金融服务机构面临着一系列挑战,这些挑战取决于它们在快速发展的金融世界中有效利用技术的能力。
在竞争激烈、基于云的商业环境中,企业内部和整个行业都处于快速变化之中。例如,在不断进行数字化转型的过程中,各组织正在努力克服阻碍投资新技术(如人工智能)的组织摩擦,这些新技术可以加快支付流程和其他程序。
当然,他们最关心的还是必须遵守各种监管要求,从《萨班斯-奥克斯利法案》(Sarbanes-Oxely Act)关于财务记录管理的要求、《支付卡行业数据安全标准》(PCI DSS)关于保护持卡人数据的规定,到《加州消费者隐私法案》(CCPA)和《欧盟通用数据保护条例》(GDPR)中的个人信息保护规定。
罚款和其他违规成本会迅速增加。IBM 的《2023 年数据泄露成本报告》发现,"高度违规 "组织的平均成本共计 505 万美元,比实际数据泄露的平均成本高出 50 多万美元。
说到数据泄露,网络攻击仍然是金融机构的一大祸患,而金融机构是网络攻击的第二大目标行业。根据 Sophos 发布的《2023 年金融服务勒索软件状况》报告,仅勒索软件攻击就从 2021 年的 34% 大幅上升到 2022 年的 55%,2023 年更高达 64%。根据Statista的数据,美国金融服务业的数据泄露(包括数据泄露和私人数据暴露)数量从2020年的138起增加到2023年的744起。
无论是内部效率、合规性还是安全性,任何一个方面的失误都会威胁到组织的声誉,进而威胁到客户的忠诚度,而客户的忠诚度正是金融服务的生命线。为了保持竞争力并取得成功,企业需要培养客户对其的信任,而这首先要确保其软件、系统和流程的效率和有效性。而这一切的核心就是安全的软件代码。
开发人员面临着越来越大的压力,需要以前所未有的速度创建、更新和部署应用程序和服务。这意味着要开发和使用更多的软件代码,无论是由内部开发人员自己编写的、人工智能生成的、从开源软件库中获取的,还是由第三方提供的。
代码的质量和安全性对于确保有效运行至关重要,但这也是企业经常出现不足的地方。随着代码量的增加,除非在软件开发生命周期(SDLC)的早期进行纠正,否则错误、缺陷和漏洞的数量只会越来越多。
组织需要从左侧开始创建更安全的代码,并及早纠正错误。安全编码最佳实践方面的敏捷培训可以为安全、可信的应用程序奠定基础,这不仅可以降低组织的风险,还有助于促进业务成功。
趋势 1:人工智能开发工具
人工智能,尤其是生成式人工智能,正在迅速渗透到商业、教育和日常生活中。在生成式人工智能的无数用途中,一个值得注意的功能是编写代码。事实证明,这通常是有益的,但也引发了另一个与人工智能的使用紧密相关的问题--安全。作为新技术的早期采用者,金融机构需要确保在提高生产力与安全、负责任地使用人工智能之间取得平衡。
迄今为止,人工智能主要用于辅助代码开发,而不是自动修复过程,其影响大多是积极的。GitHub 的一项调查发现,每 10 位美国开发人员中就有超过 9 位在使用人工智能编码工具,受访者表示,人工智能的优势包括提高生产力(53%)、让开发人员自由专注于创造性而非重复性任务(51%)以及防止倦怠(41%)。
与其他行业相比,大型银行和其他金融服务机构更有可能成为人工智能的早期采用者。毕竟,金融机构本质上是科技公司,因为它们有钱大规模投资新技术,并一直在寻求竞争优势。
虽然有些人担心人工智能会取代人类工作者,但实际上,当人工智能与人类工作者配对时,这种技术的效果会更好。但是,开发人员在学习如何使用人工智能时,需要的不仅仅是最基本的复选框方法。他们需要接受精确的培训,才能真正掌握真实世界环境中的安全最佳实践,这样他们不仅能自己编写安全代码,还能得心应手地监督编写代码的人工智能助手的工作。
