合规是良好安全的结果，反之亦然。如果开发人员积极学习并在日常工作中应用这些概念，那么安全就会在公司文化中得到全面发展。

了解 Netskope 如何利用Secure Code Warrior内容的灵活性和互动、实践的学习方法，为开发人员驱动的安全创建程序化方法，同时满足其行业的合规要求。

为拉开网络安全意识月的序幕，本网络研讨会将介绍以下内容：

• Netskope 的关键业务驱动因素以及他们如何为 SCW 和敏捷安全代码学习建立业务案例
• 为启动该计划采取了哪些行动，其目标是什么
• 如何与开发人员合作，并将他们的参与度作为一个成功因素来衡量
• Netskope 的 "勇士 "计划如何在两年内将参与 SCW 培训的人数增加一倍

自 2000 年代初以来，"向左转移 "的概念一直是网络安全行业讨论的一部分。随着全球数字足迹的增长，大规模网络攻击的威胁迫在眉睫，因此有必要制定防御战略。

然而，在 "向左转 "运动承诺彻底改变安全软件交付方式的二十年后，我们仍然面临着大量不安全的代码、组织安全意识淡薄，以及随之而来的网络犯罪数量和强度逐年攀升的问题。据估计，到 2025 年，网络攻击每年将给全球造成 10.5 万亿美元的损失。

不断扩大的网络安全技能鸿沟确保我们在相当长的一段时间内缺乏有经验的安全人员，尽管这是大多数安全领导者和 CISO 的关键痛点，但我们根本无法耐心等待情况发生奇迹般的变化。当前的方法存在缺陷，我们需要重振和利用我们眼前的资源，而真正的解救方法是培养具备安全技能的开发人员。

在本白皮书中，安全专家、Secure Code Warrior 首席技术官兼联合创始人 Matias Madou 博士将与大家探讨：

• 为您的开发团队提供有效的安全教育和培训所需的六大支柱。
• 十位高管在企业层面实施安全计划的经验教训。
• 在通往成功的道路上应避免的常见陷阱。

‍

在这个崇尚 DevSecOps、持续交付和前所未有的数据挖掘的时代，精明的组织正在帮助像您这样的开发人员提高技能，使他们成为具有安全意识的超级明星，帮助他们在生产前消除常见漏洞。当你生成的高质量代码中没有那些恼人的、引人注目的漏洞时，不仅对最终用户来说更安全，对你来说也减少了返工和干扰。以下章节将重点讨论与应用程序编程接口 (API) 相关的一些最严重的安全漏洞。这些漏洞非常普遍，以至于在 2023 年开放式 Web 应用程序安全项目（OWASP）新发布的 API 顶级漏洞列表中榜上有名。鉴于 API 对现代计算基础设施的重要性，这些都是您需要不惜一切代价防止应用程序和程序出现的关键问题。

浏览这本全新的电子书，了解更多信息：

• 十大 API 漏洞各自的工作原理，以及攻击者如何利用这些漏洞
• 它们看起来像什么，以及如何使用良好的编码模式来解决这些问题（附带真实的实践挑战链接）
• 如何在日常工作中以创新的步伐驾驭安全。

‍

组织在处理安全问题时，通常以有机降低风险为目标--通常是通过识别能够发展成为安全卫士的开发人员。然而，识别和培养安全卫士所面临的挑战是，如何建立一个可长期扩展的计划，并使开发人员有能力帮助提高组织的整体安全态势。

在本报告中，您将了解 Devlympics 2022 成果概览，并深入了解数百名参赛者在挑战中凸显的优势和机遇。此外，您还可以了解如何为贵组织的技能组合设定基准，并找到激励向开发人员驱动型安全转变的方法。

