几点：

• 请为熟悉所选的DevOps工具链预留充足的时间。
• 聚焦于高效协作（以及工具如何支持协作）
• 无论是基于技能/知识的，还是基于工具的，我们都能处理流程中的所有差距。

简而言之，仅靠“工具升级”来期待最佳结果是不够的。

DevOps并非流行语，而是文化。贵公司的成长是否正在推进？

变更管理即使在最佳时机也充满挑战。对未知的恐惧可能阻碍最优秀的团队成员提升技能、拓展视野。

看，仅仅喊着"搞DevOps"就让运维团队搬个办公桌，并不能让流程神奇地运转起来。这会让很多人感到困惑，让资深团队成员心生不满。传达期望至关重要，"逐步推进"同样关键。DevOps既是开发方法论，也是文化运动。团队必须贯彻跨部门协作的思维方式。

什么是优秀的DevOps文化？

• 不仅是领导者，个人也获得将自身专业知识融入流程的权限。
• 团队间开放、真诚且相互尊重的沟通
• 在开发流程中融入质量与安全这一总体目标，需由每个人承担责任。
• 关于DevOps在业务中的定义、路线图以及各人的职责方法/内容/理由，全体成员都持有相同的认知。

多年来，我一直强调在开发团队中建立积极的安全文化的重要性，而DevOps也不例外。

要实现安全最佳实践，确保发现的漏洞数量减少，并让团队关注数据保护的重要性，必须具备适当的工具、知识和支持。在DevOps中，需要建立实现积极变革的文化基础。这意味着必须让每个人都能理解自己的职责、价值、期望、项目整体目标以及流程步骤。

掌握这些了吗？太棒了。那么现在让我们转变策略，进一步强化安全防护，将DevSecOps打造为软件卓越的终极蓝图。

无聊、无聊、无聊！每当提及安全编码培训时，这都是开发者最常给出的回应之一。Secure Code Warrior坚信存在更优解，因此我们与Evans Data Corp.合作开展了首次调研（下载白皮书），旨在探究开发者对安全编码、安全编码实践及安全运维的态度。 此处)。

即将发布的《从应对转向预防：应用程序安全态势的转变》报告中，当我们询问开发人员当前安全编码培训的主要问题时，答案显而易见。

让开发者失望的培训

40%的受访开发者表示，安全编码培训仿佛是在真空中进行的。另有40%认为培训过于理论化，与实际工作脱节，且"实践性"不足。30%的受访者坦言，针对日常使用的语言和框架的培训严重不足——这情况令人担忧。因为当前的安全编码培训往往缺乏上下文关联，无法与开发者日常实践建立实质性联系。框架的培训不足。这很严重，因为当前的安全编码培训缺乏上下文关联性，未能建立与开发人员日常实践的实质性联系。

对许多开发者而言，他们的主要挑战在于如何在那些令人昏昏欲睡的无人干预活动中保持清醒。这些活动既缺乏效率，也无意将安全性置于首位。

在孤立的环境中进行培训时，开发者将无法在认知层面将实验室与现实世界建立联系。

开发者对安全编码培训的三大诉求：

1. 压倒性多数的开发者表示，他们更需要实用性更强、更贴合实际情况的日常工作培训。
2. 65%的开发者表示需要更多关于语言特有的 漏洞和OWASP十大漏洞的培训。
3. 75%的受访开发人员希望接受系统化的实地培训。

激励开发者的培训

关于OJT（在职培训），开发人员通常具备一定经验和既有知识储备。这表明需要采用"基于支架"的学习模式——即在开发人员已掌握内容基础上构建的培训体系。支架式教育既能激活并提升既有经验，又能持续渐进地培养新技能，因此成为在职培训的最佳方式。

定型技能的传授

关于开发者的安全培训，我们发现开发者更倾向于实践学习方式，而非基于理论的枯燥静态学习。因此，在高度相关的、情境化的环境中学习安全编码方法至关重要。作为安全编码变革的推动者，Secure Code Warrior通过情境化实践教学，针对开发者在现实世界中面临的挑战，提供与相关编程语言和框架相结合的培训。学习内容涵盖5,500多项课题与任务，针对147种以上不同漏洞类型，包括关键的OWASP十大漏洞、OWASP移动十大漏洞、OWASP API安全十大漏洞以及CWE/SANS前25大漏洞等。

