安全代码洞察

基于人工智能的开发引入了全新类型的软件风险。快速插入、RAG操纵、过度代理权限等问题已不再是理论上的问题，而正在现代应用程序中成为现实。

开发者必须能在真实复杂的环境中直接接触这些新型威胁模式。这正是我们将Cybermon 2025 AI/LLM Boss任务从有限事件体验，转化为可部署于Secure Code Warrior中的任务主题集合的原因。 创建新任务时，可在安全概念下的特定概念板块中找到《赛博蒙2025：击败BOSS》任务集。

赛博蒙2025：击败Boss组织可随时将此类高难度AI安全问题整合至安全编码计划中。

什么是Beat the Boss？

Beat the Boss 提供四项高级 AI/LLM 挑战，旨在测试实际安全 AI 开发能力。

每个主题包含简短的介绍视频、指南、热身指南以及《Cybermon 2025》的原创高难度BOSS任务。这些沉浸式场景聚焦于随着AI辅助应用程序的发展，开发者必须理解的实际AI脆弱性类别。

四个BOSS任务分别针对独立的AI危险区域，模拟基于AI系统的实际威胁模式。

• 拜帕萨龙 — 直接快速注射
• 基克拉肯 — 间接快速注射
• PromptGhost — 向量与嵌入漏洞
• 代理过剩——过度代理

按所需方式执行

为使每个漏洞都能得到适当关注，建议每次集中处理一位负责人。许多组织选择执行以下操作：

• 每周针对一名负责人开展集中式AI安全冲刺
• 或通过“本月漏洞”计划每月一次

为组织内部活动的管理员，知识库中提供了结构化的活动发布指南及可下载的品牌资产。
赛博蒙2025：亲手操作击败BOSS活动

AI安全准备运营

人工智能加速开发正在改变软件风险环境。对于新出现的漏洞类别，不仅需要认知，更需要实际应用经验。

Beat the Boss帮助组织将不断演变的AI威胁模式转化为实用的开发者能力。

开发者可独立尝试每个挑战，随后通过审阅指导性解决方案来强化攻击者思维模式与防御策略。挑战结束后将提供完整解决方案指导视频以供学习。

许多团队通过内部知识共享会议扩展经验，将事件驱动的学习从竞争性学习转变为协作性学习。安全与开发是团队运动。当开发人员、安全负责人和工程团队通力合作，理解并缓解不断扩大的AI攻击面时，才能为组织提供最佳保护。顺畅的任务复盘、解决方案共享和跨团队讨论，有助于将个人任务完成转化为集体能力。

将Beat the Boss整合到安全编码计划中，既能强化安全的人工智能采用，又能为整个开发团队建立可衡量的人工智能安全成熟度。

开始

创建新任务时，可在安全概念下的特定概念板块中找到《赛博兽2025：击败首领合集》。 请登录安全代码战士账户，配置部署方案并强化团队整体的安全人工智能开发能力。

网络弹性行动不仅是欧盟企业的核心议题，更在欧洲市场迅速成为所有优先战略企业的战略价值所在。随着合规要求延长至2027年，相关团队及安全部门已开始就设计实践、漏洞开发及能力建设提出严峻挑战。

与众多侧重文档化及审计的法规不同，克雷是安全软件设计与开发合规的核心。通过在设计阶段就投资于"安全设计"功能，企业能够更快实现转型，产品安全性也得以加速提升。

网络恢复法所需事项

《网络恢复法》(CRA)为投放欧盟市场的绝大多数产品引入了基本网络安全要求，涵盖软件、操作系统、连接设备及嵌入式系统等数字组件。

更重要的是，将会有变化。有事可做的地方。

安全已不再是运行时或运营层面的问题。在CRA中，安全责任贯穿整个生命周期，涵盖设计与开发义务、架构、实施、维护及漏洞处理等环节。

工程与安全这对领导者意味着：

• 产品必须按照安全设计原则进行制造。
• 已知的漏洞应尽可能预防并有效处理。
• 组织必须证明其具备安全开发实践。

简而言之，合规性与赚钱和维持运营的方式密不可分。

汽车申请对象

欧盟虽已引入，但后续将全面实施。全球所有组织均可借此向目标市场推出数字产品。具体包括以下几点：

• 服务适用对象：产品的远程数据处理、配置、关注软件、SaaS供应商
• 数字或联网产品制造商
• 进口商、分销商及零售商
• 包含第三方数字组件的组织

对于跨国企业而言，汽车准备工作不涉及跨境开发要求及区域合规活动。

组织现在开始的原因

主要里程碑：

• 2026年9月— 漏洞报告义务启动
• 2027年12月— 需要完全合规

从文件上看，该时间线可能显得宽松。实际上，开发创新往往以季度为单位推进，但其成效通常需要数年时间才能显现。

安全设计如下。必备事项如下。

• 语言及整体领域中数千项开发技术
• 考虑安全性的设计：对日常操作的预期
• 从事后应对式脆弱性改善转向预防性措施
• 安全开发实践得到一致应用并产生可衡量的证据

