일부 CISO는 보안 기술 부족을 기회로 바꾸고 있습니다.
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
개발자들이 처음부터 보안 코드를 작성할 수 있도록 하는 것은 CISO가 보안 문제로부터 사전 예방적 통제권을 확보할 수 있는 기회이며, 보안 팀과 개발 팀 모두에게 빠르고 쉽고 측정 가능한 개선을 제공할 수 있는 기회입니다.
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
当我本周前往旧金山参加RSA时,我正准备与CISO们进行大量的讨论。这可能会让你感到惊讶,但这些天与许多CISO的对话并不愉快。
他们知道安全风险正在增加,但许多人看不到安全改进的机会,反而认为他们的组织比以前更容易成为数据泄露或网络安全攻击的受害者。
在我平时与CISO的谈话中,最常见的主题之一就是他们对网络安全技能短缺问题的担忧。
"我们的安全团队对于我们的工程团队或公司的规模来说还不够大。"
"我们的安全团队不断被海外公司挖走,他们提供非凡的薪资待遇,以及工作和探索其他大陆的机会。"
"我们的安全专家忙于救火,无法保持他们的技能发展"。
这一主题得到了一些研究报告的支持,包括2017年Ponemon研究所的调查,其中 "缺乏有能力的内部工作人员 "在2018年CISO网络安全关注的所有其他形式中居首位。
这种关键的安全技能差距不可能很快消失,特别是在像澳大利亚这样的市场,最聪明的人才经常转移到海外,而移民法使得将外国安全专家引入该国变得越来越困难。
澳大利亚技能短缺的一个有趣之处在于,缺乏招聘技术专家的能力导致了对国家安全技能建设的一些积极关注。正如本杰明-富兰克林(Benjamin Franklin)所说,"逆境中产生机会"。澳大利亚政府、教育机构、企业和初创企业正在制定计划,在当地培养一系列的安全技能。
安全技能的逆境肯定会带来机会,其中一个领域是在内部和外包开发团队中发展安全编码技能。鉴于世界上大多数主要的安全漏洞可归因于编码错误,并且平均漏洞成本为360万美元,软件安全无疑是安全挑战的重要组成部分。在应用安全预算中,最大(且不断增加)的支出之一是用于被动的应用安全识别和补救,往往是年复一年地发生同样的老错误。
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
这并不意味着用开发人员取代安全专家,但它确实意味着让开发人员参与到安全问题中来,使安全成为他们日常思维的一部分,并教会他们以一种有趣、有效和高效的方式进行安全编码。其结果是,稀缺的安全专业知识可以更好地用于寻找和修复真正具有挑战性的、复杂的漏洞,而不是处理那些老旧的漏洞。
对于一些CISO来说,这可能听起来好得不像真的,或者太难实施,但事实是这两者都不是。在Secure Code Warrior ,我们已经看到越来越多的CISO接受了这个机会,并在这个过程中改变了安全和开发团队的工作生活。
在全球范围内,有一群CISO带头在其软件开发人员中培养强大的安全思维和技能,他们就是澳大利亚银行。早在2016年和2017年,澳大利亚银行就是这种方法的早期采用者。该国的六大银行现在积极鼓励和吸引他们的开发团队通过我们的在线、自定进度、游戏化的学习环境建立安全编码技能。这些银行还定期审查实时指标和报告,以验证其开发人员和团队的优势和劣势。
这种方法产生了切实而积极的结果,包括减少常见漏洞的发生、提高开发人员的安全意识以及改善安全和开发团队之间的关系。那些投资于教他们的开发人员安全编码的公司将减少他们现有的安全人才的压力,以及减少他们通过软件不安全的风险。
如果你是一名CISO(或认识一名CISO),对你的组织内的安全状况感到沮丧,我鼓励你考虑一个直接的方法,以获得一些积极和切实的安全改进点。让你的开发人员以一种相关的、积极的和有趣的方式来学习安全编码。你的安全和开发团队会为此感谢你,你也会在产品创新和开发方面减少成本和延误。我敢打赌,这将为许多积极的安全对话铺平道路 ....
赋予开发人员从一开始就编写安全代码的权力,是CISO从安全困境中抓住一些主动控制的机会,在这里有机会快速、容易和可衡量的改进",对安全和开发团队都是如此。
有助于开始的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