若需评估对团队的潜在影响以及更快速交付安全代码的能力， 立即预约演示 。

大家、イルアDevOps 亲和和和和物大和和和物番付录ジャニニセブンキラー。这个世界，是桑尼与召唤师扎扎扎扎普恰恰普桑、蒂莎蕾。大家、イルアDevOps 亲和和和和物大和和物番付录ジャニニセブンキラー。此世，サニー与サモナーザザザザプンチャチャプサン、ティシャレニニニササササカノザザザン。、然而，若未至此境地便吱吱作响（且年岁渐长，生命如白驹过隙），马菲娜シダチダイ。

2008 KRWODELYAMさん、那边的，那那那。1:100 做到十分到位。专属的「2008」

Secure Code Warrior总监（美洲）Stephen Allor与Capital One Lwec的Luss Wolfeshinali、DevOps SWalfewecwalisionali、DevOps SWorfewebalisionali、DevOps SWarrierwinalin，以及Capital One Warrior的Warrior（美洲）Stephen Allor与Capital OneWorfewecwinali、Stephelwwwecyi、Capital One Warrior制度（美洲）及Capital One Worfewperinaly，Stephen Allor

再见了，白。

• Techer的「黑色咖啡」草坪会
• 这是十年前与今日的纪念。
• せつの「rekox」appsec×ex x、以及 etreぜぜぜぜきめきりぜぜぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんめん
• 大成成巴吉塔卡萨卡萨卡萨。哔哔哔哔哔哔哔，哔哔哔哔哔哔哔，哔哔哔哔哔哔哔。
• 大成之为为为成为为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为成为
• 2泊8时轮轮轮轮轮车、新品同状
• 金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金金
• 软件中漏洞的增加及其根本原因
• 、
• 在大西洋赛马场也沾点边，新酒下饭也喝得酣畅淋漓。
• 我变得很奇怪了，对不起对不起，"咚咚"，"咚咚"
• 资本一号的拉斯·沃尔夫先生，四亿日元，噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗噗��
• 无、品保持、
• 在センブル，如同新品一般，简直乱七八糟，
• 演讲

蛇草是一种萨德，由影子、西迪亚斯·达因达内迪·德赫2凯帕尔与沙金·德赫达·赫迪格克/因达·赫迪格克构成。

在Capital One这样的地方，DurfstonJoquitoquiturfuriy、「exedaKitaJerquid」

サイバーセキュリティ攻撃の増加とその巧妙化は、世界中のあらゆるセクターと業界に変化をもたらしています。誰もが「左にシフト」し、できるだけ早くすべてのプロセスと手順にセキュリティを組み込もうとしています。この状況は、サイバー防御の強化を目的としたまったく新しい動きをも助長しています。 DevSecOps など新しいソフトウェアやアプリケーションの作成という構造そのものにセキュリティが組み込まれています。

こうした変化の多くは、開発者コミュニティの足元に降りかかっています。新しいソフトウェアやアプリケーションの作成、作成、コーディングを行うのは彼らなので、より安全なコーディング方法を採用するよう彼らに求めるのは素晴らしいアイデアのように思えます。結局のところ、新しいアプリケーションが最初に作成されたとき以外は、左にシフトすることはできません。

しかし、開発者コミュニティはその責任についてどう感じているのでしょうか。従来、開発者はコーディングの速さだけで評価されてきましたが、セキュリティチャンピオンとしての新しい役割について、開発者は現在どう考えているのでしょうか。そして、自社の経営陣は、質の高いトレーニング、充実した報酬、そしてこの重要な新しい責任を引き受けたことに対してふさわしい評価を得て、こうした取り組みを支援していると感じているのでしょうか？

2年目となる今回は、Evans Data Corp. と提携して、セキュアコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル（SDLC）に与える影響と関連性について、世界の開発者コミュニティを対象に包括的な調査を実施しました。結果は多くの点で非常に驚くべきものでした。

2022年の開発者主導型セキュリティ調査の現状

「セキュア・コード・ウォリアーの開発者主導型セキュリティの現状調査」は、2021年12月にEvans Data Corpによって実施されました。アジア太平洋地域、ヨーロッパ、北米で働く1,200人の現役ソフトウェア開発者に、ソフトウェアコーディング、セキュリティ意識、トレーニング、サポート、モチベーション、その他の問題に関する質問が行われました。調査は英語で行われ、正確なグローバルな視点を得るために必要に応じて翻訳されました。調査の回答者には、新しいアプリケーションを作成している開発者だけでなく、開発コミュニティ内のマネージャーも含まれていました。

