敏捷学习平台：开发人员驱动型安全的投资回报率

在快速发展的软件环境中，开发人员现在承担着设计安全产品的责任。在Secure Code Warrior 和埃森哲的这份联合报告中，我们探讨了传统安全培训所面临的挑战，以及破坏开发人员工作流程的机会成本。进入安全代码的敏捷learning platform ，可将漏洞减少一半，同时提高生产率。 

在本白皮书中，Secure Code Warrior 和埃森哲的专家将为您解读： 

• 如何利用许可、工资和补救时间等因素计算敏捷学习的投资回报率。 
• 了解埃森哲如何整合Secure Code Warrior ，改变安全代码培训并强调开发人员教育的价值。
• Secure Code Warrior 用户的开发效率提高了 148%，漏洞数量减少了，发布周期加快了，从而使主动安全变得经济可行。

‍

什么是Devlympics？

Devlympics 是一年一度的全球性运动会 tournament 主办单位 Secure Code Warrior 关于其敏捷性 learning platform 测试开发人员的安全代码技能。

在 24 小时的tournament 中，来自世界各地的开发人员使用自己选择的编程语言参加了攻防编码挑战赛。开发人员有机会在各种技能方面与同行一决高下，以获得积分并登上排行榜首位。

在本报告中，您将大致了解 Devlympics 2023 的结果，并深入了解数百名开发人员在所面临的挑战中强调的优势和机遇。此外，我们还重点介绍了开发人员处理的每个行业、语言和常见 CWE（常见弱点枚举）的趋势，以帮助将您的安全代码学习提升到一个新的水平。

开发者对 Devlympics 和 Secure Code Warrior

"Secure Code Warrior 是一个很好的平台，可以与其他参与者竞争并提高你的技能。

"Secure Code Warrior 采用交互式、类似代码审查的方法” 

"Secure Code Warrior 是最好的平台之一，可以通过有趣的竞争来训练你。

“令人兴奋，激动人心，我喜欢它！” 

开发者喜爱 Secure Code Warrior

活动结束后，我们对 200 多名参与者进行了调查，数据显示开发人员喜欢比赛。

开发人员参与

开发人员参与 Devlympics 的人数逐年增加，2023 年将有超过 1000 名开发人员参加tournament 。Devlympics 吸引了来自世界各地、多个行业和编程学科的安全专业人士和开发人员的关注。参与人数比去年翻了一番，我们注意到开发人员越来越热衷于学习如何安全编码的趋势。通过发展具有安全技能的开发人员社区，Devlympics 将继续强调开发人员作为保护代码免受漏洞攻击的第一道防线的价值。

‍

参加Devlympics的行业

安全代码对所有行业都很重要，但对某些特殊行业来说，它绝对是关键任务。银行与金融服务和技术等行业的开发人员参与人数位居前列。这表明了这些行业持续关注和重视安全代码的重要性。

‍

行业使用的语言

不同的行业使用各种编程语言 - 其中有 6 个不同的类别（Web、移动、前端、API 和云，以及 Mashup），有 30 多种不同的语言可用。这些是我们注意到的不同行业趋势的一些语言。

‍

停不下来，停不下来

Devlympics 的玩家平均在平台上花费了近 3 个小时，总共玩了 4,152 小时。

排行榜上名列前茅的一些开发者将其提升到了一个新的水平。上场时间最长的前 20 名球员平均在 14 小时内上场 tournament.这就是奉献精神！

‍

全栈开发人员

在 Devlympics 中，41% 的开发者至少使用 2 种不同的语言进行游戏，近四分之一的开发者使用 3+ 种语言进行游戏。

根据 Stack Overflow 的说法，以 2 种或更多语言提交生产代码的开发人员被视为全栈开发人员。

您的培训计划是否确保开发人员接受过所有技术的培训？Secure Code Warrior 平台提供超过63 种不同的语言和框架，可以满足您的需求。

‍

‍

技术栈趋势

安全代码在可公开访问的代码中至关重要。

在所有行业中，开发人员都使用 Web 或 API 语言进行游戏。

Java Spring 和 Docker Basic 作为 tournament.