例如,SCW 培训中的一个练习提示 LLM 模型更改真实代码片段的内容,以修改代码的功能。人工智能的反应是生成一个代码块,但这个代码块很容易受到跨站脚本(XXS)的攻击。培训确保开发人员能够识别这一漏洞。
人工智能和开发人员的合作可以取得很好的成效,但前提是开发人员必须经过足够的培训,以确保人工智能生成的代码是安全的。
在训练编写代码的过程中,人工智能模型会摄取成千上万个编写代码的示例,就像另一个模型在为用户编写故事或诗歌之前,会摄取成千上万个散文或诗歌的示例一样。但是,我们无法保证人工智能模型没有借鉴包含错误的示例。因为人工智能模型的处理过程并不透明,所以错误直到事后才会显现出来。人工智能会重复这些错误,直到它们被纠正为止。
人工智能研究人员的一项早期研究发现,人工智能生成的代码存在重大缺陷,包括跨站脚本(XSS)漏洞、易受代码注入攻击,以及人工智能生成的代码特有的新漏洞,如与提示注入相关的漏洞。如果不加检查地使用人工智能工具编写代码,不良代码可能会迅速传播,从而导致已经存在大量漏洞的软件变得比以往任何时候都更不安全。
人类开发人员和人工智能模型必须共同开发代码,确保遵循安全编码的最佳实践,使金融机构能够获得提高速度和效率的好处,同时限制风险,因为如果没有人类的参与,风险有可能是灾难性的。
人工智能的快速发展,尤其是那些使用大型语言模型(LLMs)的人工智能,如 ChatGPT 和许多其他能够创建自己内容的生成式人工智能实现,也有其失误之处。人工智能模型产生了错误、有偏见的发现和人工智能幻觉,导致要求监管的呼声越来越高。例如,白宫发布了一项关于人工智能开发和使用的行政命令。白宫还提出了一项人工智能权利法案,旨在帮助保护公众免受人工智能相关风险的影响。然而,任何政府举措都将依赖于与开发人工智能的技术公司的合作与协作,其中许多公司已承诺坚持道德标准。
金融服务业也有可能实施强有力的内部控制。各组织可能一直在寻求竞争优势,但他们知道,信息(包括内部数据和客户数据)的安全至关重要。它们还必须确保满足相关法规的要求,如美国货币监理署(OCC)或欧洲中央银行(ECB)对欧洲业务的要求。
作为人工智能的早期采用者,银行和金融机构将有兴趣了解人工智能在提高效率方面的作用,并赞助创新中心和其他探索人工智能能力的工作。但企业也需要控制措施来确保安全。早期采用人工智能总是存在固有风险,随着人工智能使用规模的扩大,需要平衡风险和回报。举例来说,在使用人工智能的早期阶段,对组织的优势、劣势、机会和威胁(SWOT)进行分析将使其受益匪浅。
金融业能否有效利用人工智能将取决于安全性,而这有赖于从一开始就确保人工智能创建的代码是安全的。企业需要确保拥有训练有素的工程师,他们将密切监督人工智能代码的编写,识别错误并迅速纠正。与提供基于敏捷的培训和其他服务的公司合作,确保安全性和合规性,是培养强大安全态势的良好第一步。
风险环境在不断变化,尤其是在软件开发周期内。作为人工智能的早期采用者,金融机构必须在安全、负责任地使用人工智能方面发挥领导作用。一些金融机构规模庞大,足以影响政府政策。通过采取步骤,让人工智能模型和开发人员能够协同工作,确保代码安全,金融机构可以建立最佳实践,供其他行业效仿。
趋势2:加强监管
实施安全编码实践的一个重要驱动因素是,金融机构需要确保遵守有关其业务的法规。金融机构有一系列适用的法规,这些法规因其处理的交易类型而异。
例如,PCI DSS 4.0 是支付行业数据安全标准的最新版本,是一项旨在保护信用卡和支付卡数据及交易的全球标准。该标准适用于任何存储、处理或传输持卡人数据的组织,旨在防止欺诈和其他滥用行为。该标准不是法律,但可通过合同强制执行,有助于防止数据泄露,因为数据泄露会违反其他法规,如 GDPR。