这些变化体现在"入职流程"、"架构决策与软件开发生命周期"以及"同理心文化"方面。若组织将改革推迟至2026年底，将面临监管压力被迫进行改造，这将是一条成本更高且破坏性更强的道路。

罚款可达1500万欧元或全球年度销售额的2.5%。根据第64条规定，可能违反网络安全要求。

等到2026年底就太迟了。

CR是

许多规定都讨论了政策和文件。CRA通过将软件设计与合规性实践相结合，更进一步。这不仅满足了治理要求，更提升了对原则和运营环境的期望。

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

• 对常见漏洞类别的理解
• 安全设计及架构原则应用
• 防止构建不安全的模式
• 负责任地处理第三方及开源组件

在解决安全工具问题方面发挥着重要作用。但编写代码时，工具的弱点就会暴露出来。要实现安全设计，必须从一开始就预防漏洞。

仅凭工具无法完成这项工作。基于安全的设计结果取决于人类的能力。

#安全代码：战士为汽车做准备的方法

存在安全代码战士，其学习路径已根据CRA进行调整，组合如下：

• A汽车标准任务附录I，第一部分技术脆弱性要求映射
• A安全设计概念系列
• 语言脆弱性实践学习

请参阅SCW所有汽车对齐学习内容的单页指南。SCW不提供合规认证，而是通过汽车支持服务，提供符合安全开发原则的系统化、可学习的能力提升方案。

现在就开始准备购车吧

CR反映了行业的发展方向。基于设计工程的安全性已成为基本预期。当前投资于开发者能力的工会能够为合规奠定有利基础，并长期构建出具有卓越韧性、低风险的平台。

有关Secure Code Warrior如何帮助实现合规性的详细信息，请参阅知识库。#Secure Code > Warrior如何帮助实现合规性

进行深度分析。成功要素的10个基本要素 ：要素1——明确定义且可衡量的成功标准。安全编程计划的首要任务，也是最重要的第一步，就是明确目标方向。这正是首个成功要素的核心所在。

通过成功标准实现业务成果

要成功构建安全体系，必须设定与业务成果紧密关联的明确目标。Enabler 1的核心任务是回答"安全编码"这一问题：具体而言，需要用非常具体且可衡量的术语来阐明"要解决的问题或痛点是什么？"

您可能正在会议中徘徊，为 合规要求或防范安全漏洞与网络攻击而困扰。或者您正在寻找解决方案：从左侧开始的组织者，通过减少返工和降低成本，帮助开发人员从一开始就安全编码。

无论动机、组织现状或所选安全培训平台如何，团队的长期成功在很大程度上取决于能否制定与业务目标挂钩的计划，从而实现持续的成功。

在确定成功标准时，请考虑项目的关键利益相关者。了解高管赞助方及其业务目标，将有助于推动跨部门的广泛采用。

成功所需的可见性与衡量

这些目标应根据具体组织而有所不同。尽管如此，当朝着相同的商业目标前进时，我们仍能理解这些目标如何激发创意。

风险降低：减轻开发人员风险，减少因编码缺陷引入的漏洞。这包括风险识别和缩小应用程序攻击面。

程序通常以降低或规避漏洞密度或漏洞注入率等指标为目标。

运营速度：最大化产品交付速度，减少开发人员的挫败感和流失率，并降低返工耗时。安全编码培训通过帮助开发人员避免在软件开发生命周期后期发现缺陷代码时进行耗时的返工，成为激励开发者的重要手段。

这些计划通常旨在缩短开发人员修复漏洞的平均时间（MTTR）。

合规要求：实现外部合规，例如遵守PCI-DSS等标准（该标准要求所有参与支付系统开发的开发人员必须接受培训）。

人才与信任：提升开发者组织内部对安全与漏洞的关注度和参与度，同时维护并建立客户信任。对某些企业而言，具备安全意识的开发者有助于建立市场差异化优势。

项目通常会为开发人员设定最低技能要求，甚至创建专门的安全冠军计划。

共同成功团队的成功记录

定义成功标准后，下一步是制定并记录共同成功计划。该计划包含外部支持（如#教育平台客户成功经理），是供主要相关方和跨部门共享的蓝图。

成功计划包括以下内容：

1. 价值创造因素：这里涉及代码安全改进以及与“程序存在意义”相关的核心业务目标。
2. 当前状态：这使用了“我们现在处于什么位置？”（例如：当前的安全编码技术或现有教育项目）。
3. 未来（期望）状态：接下来，我们将记录“我们希望达到什么目标？”，并制定解决安全技术编码差距的方法。
4. KPI/测量值：这些指标表明随着项目启动并取得成功，当前与未来之间的差距正在缩小。