背景介绍

泰雷兹集团是一家法国跨国公司，为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及装置和设备。Viswanath S. Chirravuri 是泰雷兹集团的软件安全技术总监。Viswanath 或 Vis 最初以程序员的身份开始了他在安全领域的职业生涯。他现在是泰雷兹公司的高级安全主管，拥有超过 18 年的安全行业经验，并持有 30 多项认证，包括 CISSP、PMP 和 GSE。他曾为 18 个国家的 3000 多名软件专业人员提供过培训。此外，Vis 还在国际网络安全tournaments （如 Netwars）比赛中赢得了 10 多枚 SANS 挑战币，并且是 GIAC 咨询委员会的活跃成员。我们采访了 Vis，了解他如何将人员、流程和技术相结合，在泰雷兹成功开发了安全代码学习项目。

情况

Vis 加入泰雷兹公司之初，他指导业务部门研究通过笔测试发现的漏洞来源，以此作为减少技术债务积压的可能解决方案。应用安全团队使用 7 个不同的供应商来巩固他们的安全态势--从 IAST/ DAST 工具到笔测试工具。Vis 希望了解市场趋势，并以可扩展的方式管理威胁，通过流程与技术的紧密结合制定缓解策略。这意味着要从纯粹基于工具的方法转变为具有强大学习成分的战略。他注意到，许多开发人员并不具备安全背景或安全技能。他最初的方法是为开发人员提供基于课堂的培训，培训主题包括 OWASP Top 10 等，但他很快意识到，由于亲自授课需要出差，而且需要覆盖全球成千上万的开发人员，这种方法无法扩大规模。维斯指出

"安全和开发之间的比例总是不平衡的。即使我的安全人员与开发人员的比例是 1:1，我也无法让他们始终参与其中。让我们的开发人员了解新的攻击载体、最佳实践、新语言和新发现的漏洞，意味着我们需要促进开发人员的自学，让他们能够按照自己的节奏进行学习。如果他们需要帮助，我可以帮助他们，但我意识到，我不能教他们如何修复他们发现的每一个漏洞。

起初，由于许多开发人员都是从零开始，开发经理对开发人员需要在安全代码学习上投入时间表示反对。Vis 需要管理这样一种观念，即对安全代码学习的承诺可能会扰乱软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法，适当地激励组织将时间花在安全代码的敏捷学习上。Vis 采取了以人为本的态度，从源头上解决漏洞问题、 "人们常说，安全会占用开发时间。对我来说，如果你开发的东西不安全，那一开始就是在浪费时间。你应该始终以安全为目标开发软件，这样就可以省去修复本可以轻松避免的漏洞的时间。我们的共同目标应该是开发出可靠的代码。

行动

Vis 有两个主要目标：确保软件的安全和提高 Thales 开发人员团队的安全意识。实施一项允许开发人员独立并按照自己的进度进行培训的计划至关重要。Vis 的战略是逐步建立一个安全社区，努力将安全编码与企业政策联系起来，并在组织内制定安全代码学习的任务。通过鼓励将开发人员、测试人员、架构师和工程师联系起来的社区文化，他看到了激励的倍增效应。安全拥护者的出现，让他们把对安全的热情作为日常工作的一部分，帮助在整个组织内传播安全编码实践的意识。Vis 评估了十几家安全培训供应商，并于 2019 年成为 SCW 的客户。对于泰雷兹而言，拥有一家涵盖其环境中所有编程语言和框架的供应商，而不是零敲碎打的解决方案，是一个巨大的优势。Vis 借助Secure Code Warrior的海量内容，为安全项目中的开发人员提供培训和自定进度的学习：

"OWASP Top 10 不仅仅是你需要知道的十件事那么简单。OWASP 所涵盖漏洞的深度和多样性，再加上编程语言的数量之多，可能会让人应接不暇--我们在这些方面所面临的挑战和覆盖范围之广，是我们选择 SCW 的一个关键因素。他们一直在增加新内容。深度、主题多样性、最新内容以及对安全代码设计原则的关注使 SCW 脱颖而出。与他们合作，这不是一次性使用的培训，相反，我们获得了建立一个持续项目的机会。