‍

‍

‍

安全拥护者社区

在今年的Devlympics中，最优秀的人参加了比赛--他们中的大多数人已经 Secure Code Warrior 客户 - 结果反映了这一点！在所有行业中，Devlympics 参与者的表现都远好于行业基准 Secure Code Warrior 已注意到其平台上的评估。

随着我们继续在 Secure Code Warrior 平台，我们预计这些数字每年都会越来越有希望！

主要漏洞 - Web 和 API

参加 Devlympics 的开发人员在 OWASP 前 10 名的注入缺陷和易受攻击的第三方组件类别中表现出良好的技能水平。我们乐观地认为，随着时间的推移，我们最终会看到这些漏洞从 OWASP 前 10 名列表中消失。

大规模分配仍然是一个主要问题。开发人员的技能水平是此特定漏洞的较低水平之一。鉴于该领域缺乏自动化工具和测试，这是一个真正令人担忧的问题，应密切监控。该领域的更多教育也将有助于减轻安全团队处理此特定漏洞的压力。

‍

‍

CWE最危险的 25 个软件弱点

通用弱点枚举 （CWE） 前 25 个最危险的软件弱点列表为开发人员提供了当今最常见和最有影响力的软件弱点的年度列表。

#1 CWE-787 内存损坏、#9 CWE-352 跨站请求伪造和 #10 CWE-434 文件上传是开发奥运会期间最低的准确度分数。 

与注入相关的漏洞，如 #3 SWE-89 SQL 注入、#5 CWE-78 操作系统命令注入和 #8 CWE-22 路径遍历是 Devlympics 期间得分最高的 CWE。我们预计，随着开发人员技能的提高，这些漏洞在 CWE 25 强或 OWASP 10 强等行业榜单中的排名会下降。

‍

顺序上的弱点

‍

总结

2023 年开发者奥运会表明，世界各地的开发人员在参与 tournament.这种影响将不仅仅是他们从比赛中感受到的自豪感，但现实世界的场景使他们很容易保留知识并从实践到应用。

Secure Code Warrior 是业界领先的安全代码敏捷 learning platform 这使开发人员能够培养编写安全代码所需的技能。

通过Secure Code Warrior ，您可以为自己的开发团队举办类似 Devlympics 的 tournament 。让您的团队一起参加有趣的游戏化竞赛，学习如何定位、识别和修复软件漏洞。

‍

加入不断壮大的社区

我们的愿景是激励一个由安全技能开发人员组成的全球社区，拥抱预防性、安全的编码文化。我们的重点是通过最大限度地减少攻击、威胁和风险的发生来增强安全弹性，以便您能够推动变革、创新和加速。我们相信，辅导和指导是加入我们的开发者社区不可或缺的一部分！

注册 Devlympics 2024 并在 X 上关注我们 ，了解所有公告的最新信息。

‍

‍

简要说明

赛捷是一家英国跨国企业软件公司，为企业提供简单易用的薪资、人力资源和财务软件和服务。截至 2017 年，它是英国第二大科技公司、全球第三大企业资源规划软件供应商，也是小型企业的最大供应商，在全球拥有 600 多万客户。

情况 

在与Secure Code Warrior 合作之前，Sage 已开始概述其安全冠军网络约 10 年。尽管拥有强大的以安全为重点的开发人员网络，但培训是零散的，而且没有将重点放在 降低风险上。 

赛捷公司认识到，重要的是要花时间建立关系，并通过灵活的方法在一段时间内嵌入安全性。赛捷公司的计划将其目标与降低风险和该计划的重大影响联系在一起。在某些业务部门试行该计划时，他们将重点放在如何衡量风险降低情况，并将其反馈给业务部门，以赢得开发人员和高层领导的支持。 

行动

Mads Howard 是 Sage 公司以人为本的安全负责人，她与开发人员合作，了解安全拥护者的角色。她会见了每个业务部门的开发人员，并对他们进行了访谈，以了解他们的动机、喜欢学习的方式以及在工作中遇到的限制。她和她的团队努力与开发人员及其团队领导建立关系，并强调方法灵活的重要性。

Mads 强调建立关系的方法、

"我们花了很多时间与开发团队领导、工程团队领导和产品经理建立关系--这些人控制着冲刺周期内用于教育的时间。

根据 Mads 的说法，这也可以归结为扩大他们的安全冠军网络、

"安全冠军网络一直被视为该计划的关键控制环节。因此，为了让产品能够顺利通过该计划，我们必须真正认真对待安全卫士的作用，并为他们提供扎实的安全培训。" 

赛捷公司全球安全团队的目标是实施一项安全控制计划，该计划要考虑到开发人员在复杂技术环境中 的学习需求，并选择一个能与其现有安全工具 一起工作的合作伙伴，以帮助进行漏洞管理。 