建议按以下方式开始： 若仅需1至2个特定指标，可后期扩展。这些KPI/指标的设定须遵循S.M.A.R.T.原则（具体、可衡量、可实现、相关性、时限性）。指标应便于追踪且避免误解。为执行计划，所有相关方需每日按约定周期共同复盘价值。

通过明确定义并衡量这些标准，安全强化计划将从单纯的成本支出转变为关键业务成果的可验证推动力。该计划是实现成熟度的必经第一步。

现在让我们深入探讨。在《赋能者2：高级领导力赞助计划 》的成功启动中，我们将讨论领导层所发挥的关键作用。

还有其他问题吗？客户可随时联系账户团队或通过support@securecodewarrior.com.잠재与销售团队成员沟通。

决定全身心投入初创事业的人，常被冠以各种称号——从充满抱负的"企业家"，到毫不光鲜的"疯子"。Secure Code Warrior掌舵十一载后，我欣然处于二者之间。 

过去五年对许多人而言是韧性的洗礼，经济与非经济领域的意外冲击接踵而至，连地球上最聪明的人也未能预见。此时或许会让人联想到"适者生存"，但我更倾向于引用这句话：

物种中生存下来的，既不是最强壮的，也不是最聪明的，而是最能适应变化的。

（这句话常被误认为出自查尔斯·达尔文之口，实则出自莱昂·C·梅金森教授之口，他当时正在总结达尔文的著作《物种起源》。希望这个冷知识能在未来的某个酒吧知识竞赛中为你赢得丰厚奖品。）

如今，在这个世界上，还有什么比人工智能更能体现变革与适应性的例子呢？自大型语言模型（LLM）震撼问世已逾三年，我们仍在努力理解这一技术迭代的本质、其能力边界，以及它如何在当今几乎所有领域为我们提供最佳服务。 无论如何，它已然成为常态。尤其作为网络安全从业者，即便缺乏官方的防护框架与法规，我们仍需保持领先一步的态势来守护它。

2025年对人工智能、网络安全以及SCW而言都是重要的一年。我正以沉稳的信心迎接2026年，这份乐观唯有辛勤付出终获回报才能孕育。 

我们实现了若干重大里程碑，包括进军人工智能驱动的软件开发安全领域。我们：

• 已发布 Trust Agent：AI 进入测试阶段：CCIA最新研究证实生成式AI是史上普及速度最快的技术，因此开发者群体中AI编码助手的广泛采用并不令人意外——包括那些比安全计划推进更迅速的企业级部署。
  
  我们最新推出的Trust Agent: AI技术，为人工智能生成的代码提供了关键的可视化与治理能力。该解决方案赋予企业安全负责人深度可观察性和控制力，使其能够在软件开发生命周期（SDLC）中自信管理人工智能应用，同时确保安全防护不打折扣。
• 突破最新重大营收里程碑：超额达成 营收目标，彰显了Secure Code Warrior 全体成员的坚韧与创新精神。 在开启这段征程之初，我们的使命就是突破安全领域的"勾选式"方法，真正赋能开发者从第一行代码起就编写安全代码。
  
  当看到这一愿景获得众多全球企业的共鸣时，我们深切感受到行业焦点终于转向以开发者为中心的安全体系。我无比自豪地看到，我们的战士们正全力以赴，为所有人打造更安全的软件。
• 与战略合作伙伴的深度集成：我们与Aikido 、OpenText和Black Duck等卓越企业的合作，标志着我们在构建无缝、以开发者为中心的安全生态系统使命中迈出了重要一步。通过弥合漏洞识别与修复技能之间的鸿沟，我们正有效闭环开发者导向的软件风险。
  
  我对此次合作深感自豪，它标志着战略性的转变——从分散的工具集转向统一体验，使安全成为开发工作流的自然延伸。

值此又一个重要年份来临之际，我要向日益壮大的支持者群体致谢，特别是广大网络社区的同仁们。你们始终在对抗反复出现的漏洞、低安全意识和低质量代码输出方面发挥着主导作用。通过采用更安全的新标准，我们能够切实提升软件、服务及技术的安全性。 

我们正全力投入建设未来——在人类专家的监督下，由人工智能编写绝大多数代码。我们的SCW学习系统正快速进化以适应新世界的需求，SCW信任代理：AI将在未来三个月内上线，为软件开发生命周期中大型语言模型、多云平台等技术的安全运行提供支持。 我们即将宣布与某市场巨头达成激动人心的新合作。

