开发人员风险管理是一种全面、主动的应用程序安全方法，重点关注代码贡献者，而不是应用程序层本身的比特和字节。

在整个 SDLC 过程中主动测量、管理和减轻开发人员的安全风险，从而改善安全状况，更快地发布软件，并将漏洞减少 53% 或更多。

开发人员风险管理背后的理念是，通过提高代码贡献者的技能，并以编程方式对安全编码技能进行管理，开发人员驱动的安全代码计划的效益和影响将成倍增加。

自美国政府网络安全与基础设施安全局（CISA）发布其全面的《安全设计指南》以来，已经过去了两年时间，这标志着影响软件制造商的一个分水岭。在提高软件质量和安全标准方面，第一次有了明显的高层支持，同时也推动了供应商（而非最终用户）对确保代码在运输过程中不存在漏洞负责。

然而，事实证明，在企业层面实际执行这些原则并没有达成共识。在安全专业人士中，对于什么是 "安全设计 "似乎还没有达成共识，更不用说实现 "安全设计 "的标准途径了。 Secure Code Warrior安全代码战士》采访了专注于构建软件的企业安全专业人士，深入了解他们目前采用的安全设计原则，包括如何在当前的安全态势和软件开发生命周期（SDLC）中实施安全设计原则。很明显，在实施 CISA 指导方面没有一个被广泛接受的标准，也没有确定成功推广的有效基准。如果我们作为一个行业，要想从强化的安全责任和软件质量中获益，就必须迅速纠正这种情况。 

‍

在本研究报告中，Secure Code Warrior 联合创始人彼得-丹修（Pieter Danhieux）和马蒂亚斯-马杜（Matias Madou）博士，以及专家撰稿人、前美国国家网络总监克里斯-英格利斯（Chris Inglis）（现任帕拉丁资本集团战略顾问）和帕拉丁全球研究所高级总监德文-林奇（Devin Lynch），将揭示对企业安全领导者（包括首席信息安全官、应用安全副总裁和软件安全专业人士）进行的二十多次深入访谈的主要发现，其中包括：

‍

• 深入了解企业面临的常见安全计划挑战；
• 设计安全倡议的作用，包括如何在团队中启动和分配这些倡议；
• 人工智能在软件开发中的作用以及现代威胁建模；
• 对最佳实践的解释，以及精确数据和基准在整个行业与可行的 "设计确保安全 "战略保持一致方面所能发挥的作用。 

‍

专家支持让安全编码深入人心

SCW 专业服务将深厚的领域知识带入项目的每个阶段。我们的前安全从业人员团队采用基于风险的方法来加速成功。

• 依靠经过实战检验的专业知识--没有猜测，只有对现实世界的洞察力
• 采用基于风险的方法降低开发人员的风险
• 根据团队、工具和文化定制推广和培训计划
• 通过持续审查和投资回报率跟踪，不断改进您的计划

无论您是刚刚起步，还是要将您的计划提升到一个新的水平，我们都会帮助您更快地取得成功，并产生持久的影响。

‍

我们的内容经过精心策划，适用于软件开发生命周期中的任何角色。Secure Code Warrior 认为，软件开发中的每个人都有责任确保软件的创建和部署是正确的。因此，我们为以下角色提供了从认知主题到深入实践的一系列内容：

Secure Code Warrior 为软件开发生命周期中涉及的所有角色提供一系列内容，从认知主题到深入的实践操作。我们相信，软件开发中的每个人都会在软件的安全创建和部署中发挥作用。我们的内容是针对各种角色策划的。

• 软件开发人员：人工智能/Vibe 编码员、前端、后端、API 工程师、移动工程师、安卓/iOS 工程师、嵌入式和汽车行业工程师
• 技术专业人员：DevOps、系统管理员、云计算工程师、架构师、质量保证工程师/经理/测试人员、
• 管理层及其他人员：工程经理、产品经理/项目经理/业务分析师、数据科学家/分析师/工程师 

Secure Code Warrior 提供特定编码语言和框架的实践练习，以便开发人员将这些技能应用到日常工作中。我们支持超过 65 种编码语言/框架和 10.000 个实践活动。

Quests 是一个learning platform ，通过提高开发人员的安全编码技能，帮助他们降低软件安全风险。通过精心设计的学习路径、实践挑战和互动活动，该平台可帮助开发人员识别和预防漏洞。

OpenText Fortify 与Secure Code Warrior 合作，通过使开发人员成为安全卫士来增强应用程序的安全性。通过整合，可以开展有针对性的漏洞教育，加快修复速度，并提供实践培训，帮助开发人员从一开始就掌握编写安全代码的技能。

这种合作通过将安全嵌入软件开发生命周期，降低了安全风险，最大限度地减少了成本，简化了合规性，帮助公司建立客户信任，更快地交付高质量代码。

在我们的 One Pager 中了解更多有关合作的信息。