Vis 和他的团队将安全代码学习计划的推广分为四个层次，每个工程角色都有不同的里程碑：

重要的是，SCW 成为了漏洞修复的真实来源。Vis 发布了 AppSec 团队的指南和 SCW 内容库中的指南，而不是依赖谷歌搜索来排除故障，这样开发人员就可以在代码中参考可信、真实的漏洞修复来源。维斯认为

"开发人员不应该随意决定如何修复漏洞，并有可能在修复过程中引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中，以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种方法，确保提供安全软件的开发人员得到认可。我们要求他们达到一定的安全编码水平，我们可以通过他们解决的漏洞进行跟踪，而不会再次引入漏洞。这样，他们的辛勤工作就得到了公司的认可和重视。

成果

Vis 和他的团队每月都会发布一份安全代码通讯，对公司中的优秀学习者进行表彰。他们使用 SCW 查看assessment 分数、tournament 参与情况和挑战，以扩大这一成就。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞总数。实施 SCW 后，他注意到了一条下降趋势线。这些漏洞不会在源代码层面再次出现。Vis 这样说道：

"我们向管理层提交的关键绩效指标反映了我们在充分了解情况后做出的选择。我们感到自豪的是，我们的安全代码培训为客户带来了商业信心。我们的全面安全代码培训计划得到了客户和同行的认可和尊重。有了这样的计划，公司的价值就会大大增加。

主要收获

Vis 认识到，人员、流程和技术在任何安全计划中都扮演着重要角色。通过关注软件的安全性、开发人员的知识和合规性--就有可能为安全代码计划提供敏捷的学习方法，从而随着时间的推移减少源代码中的漏洞。Vis向其领域内希望在开发人员团队中培养安全技能的专业人士提出了这些建议。

定义一个敏捷的安全编码学习计划不是一件容易的事，特别是当有合规要求和发布期限需要满足时。但这是一个值得的努力，它将产生的好处，如提高生产力和减少风险。 

对开发团队安全成熟度的评估基于其左移并将安全嵌入软件开发生命周期所有阶段的集体能力，使具备安全技能的开发人员成为识别和修复漏洞的第一道防线。 

在本指南中，我们探讨了从三位现实生活中的Secure Code Warrior 客户那里学到的经验。通过学习他们的经验，你可以开始为你的组织组装一个敏捷的安全代码学习蓝图。

发现：

• 在开发者安全成熟度的不同阶段，组织面临哪些挑战？
• 一路走来，学到的关键经验是什么？
• 在安全成熟度旅程的每个阶段，你可以期待什么结果？

DevOps和安全专业人员必须适应不断变化的网络安全环境，而行业对开发人员的技能提升方法也需要随之发展。 

我们现在知道，开发人员运送代码的速度比以往任何时候都快。这就带来了新的风险，因为为了满足紧迫的期限和市场需求，安全问题往往被置于次要地位。 

现代组织采用敏捷学习原则的开发者驱动的安全。这种快速而灵活的方法使开发人员能够迅速内化安全编码技术，并能立即应用。

Secure Code Warrior 教导开发人员如何在编码时识别、避免和修复漏洞。我们的安全编码的敏捷learning platform ，让开发人员可以自由地以他们喜欢的方式学习，拥有目前行业中最完整和可靠的漏洞内容。

通过将敏捷的安全代码学习与现代软件交付相结合，开发人员可以在整个软件开发生命周期中有效地学习、应用和保留软件安全原则。 

在这本电子书中，你将学会如何：

• 将敏捷学习原则与DevSecOps交付方法相一致，并将安全转移到软件开发生命周期的起点。 
• 了解安全成熟度的阶段，为你的敏捷安全代码学习方法建立一个基线。
• 利用SCW的安全专家和SCW客户的建议和关键行动。