敬请期待！

本文的某个版本曾刊登于SC杂志。 SC杂志。本文经修订后由以下媒体联合发布：


若曾遭遇入室盗窃，您定能体会那种最初察觉异样的悚然——继而惊觉财物失窃、尊严受损的绝望。这种困扰往往绵延不绝，更遑论最终不得不升级为堪比诺克斯堡的安防系统。

想象一下，小偷把自己当作钥匙，因此房屋被撬开了。他们随心所欲地爬来爬去，来来去去，却小心翼翼地不被发现。直到某天，藏在冷冻室的珠宝消失了，保险箱被清空了， 个人物品被翻得乱七八糟——这一切都发现得太迟。这正是组织遭遇零日网络攻击时面临的现实。2020年Ponemon研究所的研究显示，80%的数据泄露事件源于零日漏洞利用，而令人沮丧的是，多数企业尚未做好显著改善这一数据的准备。

根据定义，零日攻击是指威胁行为者率先发起入侵，因此开发人员完全没有时间发现并修复可被利用的现有漏洞。遭受攻击后，各方将陷入疯狂的混战，既要修复软件漏洞，又要修复业务声誉的损害。由于攻击者始终占据优势，因此最大限度地争取主动权至关重要。

Log4Shell这个无人想要的节日礼物正让互联网沸腾。据称超过10亿台设备受到这个致命Java漏洞的影响。这预计将成为史上最严重的零日攻击， 而这仅仅是开始。尽管如此，部分报告指出攻击早在漏洞公开数日前就已启动，2016年黑帽大会上的演讲也暗示该问题早已存在。雪上加霜的是，该漏洞极易被利用，全球所有脚本小子和威胁行为者正借此大肆觊觎。

那么，在软件开发过程中遗漏的漏洞自不必说，面对狡猾而险恶的威胁，我们究竟该如何构建最有效的防御体系？让我们来深入探讨。

针对大型目标的零日攻击较为罕见且成本高昂。

暗网存在着庞大的漏洞利用市场。以零日漏洞为例，这类漏洞往往能带来可观收益。本文撰写时，该漏洞已以250万美元的价格挂牌出售。据悉其利用了苹果iOS系统的漏洞，安全研究人员开出天价要价并不令人意外——毕竟这可能成为持续数月甚至更长时间的攻击通道，足以破坏数百万台设备，窃取数十亿条敏感数据记录，直至漏洞被发现并修复。

无论如何，谁会持有那样的资金呢？通常，有组织的网络犯罪团伙若认定某项攻击具有价值，就会筹措现金。尤其在始终备受青睐的勒索软件攻击领域，这种情况更为普遍。但全球各国政府和国防部门被视为威胁情报领域可利用漏洞的潜在客户；而在更积极的场景中，企业本身也可能购买潜在的零日漏洞利用工具来减轻灾难影响。

2021年，纪录被打破了。在实时发现零日漏洞的案例中，面临最大风险的是大型组织、政府部门及基础设施。虽然无法完全免受零日攻击的威胁，但通过提供充足且系统的漏洞悬赏计划，可以一定程度上"参与这场博弈"。不必坐等暗网市场有人提供软件城堡的钥匙，请建立合法的安全团队，为道德披露和潜在修复提供合理报酬。

当零日威胁过于严重时，假设需要花费超过亚马逊礼品卡的金额是安全的（而且这样做是值得的）。

工具可能属于安全人员的职责范围。

长期以来，普通首席信息安全官（CISO）管理繁琐的安全工具链始终是个难题。企业安全库中多达55至75种工具，堪称世界上最混乱的（比喻意义上的）瑞士军刀。更令人担忧的是，53%的企业甚至无法确信这些工具正在有效运作。根据Poneemon研究所的研究 ，另一项调查显示仅有17%的CISO认为自身安全架构"完全有效"。

在这个以职业倦怠、安全专业人才短缺、敏捷性需求而闻名的领域，安全专家被迫处理海量工具集带来的数据、报告和监控等信息过载，实属沉重负担。当未能准确评估Log4j漏洞时，正是这种情境下可能导致关键警报被遗漏。

预防性安全措施应包含以开发者为中心的威胁建模。

代码层面的漏洞往往由开发者引入，要建立安全编码技术需要明确的指导和定期的学习路径。但对于安全意识更强的开发者而言，他们获得了将威胁建模作为软件开发流程一部分来学习和实践的机会。
‍
软件开发者作为最了解自身产品的群体，自然是最适合坐镇开发岗位的人选。他们深刻理解用户与软件的交互方式、功能应用场景，以及在充分认知安全风险前提下可能导致软件受损或被滥用的潜在情境。