重要的是，教育被视为成熟安全控制计划的一个重要方面。他们侧重于通过以下方式衡量风险降低情况： 

• 提高风险评分
• 脆弱性年龄 减少脆弱性积压工作
• 决议时间
• 无封闭漏洞 v. 开放漏洞
• 每行 Sage 编写的代码（非第三方）的问题数

给麦兹

"作为一家企业，赛捷下一阶段要证明的是，通过嵌入开发人员工作流程的安全编码计划进行技能提升，可以显著降低风险"。

成果

Mads 强调了Secure Code Warrior 为她和她的团队提供的合作伙伴关系和指导的重要性、

"老实说，如果没有Secure Code Warrior 的支持，我们不可能走到今天这一步，也不可能建立起一种在不同技术的不同层级或开发团队方面具有这种成熟度的程序"。 

Mads 和她的团队完成访谈并赢得开发人员的支持后，她开始实施Secure Code Warrior ，使其成为更广泛的安全文化计划的一部分。 

麦德斯认为，结果是：

"赛捷现在有 200 多名安全卫士参加了该计划，如果一名安全卫士每周拿出 3.5 个小时（或 10%的时间）来进行技能建设，他们就能倡导安全编码计划，倡导持续培训，倡导该计划为他们带来的价值。" 

有了高层领导的支持和围绕降低风险的可衡量目标，Mads 不仅能开始衡量平台上的人数和游戏时间，还能开始衡量修复漏洞的时间、漏洞年龄，然后与为客户构建的新功能进行比较，以全面了解降低漏洞的情况。一个团队感受到了巨大的影响--修复漏洞的平均时间减少了 82%。. 

不过，Howard 补充说，更重要的是无法量化的因素，即团队的参与、承诺和参与计划的意愿。

主要收获

赛捷公司的经验强调了精心策划和执行安全培训的意义，以及灵活、综合方法的重要性，这对任何旨在实施稳健、安全编码计划的组织来说都是值得借鉴的经验。Mads 认为，重要的是要记住，与开发人员合作，而不是与他们作对，是成功实施安全控制计划并将安全融入公司文化的关键。 

• 创建安全文化并非一朝一夕之事。重要的是要花时间建立关系，在一段时间内嵌入安全文化，并为此投入资源。 
• 将一切都与降低风险联系起来，重点关注安全编码项目的实质性影响。
• 重点关注如何衡量风险降低的程度，并将其反馈给业务部门，从而使开发人员和高层领导都认为该计划是有影响力和成功的。 

对于希望成为安全卫士的开发人员，她和她的团队也提出了这样的建议： 

• 在你周围建立一个由对安全感兴趣的人组成的网络，并参与会议和讲座。花时间学习你感兴趣的话题。 
• 请记住，一个组织的文化不是一朝一夕就能改变的，它需要时间来发展和成熟。 

‍

视频记录

传统的安全代码教育会让开发人员打哈欠。对吗？

通过安全代码战士的敏捷学习方法，开发人员可以快速学习与他们高度相关的短时微型教育。

通过编码实验室，您的开发人员可以在浏览器中运行的完全交互式集成开发环境中边干边学。

开发人员编写代码并修复现实世界中的漏洞。

编码实验室会根据他们的需要自动提供实时的上下文反馈。这种在模拟集成开发环境中的实用学习方法能让他们保持参与，并与他们的日常工作更加相关。在降低风险、避免代价高昂的返工和更快地修复漏洞方面，生产率的提高是可衡量的。

编码实验室与其他安全教育选项有很大不同。它不需要开发人员启动新的虚拟机。

它通过开发人员熟悉和喜爱的用户界面提供实践教育。

它通过建议的代码片段和为解决开发人员的错误而量身定制的逐步解答，帮助开发人员向前迈进。

它还能让开发人员免于无效的课堂教学和以合规为导向的场合。这就是为什么secure code warrior 的客户在降低风险、避免代价高昂的返工和更快地修复漏洞方面看到了两到三倍的可衡量的生产力提升。

现在就预订演示，了解编码实验室的实际操作。

‍

视频记录

保证应用程序安全的难度和成本与日俱增。安全漏洞比以往任何时候都更普遍，成本也更高，监管合规性仍然非常复杂，传统的安全代码学习方法无法吸引开发人员或降低风险。

Secure code warrior 是安全代码教育的敏捷learning platform ，提供业界最深入、最新的安全内容。

正如敏捷交付实践通过将工作分成小的分层冲刺来彻底改变软件开发一样，Secure code warrior 将敏捷学习原则纳入安全代码教育，以便开发人员能够更快地内化和使用新技能。