いくつかの驚くべき発見

調査のあらゆる側面を掘り下げた詳細なホワイトペーパー（ソフトウェア・セキュリティを向上させるための課題（および機会））とレポート（「開発者主導型セキュリティの現状」、2022年）は、4月11日（月）に発表される予定です。。このホワイトペーパーには、安全なコーディング手法に関してコミュニティから寄せられた調査結果と懸念の分析と、開発チームがソフトウェアセキュリティを向上させるための組織への推奨事項が記載されています。

これらの課題の中には、自分の組織で開発者と関わっている人だけでなく、開発コミュニティにいる人にも疑問を投げかけるものがあります。確かに私たちのためにもありました。

たとえば、今日の最優先事項としてアプリケーションセキュリティを挙げている回答者はわずか14％でした。代わりに、アプリケーションパフォーマンスや機能の優先順位付けなど、より伝統的な指標が引き続き全体的な焦点となっています。

セキュリティの優先度は非常に低かったため、調査対象の開発者の 67% が、既知の脆弱性やエクスプロイトをコードに日常的に残していると回答しました。その理由は、締め切りが厳しい、セキュリティよりも機能を優先している、あるいは単にセキュリティ問題を解決する方法について必要なトレーニングや知識を持っていなかったからです。

多くの場合、開発者は、自社の組織がセキュアコードの構成要素を定義しておらず、状況を変えるための適切なトレーニングやサポートを提供していないと述べています。

しかし、いくつかの否定的な調査結果にもかかわらず、態度が変化していることも明らかでした。開発者の大多数 (66%) は、今後12～18か月でセキュリティがより優先されるようになると予想していました。一方、調査に回答した採用マネージャーの 82% は、セキュリティについて知らない開発者よりもセキュリティを知っている開発者を採用することに関心を示しました。

調査結果から、開発者コミュニティと彼らが協力する組織が大きな変化に直面していることは明らかですが、ありがたいことに、短期的および長期的な将来の計画も急速に形になりつつあります。

現在の安全なコーディング手法に関する課題や、組織が開発者のセキュリティスキル、そして最終的にはソフトウェアセキュリティを向上させるために利用できる機会について、調査結果の詳細を詳述したホワイトペーパーとレポートにご期待ください。

をチェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。

‍

近年来，为缩短产品上市时间，我们牺牲了太多——网络安全、数TB级机密客户数据、珍贵的品牌声誉等。在必须加速新功能发布的 巨大压力下，复杂分散的团队几乎无暇顾及潜在漏洞与巨大风险，只专注于快速开发。 如今，我们比以往任何时候都更需要新的工作方式。因此，Secure Code Warrior Data Corp.合作，针对开发人员及其管理层对安全编码、安全代码实践及安全运营的态度展开了调研*（下载白皮书）。 此处)。

项目成功的绩效指标——安全措施应如何部署？

开发人员和管理人员认为拥有安全的代码很重要，但不如其他要素重要。当被问及软件开发过程中最重要的优先事项时，开发人员和管理人员表示：

• 76% 的提名应用程序性能
• 62% 选择了特征与功能
• 然后，50%以上的安全代码被选中。
  

与其他衡量项目成功的绩效指标相比，安全编码目前仅位列第三。

现在，或许不足为奇的是，开发者仅依据项目结束后的代码评估绩效指标来判断项目成功与否。

然而，当被问及未来将如何变化时，情况发生了逆转。组织将安全视为成功指标的方式正在改变。安全编码正成为首要任务。

当被问及衡量未来项目成功最重要的优先事项时，79%的受访者认为安全编码的重要性将日益凸显。更令人惊讶的是，相当比例的受访者表示未来安全性的重要性将超越其他所有绩效指标。安全编码意识正在增强，"左移"趋势日益显著。安全编码的本质要求在软件开发生命周期（SDLC）早期阶段就纳入安全考量——这意味着不再将安全置于次要地位，而是主动将其融入软件开发的每个环节。

随着首席信息官努力提升组织的敏捷性，安全编码能力将成为重要的创新武器。首席信息官和首席信息安全官需要仔细考虑开发团队是处于风险最前线还是防御最前线。

这一洞察对组织如何培训开发人员具有重大影响。团队需要学习近期发现的漏洞，并掌握在各自语言和框架中的应对方法。这意味着在日常工作中，必须理解如何发现、识别并修复代码中的已知漏洞。

作为安全编码变革的推动者，Secure Code Warrior采用以人为本的方法，积极引导开发者掌握并构建安全编码技能。若想了解在不损害安全性的前提下，这种方法如何提升团队以"左撇子"方式更快发布安全代码的能力， 立即预约演示。

‍

从应对转向预防：应用程序安全格局正在发生转变。安全代码战士与埃文斯数据公司 2020