若将此问题追溯至Log4Shell漏洞利用，令人遗憾的是，这揭示了一种致命漏洞得以规避专家及复杂工具集检测的场景。 但若库被配置为清除用户输入，此漏洞本可完全避免。当初未作此配置的决定，或许是出于便利性考虑——该功能本就存在模糊性。然而这反而使漏洞极易被利用（想想SQL注入的难度，这并非什么天才之举）。若有一群敏锐且精通安全的开发者团队进行了威胁建模，他们很可能已将此场景纳入理论考量范围。

优秀的安防方案中存在着情感因素——在解决人为问题时，人类的介入与细微差别至关重要。威胁建模要有效就需要同理心与经验， 软件及应用程序架构层面的安全编码与配置亦是如此。开发者无需一夜之间投入此类工作，但若能建立清晰的技术升级路径——使安全团队的压力降至可控范围（这同时也是构建双方协作关系的良机），则最为理想。

0日延续至n日

零日漏洞响应的下一步是尽快发布补丁。希望所有使用存在漏洞的软件的用户都能尽快且务必在攻击者之前完成补丁安装。Log4Shell的破坏力可能超越心脏出血漏洞——它内置于数百万台设备中，并在整个软件构建过程中形成复杂的依赖关系，因此具有极强的持久性和破坏力。

现实中，我们无法完全阻止此类狡猾的攻击。但若能承诺调动一切手段打造优质安全的软件，并以保护关键基础设施的严谨态度投入开发，我们所有人便能抓住反击的机会。

AI辅助开发（或更时髦的版本“Vibe编程”） 正在对代码生成产生巨大而创新的影响。资深开发者们正大规模采用这些工具，而那些渴望亲手打造软件却缺乏相关经验的开发者，也借助这些工具构建起以往耗费大量成本和时间才能完成的资产。这项技术有望开启创新的新纪元，但同时也催生出多种新型漏洞和风险特征，令安全负责人们为缓解这些问题而绞尽脑汁。

A最近发现InvariantLabs 在 MCP（模型上下文协议）中发现了严重漏洞，该协议类似于 API 的框架，可使强大的人工智能工具能够自主地与其他软件和数据库交互。这使得一种新型漏洞类别——"工具中毒攻击"成为可能，该攻击对企业尤其具有破坏性。Windsurf和Cursor等主流AI工具亦未能幸免。鉴于其拥有数百万用户，管理此类新型安全问题所需的认知与技术至关重要。

目前这些工具的输出如下。正如文中所述，其安全性已达到可归类为企业级产品的持续稳定水平。近期研究论文中，AWS与Intuit的安全研究员维尼什·赛纳拉扎拉（Vinish Sainarajala）和伊丹·哈布勒（Idan Habler）指出："随着AI系统的自主性增强，并通过MCP等功能开始直接与外部工具及实时数据交互，维护这些交互的安全性已变得至关重要。"

AI代理系统及模型上下文协议的风险概况

模型上下文协议是一款便捷的软件，由Anthropic开发。该协议能实现大型语言模型（LLM）AI代理与其他工具之间更顺畅、无缝的集成。这一强大用例开辟了全新可能性——让尖端AI解决方案能够与专有应用程序及GitHub等关键业务SaaS工具协同运作。您只需开始编写MCP服务器，并设定其运作方式与功能目标的指导原则即可。

实际上，MCP技术对安全领域的影响大多是积极的。它承诺能够实现安全专家使用的技术栈与LLM之间更直接的集成，这种吸引力不容忽视。至少它证明了，无需为每项任务编写和部署定制代码，就能实现前所未有的精准安全操作自动化。考虑到数据、工具与人力之间广泛的可见性与互联性是有效安全防御与规划的基础，MCP赋予LLM的增强互操作性为企业安全带来了令人振奋的前景。

然而，使用MCP会引入其他威胁载体，若管理不慎，企业攻击面可能大幅扩大。正如Invariant Labs所指出的，工具中毒攻击构成了一类新型漏洞，可能导致敏感数据泄露及AI模型未经授权的活动，由此引发的安全影响将迅速恶化。

根据InvariantLabs的研究，当MCP工具说明中包含恶意指令时（用户虽不可见，但AI模型可完全读取并执行），便可能引发工具中毒攻击。此类攻击能诱使工具在用户不知情的情况下执行非法操作。问题根源在于MCP系统必须信任所有工具说明的假设——这恰恰是威胁行为者梦寐以求的条件。

他们注意到损坏的工具可能导致以下后果：

• 指示AI模型访问敏感文件（例如SSH密钥、配置文件、数据库等）
• 在这种恶意行为本质上对用户隐匿的环境中，指令AI提取并传输这些数据。
• 工具输入与输出的界面设计看似极其简单，却可能在背后制造用户所见与AI模型实际执行操作之间的割裂。

这属于令人担忧的脆弱性范畴，随着MCP使用不可避免地持续增长，此类问题几乎肯定会更频繁地出现。随着企业安全计划的发展，关键在于采取审慎措施来发现并缓解这些威胁，同时做好充分准备以确保开发人员能够参与解决。

