'보안'은 더러운 단어가 아닙니다: 긍정적인 접근 방식이 보안 프로그램을 혁신하는 방법
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
저는 양쪽 입장을 견지해 왔기 때문에 보안 모범 사례를 유지하는 데 있어 개발팀과 AppSec 전문가 간에 발생할 수 있는 긴장감을 너무나 잘 알고 있습니다.하지만 더 나은 접근 방식이 있습니다.
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
原文发表于 报道.
我曾经站在围栏的两边,非常了解在维护安全最佳实践方面,开发团队和AppSec专家之间可能出现的紧张关系。
这很难;在一天结束时,开发人员的主要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的功能。如今,随着敏捷开发实践的开展,这些功能必须在严格的期限内完成......而在如此多的利害关系中,安全问题很少被放在首位。
安全被看作是AppSec团队的领域,他们的任务是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子,把他们的好工作挑出来,阻止创新,一般来说,给开发者带来了头痛的问题。在一天结束时,许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。
但是,问题就在这里。由于 "安全 "是负面体验的代名词,开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生:毕竟,AppSec的人不断地遇到同样的问题。对他们来说,在我们第一次发现SQL注入缺陷(以及随后的修复)的20多年后,仍然指出这些缺陷,一定是很令人抓狂的。
迄今为止,我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁,努力建立一种积极的安全文化,让开发者获得工具和培训,在这个领域发挥真正的影响。
谁知道呢?他们甚至可能像我一样爱上它!
正面安全是提高应用安全的最快和最简单的方法
不,这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。
开发人员从生产的一开始就掌握着提高安全性的关键,首先是编写安全的代码。通过创造一种积极的安全文化,让开发人员对应用程序的安全感到兴奋,常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。
修复已经提交的代码中的漏洞的成本要高出30倍,因此,找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都与安全最佳实践保持一致时,积极的安全文化就是一个快乐的、重要的副产品。
积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键,同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们,了解开发者安全关系的发展概况,以及在您的组织中成功推出安全意识计划的想法。
有助于开始的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