我们的平台可直接在开发人员的工作流程中提供微量的学习内容。

在 GitHub、Jira 等开发人员的开发工具包中，学习体验被集成到开发人员的需求点中。

SCW 采用敏捷学习方法，为开发人员提供多种学习途径，无论是通过指导指南、视频、动手挑战，还是通过我们的浏览器 ID E 学习体验编码实验室。tournaments 通过secure code warrior 和我们的敏捷学习方法，您的开发人员将更快、更有效地内化新技能，因为他们是在日常工作的背景下，在他们日常使用的开发工具中边干边学，而不会打断他们的工作流程。

这就是为什么secure code warrior 的客户能在多个方面获得两到三倍的业务收益。

Secure code warrior 是安全代码教育领域的领导者，也是唯一基于敏捷学习原则构建的平台。立即预约演示，了解更多信息。

背景介绍

Netskope 是全球 SASE 领导者，帮助企业应用零信任原则和 AI/ML 创新技术来保护数据和抵御网络威胁。Netskope平台快速、易用，可随时随地为人员、设备和数据提供优化访问和实时安全保护。Netskope 可帮助客户降低风险、提高性能，并获得对任何云、网络和私有应用程序活动的无与伦比的可见性。成千上万的客户信赖Netskope及其强大的NewEdge网络，以应对不断变化的威胁、新风险、技术转变、组织和网络变化以及新的监管要求。

情况

云计算和人工智能的创新速度大大加快了软件开发的生命周期。詹姆斯-罗宾逊（James Robinson）--Netskope 公司的首席信息安全官--认识到，仅用少数几种语言的安全开发视频来满足合规性目标，这种为开发人员提供培训的方式在当今市场上是不可持续的。在他的组织中，这些语言的快速应用和快速变化给 Netskope 开发人员带来了挑战，不仅要让他们掌握新的语言和技术，还要让他们熟练掌握安全技术。

Netskope 尝试创建更多自定义连接，以拓宽开发人员所接受的语言和覆盖范围，但参与度仍然很低，很快，培训开始对工作效率构成挑战。詹姆斯希望转变他们的方法，通过更多的实践学习方法让开发人员对这一主题感到兴奋。

行动

每年进行的培训，或临时提供的培训，并不能全面解决各种SAST工具，如代码扫描仪等基础设施，也不能集成到Netskope的CI和CD安全步骤中。Netskope 需要将开发人员的安全参与整合到分析和测试流程中。这为安全开发教育提供了一个基线，补充了他们的合规性要求。

左移

当 Netskope 开始讨论 "左移 "时，我们不禁要问："左移 "究竟是什么意思？需要左移多远？领导层决定在内部将名称改为 "自助式采用"。原则上，这样做的目的是让开发人员能够主动接受安全代码教育。在与 Secure Code Warrior的合作中，他们建立了一个计划，让开发人员能够看到并访问安全内容，这样他们就不会徘徊于未经审查的解决方案。

可操作性和价值

可定制的内容和大量的实践学习活动也为安全和开发人员团队之间更开放、更富有成效的对话提供了机会。 Secure Code Warrior还为安全团队和开发人员团队之间进行更开放、更富有成效的对话创造了条件。当开发人员开始意识到实现合规性之外的价值时，他们对安全的参与度和兴趣也随之提高。这也为他们提供了机会，让他们能够审视关键的、反复出现的漏洞，从而创建更多的教育内容来补充他们的计划。

成果

推出计划后，Netskope 一直努力收集开发人员的反馈意见，以确保他们从平台中获得最大价值。结果非常积极。

Netskope 的 CISO James Robinson 说：

我们的开发人员团队在很大程度上得益于Secure Code Warrior的平台，通过采用更具吸引力的自助式学习方法，成功地实现了左移，让开发人员更快地掌握学习途径。更重要的是，我们觉得我们获得了更好的 投资回报我们的开发人员教育培训工作获得了更好的投资回报，因为参与度提高了，而且这些工作不再让人觉得是检查框中的合规授权活动。这一切的副产品就是，我们让我们的开发人员成为了安全卫士"。

主要收获

• ‍没有在强大的应用程序安全团队上进行投资 的组织会通过代码引入更多风险。 这最终会浪费修复漏洞和解决安全问题的时间和金钱。
• 利用该计划的优势，每月只需通过相关内容学习几个关键知识，就能节省时间，而不是进行长达一小时的以合规性为导向的年度培训。 通过教育开发人员节省下来的时间，将体现在减少了修复漏洞所需的返工，而这些漏洞本来就不应该出现。
• 现在有一项新的任务，即对云解决方案进行大规模编码。 多年前，人们期望开发人员通过一种编程语言来确保代码安全。如今的高科技市场已不再如此。您需要选择多种语言，这些语言应与公司希望构建和开发的云基础设施和应用程序最匹配。