具备安全技术能力的开发者才应使用代理AI工具的原因

代理式人工智能编码工具被视为人工智能辅助编码的下一代演进，能够提升软件开发的效率、生产力和灵活性。其增强的上下文与意图理解能力使其尤为实用，但仍无法完全免受攻击者的即时注入、幻觉或行为操纵等威胁。

开发者是区分优质代码提交与劣质代码提交的防线，同时保持敏锐的安全意识和批判性思维能力，将成为未来安全软件开发的基础。

人工智能的结果绝不应被盲目信任。具备安全意识的开发者通过运用情境化批判性思维，能够安全地利用这项技术带来的生产力提升。即便在采用结对编程的环境中，人类专家仍需对工具生成的任务进行评估、威胁建模及最终审批，这种协作模式应达到一定标准。

了解开发者如何利用人工智能升级技术并提升生产力。点击此处。

在实用缓解技巧及最新研究论文中了解更多内容

人工智能编码工具和MCP技术预计将成为网络安全未来的重要组成部分，但切记在确认水源之前务必深入了解。

纳拉亚拉和哈布勒斯详细阐述了在企业层面实施MCP并持续管理风险的全面缓解策略。该策略最终将围绕深度防御原则和零信任原则，明确针对这一新型生态系统为企业环境带来的独特风险特征。对于开发人员而言，弥补以下领域的知识差距至关重要：

• 认证与访问控制：Agentic AI工具具备自主决策能力，能够像人类工程师处理工程任务那样解决问题并达成预定目标。但正如我们此前所阐述的，熟练人员对这些流程的监督作用不可忽视。 在工作流中使用这些工具的开发者必须准确理解自身拥有何种访问权限、可检索或暴露哪些数据、以及数据可在何处共享。
• 常规威胁检测与缓解：与大多数AI流程类似，要发现工具输出的潜在缺陷和不准确性，用户必须精通相关操作。开发人员需持续提升技能并接受验证，以有效审查安全流程，并具备审查AI生成代码的准确性和权限。
• 安全政策与AI治理的协调：需向开发者告知获准使用的工具，提供技术培训机会及访问这些工具的途径。为确保提交内容可信，开发者和工具均需通过安全基准测试。

近期发布的研究论文阐述了Vibe编码及AI辅助编码的兴起，并阐明了企业为培养新一代AI驱动型软件工程师应采取的措施。立即查阅并联系我们，即刻强化您的开发团队。

本文的某个版本最初发表于。 DZone。本文在此更新并同步发布。

支付卡行业数据安全标准（PCI DSS）4.0版几乎改变了所有接受电子支付的企业或组织的安全信息（绝大多数）。此次更新将为大多数企业带来颠覆性变革，企业可能需要升级大量安全流程，并在加密、认证、访问控制、密钥管理以及此前进展缓慢的其他领域引入新防护措施。

由于新要求的复杂性，组织必须在2025年3月前完全合规。但这个截止日期比大多数人想象的要来得更早。事实上，许多具有前瞻性的企业已开始采取行动，帮助开发人员应对当前的合规环境。

超越复选框训练

组织中的开发人员编写了基础设施所使用的大部分代码，因此在实施新的PCI DSS 4.0要求时，开发人员可视为理想的切入点。然而，作为更新的安全意识计划的一部分，大多数开发人员需要战略性支持以提升技术能力。此举旨在帮助他们积累必要经验，从而实现并维持新标准所要求的更高安全级别。

实际上，PCI DSS 4.0的12.6.2条款要求组织实施正式的安全计划，并利用最新威胁情报和防御技术持续更新安全计划。在旧版标准中，基础安全计划或"勾选式"年度合规培训也能达成目标。而新版标准提出了更高要求，例如要求安全培训计划针对企业环境中的特定威胁和漏洞进行针对性解决。例如，若身份盗用是组织面临的重大问题，则必须通过培训来解决这一问题。

仅靠最低限度的培训，显然已不足以满足实用需求或符合新标准。相反，组织应为开发人员提供全面且灵活的学习路径，指导他们将安全最佳实践融入日常工作。通过超越最低限度的合规努力，为开发人员提供真正理解安全所需的资源，组织能够在满足PCI DSS 4.0要求的同时，增强开发人员整体做出更优安全决策的能力。

好消息是，PCI DSS 4.0的大部分新要求都针对认证、加密、访问控制、密钥管理等领域——这些领域对多数开发人员而言已相当熟悉。当开发人员获得既实用又相关且熟悉的技术提升资源时，组织就能更轻松地应对PCI DSS 4.0所需的新标准和强化责任。

