绝不能忽视网络安全中人为因素的原因
我们最近有幸见到了第一件作品。这篇文章由福布斯科技委员会主席兼首席执行官彼得·丹尼厄斯亲自撰写。文中详细阐述了提升开发者技术能力、编写更安全代码对防范网络攻击和数据泄露的重要性。同时我们也了解到,具备安全意识的开发者如何能帮助企业更快地交付比多数IT部门预期的更优质、更安全的代码。这种方法的必要性不言而喻。最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹过单次勒索软件攻击造成的混乱——尽管从更宏观角度看,科洛尼尔管道事件的破坏性不及SolarWinds黑客事件。
许多常见漏洞依然存在。 这是因为没有人向开发人员展示如何用更安全的方式替代错误的编码模式,以实现相同功能的更优解。此外,在软件开发后期修复漏洞将导致时间成本激增,并造成部署延迟。一旦代码部署后,尤其当攻击者利用未被发现的漏洞时,修复工作有时可能耗费数百万美元——这还不包括因重大安全事件导致的企业声誉损失。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官(CISO)不应立即放弃安全工具。但通过自上而下推动全面且预防性的安全策略,CISO能够充分利用企业最重要的资源——人力因素。尤其在软件开发生命周期的早期阶段,安全编码的实施更为关键。
为此,需要牢记的三大核心战略如下:
1.请主动采取行动,而非被动应对
例如,企业往往陷入被动应对的陷阱,例如在制定独特愿景并付诸实践时,反而专注于应对竞争对手的行为。此外,许多企业在代码安全漏洞方面也采取类似策略,仅在安全漏洞成功发生且无法避免时才严肃对待网络安全。遗憾的是,此时往往已造成罚款、恢复成本、客户流失、品牌修复等损失,最终损害企业收益。另一种替代方案是:不专注于构建安全代码,而是依赖自动或手动代码扫描来发现现有代码的漏洞。遗憾的是,代码扫描并非完美解决方案——代码漏洞越多,遗漏部分漏洞的可能性就越大。
只有采取预防性措施,并与开发人员合作,从一开始就帮助他们编写安全的代码,才能建立软件开发生命周期,从而大幅降低用户接触编码漏洞的可能性。
2.技能升级时,请勿勉强。
若决定为开发者提供编写安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训研讨会会让开发者和管理者都感到沮丧。需要在夜间或周末参加的外部培训课程则更不受欢迎。最佳方案是循序渐进地提升编码技能。在编码过程中分阶段提供相关知识——既能避免分散开发者注意力或延误开发进程,又能切实提升技术能力。
3.提供激励措施,不要做假设
开发者不应将提升安全技术视为惩罚或完全的折磨。管理者应向开发者传达安全代码对公司成功的重要作用,以此激发他们的热情。同时,强调安全编码者对公司更具价值,未来将获得更多职业发展机会,这一点也至关重要。
拜登政府的欢迎 行政命令 对网络安全的关注度提升,且"需包含评估开发者与供应商自身安全实践、识别创新工具或方法以证明合规性的标准"。然而工具虽不可或缺,却非万全之策。任何工具都无法彻底消除个人忽视现有系统工具、 误解、滥用或以其他方式规避现有系统与工具的能力。为最大化企业安全防护,首席信息安全官(CISO)需善用人性因素,激励开发者自愿成为安全倡导者与实践者。
最近,福布斯科技委员会主席兼首席执行官彼得·丹尼厄(Pieter Danhieux)的首篇委员会文章正式发布,这令我们倍感欣喜。文中详细阐述了提升开发者技术能力以编写更安全代码的重要性,这对防范网络攻击和数据泄露具有关键意义。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
我们最近有幸见到了第一件作品。这篇文章由福布斯科技委员会主席兼首席执行官彼得·丹尼厄斯亲自撰写。文中详细阐述了提升开发者技术能力、编写更安全代码对防范网络攻击和数据泄露的重要性。同时我们也了解到,具备安全意识的开发者如何能帮助企业更快地交付比多数IT部门预期的更优质、更安全的代码。这种方法的必要性不言而喻。最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹过单次勒索软件攻击造成的混乱——尽管从更宏观角度看,科洛尼尔管道事件的破坏性不及SolarWinds黑客事件。