另一项法规,即《数字运营复原力法案》(DORA),是欧盟针对金融服务部门制定的具有约束力的风险管理框架,涵盖金融机构及其第三方供应商。DORA 制定了技术标准,旨在统一欧盟的风险管理实践,创建一个通用标准。
环球银行间金融电信协会(Society for Worldwide Interbank Financial Telecommunication,简称 Swift)是一个合作组织,为全球金融业的资金转账制定了标准。Swift 的客户安全计划 (CSP) 制定了客户安全控制框架(CSCF),并每年进行更新。Swift 在 200 多个国家/地区的 11,000 多家会员使用 CSCF 计划自己的安全控制,并证明其合规水平。
这些法规的共同点是,它们试图为保护金融服务业的数据和交易设定高标准。合规不仅可以保护客户数据和资金,还有助于保护机构免受安全不足带来的后果,包括违规罚款和处罚、声誉受损以及在发生违规事件时失去投资者的信任。
安全编码为企业提供了坚实的基础,使其能够满足适用法规的期望以及美国货币监理署 (OCC) 或欧洲中央银行 (ECB) 的要求。采用Secure Code Warrior平台或其他提供商的平台的根本动力之一是在实用、吸引人的环境中向开发人员传授安全编码。
这种培训在应对有时很复杂的监管要求时会大有用武之地,特别是因为监管要求并不是一成不变的。法规一直在演变,不断增加新的要求,而且往往更加复杂。根据要求的不同,法规在任何一年都可能不会发生重大变化,但企业至少可以预期每隔几年就会发生重大变化。
例如,从 2024 年 4 月 1 日起强制执行的 PCI DSS 4.0 在几个重要方面更新了 PCI DSS 3.2.1(2022 年发布)。它采用了一种定制方法,使企业在满足要求时更具灵活性,更注重结果而不是复选框程序。但它也增加了对身份验证控制、密码长度和共享账户的新要求,这只是众多更新中的一小部分。它还要求企业明确界定满足每项要求的角色和责任。
值得注意的是,4.0 版还要求开发定制软件的开发人员至少每 12 个月接受一次软件安全培训,包括安全设计和编码技术,如果使用测试工具,还包括如何使用工具检测漏洞。它还规定,在渗透测试中发现的每一个漏洞,无论其严重程度如何,都必须进行修复,而且团队必须进行第二次渗透测试,以确认修复成功。
虽然监管法规通常是逐步变化的,但也会受事件驱动--重大违规事件可能会促使监管法规发生突然、广泛的变化。例如,上世纪 90 年代中期,摩根大通 8,700 万个账户被入侵,震动了监管格局,监管机构提高了对开发者/技术社区的期望,并要求银行提供证据,证明他们正在采取的措施以及如何应用从入侵事件中吸取的经验教训。
为满足这些要求而使用的代码质量对新功能的性能有重大影响,而且在企业完成每年都要提交的冗长而详细的 PCI DSS 合规性报告时也会发挥作用。随着法规变得越来越复杂,安全编码的影响也变得越来越大,在降低风险和加强对组织软件的控制方面产生了巨大的影响。
合规性对金融机构至关重要,因为与客户建立信任非常重要。安全编码还有助于改善客户体验,因为这在很大程度上取决于与可靠软件的无缝交互,这有助于建立客户忠诚度。
创建新应用程序和服务的编码工作会对整个企业产生影响。它对于提高效率、管理云迁移以及在快速发展的业务环境中实现其他功能至关重要。但是,代码必须绝对安全,必须符合合规要求,企业才能取得成功。
趋势 3:敏捷学习