利用PCI DSS 4.0作为基准来全面加强安全防护

通过优质的安全培训来满足开发人员的需求，对于成功遵守新的PCI DSS 4.0标准至关重要。但推动组织实现更优网络安全的努力不必止步于此。诚然， 尽管要求严苛，但多数组织本就需要为此付出努力，因此没有理由不将此作为提升整体安全意识与培训的契机。这不仅有助于满足合规要求，更能开始营造积极的安全文化——优先践行最佳实践，使全组织成员朝着共同的安全优先目标协同努力。

当然存在学习曲线，但开发人员也会为此付出努力。埃文斯数据的调查显示，在全球1200多名活跃专业开发者中，绝大多数受访者表示支持编写安全代码并为组织建立更完善的安防文化。显然，大多数开发者都欢迎将安全编码作为战略性转变并获得支持，同时欢迎将安全作为开发流程的一部分进行优先级调整。

PCI DSS 4.0要求的安全升级为企业提供了绝佳契机，使其能够投资于改进的安全最佳实践和培训，并在组织内部建立更完善的整体安全文化。

若企业投资于能将安全编码技术与相关工具及培训相结合的项目，开发人员将更易于提升安全成熟度。这将赋予开发人员超越严格的新PCI DSS 4.0标准的决策权，从而建立安全文化。

只需花几分钟浏览技术新闻，您就会立即意识到威胁环境正变得多么危险。重大安全漏洞、新发现的漏洞或网络攻击者与犯罪分子积极利用威胁的报道似乎每天都在涌现。几乎所有行业指标和报告都显示网络威胁数量正日益增长，多数专家预测这一趋势将在未来几年持续下去。

为应对这些新型威胁，奋战在前线的IT安全人员正面临人力枯竭与人才短缺的困境。尽管他们薪资丰厚且几乎是所有企业或组织不可或缺的存在，但可流动的安全人才永远供不应求。战略与国际研究中心最近的一项调查显示，82%的IT决策者表示其组织正因网络安全技术人才短缺而陷入困境，71%的人表示这种技术短缺已给组织造成直接且可量化的损失。报告显示，仅在美国，这个拥有约94万就业岗位的领域就有超过52万个网络安全职位空缺。

全球目前约有350万个网络安全岗位尚未填补。这意味着，即便是愿意支付高昂薪资来招聘和留住顶尖专业人才的组织，也难以找到合适的候选人。平均而言，完成招聘所需的时间延长了约21%。若能提升网络安全水平，那么在其他任何岗位上都难以获得如此高的职位。

开发者支持被忽视了太久。

在之前的博客中提到过，开发人员可以被利用来弥补网络安全防御中的诸多关键缺口。只是传统上，开发人员从未接受过网络安全方面的培训。他们的工作成果几乎完全基于部署速度和时间。更进一步说，应用安全团队负责安全工作。

遗憾的是，这并非仅仅改变方向、要求开发人员突然在应用程序和程序中添加安全措施就能解决的问题。即使多数受访者表示愿意接受这些变更且正在实施，要真正实现仍需教育培训。此外，虽然高层管理者的鼓励与支持不可或缺，但首要且往往最大的障碍在于如何实现有意义的学习。

全球范围内数百万高薪且高度安全的IT安全职位至今仍空缺，这绝非偶然。若工作轻松，人人都会涌入该领域。学习应对威胁、消除代码漏洞的方法本就困难重重，而威胁环境更在持续演变。即便对技术娴熟的开发者而言，网络安全培训也往往进展缓慢、效果短暂且影响有限。 尤其当这些要求叠加在原本就超负荷的工作日程上时，情况更为严峻。

打造踏脚石，攀登更高处

采用传统方法教授网络安全技术，犹如脚不离地却要建造超高层建筑。由于学生缺乏掌握网络安全这类复杂领域众多高阶概念所需的基础，这种做法根本行不通。为弥补这一缺陷，可采用以下概念进行支架式学习：

在采用脚手架或“分层”方法提升技能时，通常会将更宏大的主题分解为独立的学习体验或概念。这使学生能够通过适当的练习和指导掌握每个概念，并在每个组成部分获得所需的支持。正如建筑物拔地而起时需逐层搭建物理脚手架，新颖且更高级的概念会层层叠加在已掌握的知识之上。通过这种方式，学生能够达到远超自主学习水平的理解深度与技能掌握程度。

与物理支撑架类似，这种支持在不再需要时会逐步撤除，随着学生日益熟练，对学生的责任也随之加重。

支架式学习主要用于减少学生在尝试困难任务时可能经历的挫败感、恐惧或沮丧等负面情绪与自我认知。但当涉及处理现代网络安全这类极其复杂的概念时，它同样大有裨益。与其将开发者视为孩童，不如说当安全团队的经验可能导致同样的挫败与沮丧时，这种方法便显得尤为重要。 尤其当他们的努力因漏洞修复和新批评而遭到否定时。