许多常见漏洞依然存在。 这是因为没有人向开发人员展示如何用更安全的方式替代错误的编码模式,以实现相同功能的更优解。此外,在软件开发后期修复漏洞将导致时间成本激增,并造成部署延迟。一旦代码部署后,尤其当攻击者利用未被发现的漏洞时,修复工作有时可能耗费数百万美元——这还不包括因重大安全事件导致的企业声誉损失。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官(CISO)不应立即放弃安全工具。但通过自上而下推动全面且预防性的安全策略,CISO能够充分利用企业最重要的资源——人力因素。尤其在软件开发生命周期的早期阶段,安全编码的实施更为关键。
为此,需要牢记的三大核心战略如下:
1.请主动采取行动,而非被动应对
例如,企业往往陷入被动应对的陷阱,例如在制定独特愿景并付诸实践时,反而专注于应对竞争对手的行为。此外,许多企业在代码安全漏洞方面也采取类似策略,仅在安全漏洞成功发生且无法避免时才严肃对待网络安全。遗憾的是,此时往往已造成罚款、恢复成本、客户流失、品牌修复等损失,最终损害企业收益。另一种替代方案是:不专注于构建安全代码,而是依赖自动或手动代码扫描来发现现有代码的漏洞。遗憾的是,代码扫描并非完美解决方案——代码漏洞越多,遗漏部分漏洞的可能性就越大。
只有采取预防性措施,并与开发人员合作,从一开始就帮助他们编写安全的代码,才能建立软件开发生命周期,从而大幅降低用户接触编码漏洞的可能性。
2.技能升级时,请勿勉强。
若决定为开发者提供编写安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训研讨会会让开发者和管理者都感到沮丧。需要在夜间或周末参加的外部培训课程则更不受欢迎。最佳方案是循序渐进地提升编码技能。在编码过程中分阶段提供相关知识——既能避免分散开发者注意力或延误开发进程,又能切实提升技术能力。
3.提供激励措施,不要做假设
开发者不应将提升安全技术视为惩罚或完全的折磨。管理者应向开发者传达安全代码对公司成功的重要作用,以此激发他们的热情。同时,强调安全编码者对公司更具价值,未来将获得更多职业发展机会,这一点也至关重要。
拜登政府的欢迎 行政命令 对网络安全的关注度提升,且"需包含评估开发者与供应商自身安全实践、识别创新工具或方法以证明合规性的标准"。然而工具虽不可或缺,却非万全之策。任何工具都无法彻底消除个人忽视现有系统工具、 误解、滥用或以其他方式规避现有系统与工具的能力。为最大化企业安全防护,首席信息安全官(CISO)需善用人性因素,激励开发者自愿成为安全倡导者与实践者。
我们最近有幸见到了第一件作品。这篇文章由福布斯科技委员会主席兼首席执行官彼得·丹尼厄斯亲自撰写。文中详细阐述了提升开发者技术能力、编写更安全代码对防范网络攻击和数据泄露的重要性。同时我们也了解到,具备安全意识的开发者如何能帮助企业更快地交付比多数IT部门预期的更优质、更安全的代码。这种方法的必要性不言而喻。最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹过单次勒索软件攻击造成的混乱——尽管从更宏观角度看,科洛尼尔管道事件的破坏性不及SolarWinds黑客事件。
许多常见漏洞依然存在。 这是因为没有人向开发人员展示如何用更安全的方式替代错误的编码模式,以实现相同功能的更优解。此外,在软件开发后期修复漏洞将导致时间成本激增,并造成部署延迟。一旦代码部署后,尤其当攻击者利用未被发现的漏洞时,修复工作有时可能耗费数百万美元——这还不包括因重大安全事件导致的企业声誉损失。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官(CISO)不应立即放弃安全工具。但通过自上而下推动全面且预防性的安全策略,CISO能够充分利用企业最重要的资源——人力因素。尤其在软件开发生命周期的早期阶段,安全编码的实施更为关键。
为此,需要牢记的三大核心战略如下:
1.请主动采取行动,而非被动应对
例如,企业往往陷入被动应对的陷阱,例如在制定独特愿景并付诸实践时,反而专注于应对竞争对手的行为。此外,许多企业在代码安全漏洞方面也采取类似策略,仅在安全漏洞成功发生且无法避免时才严肃对待网络安全。遗憾的是,此时往往已造成罚款、恢复成本、客户流失、品牌修复等损失,最终损害企业收益。另一种替代方案是:不专注于构建安全代码,而是依赖自动或手动代码扫描来发现现有代码的漏洞。遗憾的是,代码扫描并非完美解决方案——代码漏洞越多,遗漏部分漏洞的可能性就越大。
只有采取预防性措施,并与开发人员合作,从一开始就帮助他们编写安全的代码,才能建立软件开发生命周期,从而大幅降低用户接触编码漏洞的可能性。