人工智能模型的激增让人们再次担心人工智能会抢走人们的大量工作。虽然从事某些职业的人可能有理由担心,从簿记员和客户服务到法律文员和内容创作者,但软件开发人员更可能欢迎人工智能,认为人工智能是有用的助手,不会抢走他们的工作,但会让他们少做一些耗时或重复性的工作,比如编写代码。
事实上,编写代码只是开发人员工作的一部分。在 GitLab 的《2023 年全球 DevSecOps 报告》中,大多数开发人员表示,他们大约将四分之一的时间用于编写代码。其余时间则用于其他任务,如改进代码(17%)、测试(11%)、参加会议或执行其他行政任务(也是 17%)。
当人工智能模型生成代码时,改进代码是工作的一个方面,可能会变得更加突出。人工智能提高了创建代码的速度和效率,但代码并不完全可信。人工智能模型生成的代码存在错误、偏差和漏洞的例子不胜枚举。具有安全技能的开发人员必须密切参与检查人工智能生成的代码,以修复漏洞并确保其软件符合开发标准。
对于开发人员本身来说,使用人工智能生成的代码要求他们提高现有技能,并掌握一些新技能,如安全最佳实践和发现不良编码模式的能力。经过适当培训的开发人员将能够在部署前发现人工智能模型的失误,并增强使用人工智能加速开发的优势。
然而,所需的技能非常复杂,不是简单地采用标准的静态培训方法就能学会或加强的。众所周知,开发人员在工作中并没有闲暇时间--他们比以往任何时候都面临着更大的压力,需要快速开发和部署代码。他们需要以适合现有工作的方式提高技能。
各组织需要为开发人员提供一套完整的基于敏捷的培训计划,该计划采用安全编码的实践方法,并已证明可显著减少软件中的漏洞数量。
敏捷培训可以量身定制,包括开发人员会接触到的编程语言,从古老但仍在使用的 COBOL 到用 Google Go 编写的高级新工具。培训可以根据开发人员偏好的学习方法(如视觉、听觉或口头以及直接动手操作)设计高级内容的交付形式,并以最适合开发人员个人及其工作时间表的速度交付。
培训还可以根据员工的具体角色和需求量身定制。平台可以利用反馈回路来改进内容,并识别开发人员在某一领域的薄弱环节,从而自动针对该领域提供培训内容。
Secure Code Warrior 所采用的学习计划将安全培训分解成互动式的微课,让开发人员在实际问题的背景下参与其中,从而提供最佳的定制培训,而不是以枯燥乏味的课堂式培训课程来提供安全培训。员工还可以随时随地进行微学习。
事实证明,基于敏捷的培训能有效减少编码错误。根据Secure Code Warrior 的研究,开发人员在投入生产之前已经返工了约 26% 的代码。这意味着每位开发人员每周要花费约 13.5 个小时(每年约 700 个小时)来清理技术债务。花在修复代码上的时间阻碍了工作效率,也拖慢了开发周期。
而且,并非所有这些错误都能被发现,67% 的开发人员承认,他们发布的代码存在漏洞。企业还在使用其他来源的代码,如人工智能、开源资源库和第三方。在组织需要比以往任何时候都更多的代码时,这些来源有助于提高生产率,但它们也增加了代码库中出现漏洞和错误的风险。
基于敏捷的培训有助于遏制这一趋势。它加强了第一道防线,使开发人员更善于捕捉代码中的缺陷,无论这些缺陷是由他们自己、人工智能还是第三方创建的。作为研究的一部分,Secure Code Warrior 检查了 75000 名开发人员(约占开发人员总数的 30%)的数据,发现使用基于敏捷的培训学习过安全知识的开发人员引入的漏洞比同行少 53%。将这些技能应用于检查人工智能生成的代码的开发人员可以在任何软件投入生产之前更快地清除人工智能合作伙伴的错误。
