媒体发布

Secure Code Warrior 研究:关键基础设施行业在 "按设计提供安全 "的开发人员准备工作方面取得进展

发布日期:2024 年 10 月 15 日
由Secure Code Warrior

与帕拉丁全球研究院(Paladin Global Institute)合作开展的新分析强调,开发人员迫切需要提高技能,以正确衡量 "按设计确保安全 "的进展情况 

波士顿 - 2024 年 10 月 15 日- 今天、 Secure Code Warrior今天,全球开发人员驱动型安全领导者--安全可靠公司(Secure-by-Design,SBD)发布了关于开发人员技能提升及其对企业 "按设计确保安全"(Secure-by-Design,SBD)计划影响的最新调查结果。自 2024 年 4 月以来,包括Secure Code Warrior 在内的200 多家公司签署了 "按设计保证安全 "承诺。新的分析表明,金融服务、国防、医疗保健和 IT 等关键基础设施行业的企业在培养开发人员以推进其 SBD 计划方面正在取得进展。Secure Code Warrior 发现,这些行业的开发人员团队拥有的平均安全态势(以SCW 信任分数衡量)高于其他行业,SCW 信任分数是量化开发人员团队安全能力的全球基准。 

首席信息安全官(CISO)发现,在其 SBD 计划的早期阶段,越来越难以证明真正的投资回报率。近年来,缺乏一个基准来评估组织如何跟踪行业标准一直是一个关键挑战。让 "按设计保证安全 "计划发挥作用的关键,不仅是让开发人员掌握确保代码安全的技能,还要让行业和政府监管机构确信这些技能已经到位。

"帕拉丁资本集团(Paladin Capital Group)高级战略顾问、前国家网络总监克里斯-英格利斯(Chris Inglis)说:"现在,我们比以往任何时候都更有责任确保制定 SBD 技能提升计划。"降低风险是这一最新分析的核心,Secure Code Warrior ,在加强开发人员安全学习、预防网络攻击和加强国家关键基础设施方面发挥着领导作用"。

主要发现: Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于对全球 600 家企业客户和 25 万多名活跃开发人员的 2,000 多万个数据点的深入了解。分析发现

  • 目前参与以开发人员为中心的 SBD 技能提升计划的开发人员总数不到全球开发人员总数的 4%。
  • 与非关键基础设施的平均水平相比,某些关键基础设施部门(如金融服务业)拥有最高的安全态势(以 SCW 信任分数衡量)。例如,金融服务业的平均信任分数为 336 分。 
  • 但令人惊讶的是,即使有合规性和监管要求,金融服务部门的安全态势也与其他几个关键部门类似。 
  • 大规模和较小规模的 "按设计确保安全 "技能提升计划都能取得成功,而且研究表明,较小规模的计划可以快速启动并加快运行速度。但要使这些计划取得成功,并尽快实现可衡量的投资回报率(ROI),研究表明必须制定一项任务。
  • 当提高技能的措施落实到位时,开发人员在应用程序中引入的风险就会大大降低。分析发现,在大型技能提升计划中(一家公司有 7000 多名开发人员),开发人员可预见地将漏洞减少 47-53%。

随着各国在其更广泛的网络安全战略中加入类似的指导方针,"按设计安全"(Secure-By-Design)正在全球范围内获得越来越大的发展势头。然而,如果没有正确的数据点作为开发人员技能基准的依据,为开发人员提供安全默认设置并培养一支了解安全的软件开发人员队伍将很难实现。如果能在既定基准的基础上,通过解决开发人员面临的实际问题的实践课程,敏捷提高技能的计划就能引起开发人员的共鸣。

"帕拉丁全球研究所所长、前代理国家网络总监肯巴-瓦尔登(Kemba Walden)说:"在全球网络威胁空前严重的时刻,这些新发现表明,有必要在我们的数字基础设施中加强 SBD 计划,以减少关键漏洞。"这项研究发出了明确的行动号召,要求提高人员技能并制定基准,以实现关键的网络安全目标。

"Secure Code Warrior 联合创始人兼首席技术官马蒂亚斯-马杜(Matias Madou)说:"通过使安全编码成为组织 DNA 的重要组成部分,基准和基准可以极大地优化组织的安全态势。"要想知道 SBD 计划是否取得了真正的进展,你需要量化证据来证明开发人员的技能提升工作是有效的,而且他们将安全最佳实践融入了自己的工作习惯。你必须完全相信,开发人员真正赢得了他们的代码许可。"

许多安全领导者一直强调,企业安全计划的大多数要素都难以扩展,尤其是那些涉及个人人员的持续技能提升和assessment 。这种担忧不无道理,但在一些全球立法改革和指导方针要求开发人员具备经过验证的安全技能之后,这种担忧必须得到克服。全球许多组织都在采取行动,并实施了大规模的技能提升计划,这些计划正在产生重大影响。 

欲了解有关Secure Code Warrior最新分析和 SCW 信任度得分的更多信息,请点击此处

关于Secure Code Warrior :

Secure Code Warrior 是一个安全编码平台,它制定了保护数字世界安全的标准。我们通过提供世界领先的敏捷learning platform ,为开发人员学习、应用和保留软件安全原则提供最有效的安全编码解决方案。 600 多家企业信任Secure Code Warrior 来实施敏捷学习安全计划,确保他们发布的应用程序不存在漏洞。

有关Secure Code Warrior 的更多信息,请访问www.securecodewarrior.com

阅读全文...
资源中心