2.技能升级时,请勿勉强。
若决定为开发者提供编写安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训研讨会会让开发者和管理者都感到沮丧。需要在夜间或周末参加的外部培训课程则更不受欢迎。最佳方案是循序渐进地提升编码技能。在编码过程中分阶段提供相关知识——既能避免分散开发者注意力或延误开发进程,又能切实提升技术能力。
3.提供激励措施,不要做假设
开发者不应将提升安全技术视为惩罚或完全的折磨。管理者应向开发者传达安全代码对公司成功的重要作用,以此激发他们的热情。同时,强调安全编码者对公司更具价值,未来将获得更多职业发展机会,这一点也至关重要。
拜登政府的欢迎 行政命令 对网络安全的关注度提升,且"需包含评估开发者与供应商自身安全实践、识别创新工具或方法以证明合规性的标准"。然而工具虽不可或缺,却非万全之策。任何工具都无法彻底消除个人忽视现有系统工具、 误解、滥用或以其他方式规避现有系统与工具的能力。为最大化企业安全防护,首席信息安全官(CISO)需善用人性因素,激励开发者自愿成为安全倡导者与实践者。
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
我们最近有幸见到了第一件作品。这篇文章由福布斯科技委员会主席兼首席执行官彼得·丹尼厄斯亲自撰写。文中详细阐述了提升开发者技术能力、编写更安全代码对防范网络攻击和数据泄露的重要性。同时我们也了解到,具备安全意识的开发者如何能帮助企业更快地交付比多数IT部门预期的更优质、更安全的代码。这种方法的必要性不言而喻。最新研究显示,如今每39秒就发生一次网络攻击。我们都目睹过单次勒索软件攻击造成的混乱——尽管从更宏观角度看,科洛尼尔管道事件的破坏性不及SolarWinds黑客事件。
许多常见漏洞依然存在。 这是因为没有人向开发人员展示如何用更安全的方式替代错误的编码模式,以实现相同功能的更优解。此外,在软件开发后期修复漏洞将导致时间成本激增,并造成部署延迟。一旦代码部署后,尤其当攻击者利用未被发现的漏洞时,修复工作有时可能耗费数百万美元——这还不包括因重大安全事件导致的企业声誉损失。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官(CISO)不应立即放弃安全工具。但通过自上而下推动全面且预防性的安全策略,CISO能够充分利用企业最重要的资源——人力因素。尤其在软件开发生命周期的早期阶段,安全编码的实施更为关键。
为此,需要牢记的三大核心战略如下:
1.请主动采取行动,而非被动应对
例如,企业往往陷入被动应对的陷阱,例如在制定独特愿景并付诸实践时,反而专注于应对竞争对手的行为。此外,许多企业在代码安全漏洞方面也采取类似策略,仅在安全漏洞成功发生且无法避免时才严肃对待网络安全。遗憾的是,此时往往已造成罚款、恢复成本、客户流失、品牌修复等损失,最终损害企业收益。另一种替代方案是:不专注于构建安全代码,而是依赖自动或手动代码扫描来发现现有代码的漏洞。遗憾的是,代码扫描并非完美解决方案——代码漏洞越多,遗漏部分漏洞的可能性就越大。
只有采取预防性措施,并与开发人员合作,从一开始就帮助他们编写安全的代码,才能建立软件开发生命周期,从而大幅降低用户接触编码漏洞的可能性。
2.技能升级时,请勿勉强。
若决定为开发者提供编写安全代码所需的知识,请明智地选择方法。中断编码流程的内部培训研讨会会让开发者和管理者都感到沮丧。需要在夜间或周末参加的外部培训课程则更不受欢迎。最佳方案是循序渐进地提升编码技能。在编码过程中分阶段提供相关知识——既能避免分散开发者注意力或延误开发进程,又能切实提升技术能力。
3.提供激励措施,不要做假设
开发者不应将提升安全技术视为惩罚或完全的折磨。管理者应向开发者传达安全代码对公司成功的重要作用,以此激发他们的热情。同时,强调安全编码者对公司更具价值,未来将获得更多职业发展机会,这一点也至关重要。
拜登政府的欢迎 行政命令 对网络安全的关注度提升,且"需包含评估开发者与供应商自身安全实践、识别创新工具或方法以证明合规性的标准"。然而工具虽不可或缺,却非万全之策。任何工具都无法彻底消除个人忽视现有系统工具、 误解、滥用或以其他方式规避现有系统与工具的能力。为最大化企业安全防护,首席信息安全官(CISO)需善用人性因素,激励开发者自愿成为安全倡导者与实践者。
有助于开始的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