当开发者获得理解安全编码基础的工具时（通常从OWASP十大漏洞开始）， 通过OWASP十大漏洞，开发者能亲身体验安全漏洞如何产生、为何危险，以及如何在进入生产环境前解决问题。这有助于积累解决复杂漏洞和实施优质修复的实战经验，从而拓展知识体系。随着能力层级的逐步提升，面对不安全的软件架构或威胁建模等高级安全问题时，这些飞跃将不再令人望而生畏，反而能精准应对。

行业不应期望开发人员成为安全专家。但组织可通过采用支持开发人员的新标准，生产出更高质量的软件。对于拥有高熟练度工程部门的组织而言，额外优势在于：每个阶段或层级的支撑框架都能在学习过程中直接转化为网络安全改进。无需等到培训课程结束，即可见证成效。

学习网络安全是一项艰巨的任务，若没有适当的帮助和指导，几乎不可能完全掌握。借助脚手架学习法并结合安全计划，您几乎可以立即看到成效，从而最大限度地发挥安全计划的作用。改进将几乎立即开始，并随着时间的推移持续提升。

与我们携手，开启打造强大安全开发者的征程。立即查看：

培训课程：
任务：
开发者培训：

... 以及更多！

我们最近有幸见到了第一件作品。这篇文章由福布斯科技委员会主席兼首席执行官彼得·丹尼厄斯亲自撰写。文中详细阐述了提升开发者技术能力、编写更安全代码对防范网络攻击和数据泄露的重要性。同时我们也了解到，具备安全意识的开发者如何能帮助企业更快地交付比多数IT部门预期的更优质、更安全的代码。这种方法的必要性不言而喻。最新研究显示，如今每39秒就发生一次网络攻击。我们都目睹过单次勒索软件攻击造成的混乱——尽管从更宏观角度看，科洛尼尔管道事件的破坏性不及SolarWinds黑客事件。

‍

许多常见漏洞依然存在。 这是因为没有人向开发人员展示如何用更安全的方式替代错误的编码模式，以实现相同功能的更优解。此外，在软件开发后期修复漏洞将导致时间成本激增，并造成部署延迟。一旦代码部署后，尤其当攻击者利用未被发现的漏洞时，修复工作有时可能耗费数百万美元——这还不包括因重大安全事件导致的企业声誉损失。

接受过安全培训的开发人员自然会成为更优秀的程序员。当然，首席信息安全官（CISO）不应立即放弃安全工具。但通过自上而下推动全面且预防性的安全策略，CISO能够充分利用企业最重要的资源——人力因素。尤其在软件开发生命周期的早期阶段，安全编码的实施更为关键。

为此，需要牢记的三大核心战略如下：

1.请主动采取行动，而非被动应对

例如，企业往往陷入被动应对的陷阱，例如在制定独特愿景并付诸实践时，反而专注于应对竞争对手的行为。此外，许多企业在代码安全漏洞方面也采取类似策略，仅在安全漏洞成功发生且无法避免时才严肃对待网络安全。遗憾的是，此时往往已造成罚款、恢复成本、客户流失、品牌修复等损失，最终损害企业收益。另一种替代方案是：不专注于构建安全代码，而是依赖自动或手动代码扫描来发现现有代码的漏洞。遗憾的是，代码扫描并非完美解决方案——代码漏洞越多，遗漏部分漏洞的可能性就越大。

只有采取预防性措施，并与开发人员合作，从一开始就帮助他们编写安全的代码，才能建立软件开发生命周期，从而大幅降低用户接触编码漏洞的可能性。

2.技能升级时，请勿勉强。

若决定为开发者提供编写安全代码所需的知识，请明智地选择方法。中断编码流程的内部培训研讨会会让开发者和管理者都感到沮丧。需要在夜间或周末参加的外部培训课程则更不受欢迎。最佳方案是循序渐进地提升编码技能。在编码过程中分阶段提供相关知识——既能避免分散开发者注意力或延误开发进程，又能切实提升技术能力。

3.提供激励措施，不要做假设

开发者不应将提升安全技术视为惩罚或完全的折磨。管理者应向开发者传达安全代码对公司成功的重要作用，以此激发他们的热情。同时，强调安全编码者对公司更具价值，未来将获得更多职业发展机会，这一点也至关重要。

拜登政府的欢迎 行政命令 对网络安全的关注度提升，且"需包含评估开发者与供应商自身安全实践、识别创新工具或方法以证明合规性的标准"。然而工具虽不可或缺，却非万全之策。任何工具都无法彻底消除个人忽视现有系统工具、 误解、滥用或以其他方式规避现有系统与工具的能力。为最大化企业安全防护，首席信息安全官（CISO）需善用人性因素，激励开发者自愿成为安全倡导者与实践者。