情况

在 Workday 通过Secure Code Warrior 实施敏捷学习之前，他们使用的是内部courses ，其中包括 PowerPoint 演示文稿的录音，内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到，这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣，他们决定开始征求他们的反馈意见，并注意到有两个项目不断出现：

1. 需要更多的实践型培训 
2. 需要更多针对具体语言的内容
   

行动 

在与开发人员合作的过程中，亚历克斯和他的团队确定了赢得开发人员支持的两大重点，以创建一个吸引人的、成功的安全代码学习计划。

简洁明了 

大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到，SCW 能让开发人员对流程有清晰的认识，拥有流程并将其整合到工作流程中。

可操作性和价值 

开发人员首先希望能够对影响代码库/生命周期的问题采取行动，而且要快。为此，开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣，就必须突出这些主题的价值。

在构建计划方面，Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见，并与客户成功经理合作实施他们的建议。然后，Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标，以评估他们当前环境中的最高风险是什么，以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
‍ 最常见的高风险漏洞。

"通过为开发人员提供学习机会和机构，SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题，也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是，这是整个公司都支持的领域，因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习，有助于建立肌肉记忆的连贯性。"
‍

成果

传统上，人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作，Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目，这是该计划最大的影响。对于一个位于都柏林的团队来说，他们的开发人员在大约 18 个月的时间内从 4662 个安全问题（平均每天 31.08 个问题）减少到了 0 个。

亚历克斯将该计划的发展描述为："在我们开始培养顶级安全拥护者之后，出现了滚雪球效应。随着我们向领导层宣传该计划及其益处，并不断增加我们的成员，我们几乎看到了口口相传的自然增长。从培训的角度来看，我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展，这一点尤为重要。

主要收获

Alex 认为： "为了成功地提高安全性，我们的开发人员必须具备安全思维，以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划，即增强开发人员的能力，帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好，我们从扫描和 pentest 结果中看到的漏洞就越少。

对于开发人员来说，在学习安全知识时享受乐趣是非常重要 的
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习，请完全接受它。将其视为开发过程和职业发展的一部分。

‍如果开发人员对安全问题感到好奇，鼓励他们主动联系团队
进行对话，并开始合作。

将安全作为黑盒子或项目的附属品是过时的，最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。

‍

合规是良好安全的结果，反之亦然。如果开发人员积极学习并在日常工作中应用这些概念，那么安全就会在公司文化中得到全面发展。

了解 Netskope 如何利用Secure Code Warrior内容的灵活性和互动、实践的学习方法，为开发人员驱动的安全创建程序化方法，同时满足其行业的合规要求。

为拉开网络安全意识月的序幕，本网络研讨会将介绍以下内容：

• Netskope 的关键业务驱动因素以及他们如何为 SCW 和敏捷安全代码学习建立业务案例
• 为启动该计划采取了哪些行动，其目标是什么
• 如何与开发人员合作，并将他们的参与度作为一个成功因素来衡量
• Netskope 的 "勇士 "计划如何在两年内将参与 SCW 培训的人数增加一倍

自 2000 年代初以来，"向左转移 "的概念一直是网络安全行业讨论的一部分。随着全球数字足迹的增长，大规模网络攻击的威胁迫在眉睫，因此有必要制定防御战略。

然而，在 "向左转 "运动承诺彻底改变安全软件交付方式的二十年后，我们仍然面临着大量不安全的代码、组织安全意识淡薄，以及随之而来的网络犯罪数量和强度逐年攀升的问题。据估计，到 2025 年，网络攻击每年将给全球造成 10.5 万亿美元的损失。

不断扩大的网络安全技能鸿沟确保我们在相当长的一段时间内缺乏有经验的安全人员，尽管这是大多数安全领导者和 CISO 的关键痛点，但我们根本无法耐心等待情况发生奇迹般的变化。当前的方法存在缺陷，我们需要重振和利用我们眼前的资源，而真正的解救方法是培养具备安全技能的开发人员。

在本白皮书中，安全专家、Secure Code Warrior 首席技术官兼联合创始人 Matias Madou 博士将与大家探讨：

• 为您的开发团队提供有效的安全教育和培训所需的六大支柱。
• 十位高管在企业层面实施安全计划的经验教训。
• 在通往成功的道路上应避免的常见陷阱。

‍