通过Secure Code Warrior基于敏捷的培训,提供财务、人力资源和学生/教师生命周期管理云应用程序的 Workday 公司的开发人员对培训的目的有了清晰的认识,并很快学会了如何在代码库和软件生命周期中发现问题并采取行动。
Workday 公司的经验为敏捷、实践培训提供了一个清晰的范例。在与Secure Code Warrior 合作之前,Workday 发现他们的开发人员对公司基于幻灯片的安全培训不感兴趣。但整个开发人员社区对Secure Code Warrior 培训反应良好,因为该培训是根据他们的需求和学习偏好量身定制的。结果不言而喻。仅举一例,都柏林的一个团队在短短 18 个月内,从每年遇到 4,662 个安全问题到完全没有安全问题。
面对日益复杂的攻击威胁,金融服务公司需要竭尽全力确保数据和应用程序的安全。在软件开发生命周期(SDLC)的开始阶段创建安全代码是安全的关键组成部分。接受过正确的敏捷培训的开发人员可以做很多事情来确保软件的安全性,同时降低公司的整体风险。
趋势 4:第三方应用程序和应用程序接口的增长
在当今超级互联的商业环境中,没有一家公司是在真空中运营的。金融机构与其他公司合作提供某些服务,在日常通信和交易中使用第三方应用程序,而且在许多情况下都有外部承包商编写软件代码。公司内部的开发人员在开发应用程序时,也会使用开源软件库,并越来越多地使用人工智能生成的代码。
无论软件来源如何,与金融服务公司打交道的人都希望他们使用的每个应用程序都具有同样高的安全级别。在任何交易或信息交换中,主机公司仍然对客户的数据负有责任。监管机构不会允许机构将不合规的责任推卸给第三方。
金融机构如何确保每个应用程序安全可靠?首先要确保代码的安全性,并在开发流程之初为开发人员提供创建安全软件代码所需的技能,同时还要识别他们使用的第三方代码是否存在缺陷。
实施敏捷的实践培训计划,向开发人员传授安全代码知识,将使公司受益匪浅。这种培训的效果是显而易见的:接受过安全编码培训的开发人员生成的代码比没有接受过培训的开发人员生成的代码减少了 53% 的漏洞。而且,他们还能从第三方生成的代码中发现更多的编码错误。
即使公司自己的开发人员接受过编写安全代码的培训,也需要解决第三方代码中的潜在缺陷。许多开发人员团队都由全职员工(FTE)和承包商组成,尤其是在全国或全球各地(包括一级、二级和三级地点)分布广泛的大型机构中。
几十年前,业界曾大力推动软件开发外包,以便公司能够跟上对新应用程序的需求。这一趋势持续了 5 年或 10 年后才开始逆转,但在金融机构的一些地方,仍然保留着由全职员工和承包商组成的联合团队。随着如此多的应用程序不断被开发出来,其中一些将被外包。
然而,无论代码是由全职员工还是第三方开发,客户和监管机构的期望依然存在。公司使用的所有软件代码都必须符合相同的标准,这意味着所有开发人员都必须具备相同的能力水平。
公司在要求承包商接受培训方面可能会有合同限制,但至少提供培训是很重要的。一些金融公司已经创建了自己的培训计划,例如 Capital One 于 2016 年推出了技术学院。其他一些银行和金融公司,如 Synchrony Bank 和 North American Bancard,正在接受敏捷持续学习的理念,以提高他们的人才水平。
公司甚至有可能采取 "代码许可 "的方式,在允许开发人员访问特定系统之前,要求他们通过某些认证。
在 IT 技能持续短缺的情况下,企业选择对现有员工进行技能培训,而不是在供不应求的市场上争夺人才。提供培训对员工和公司都有好处,前者可以促进员工的职业发展,后者则可以获得公司所需的技能。培训计划还可以通过改善员工体验来留住员工。
在当前环境下,持续学习非常重要。网络安全环境在不断演变,变得越来越复杂。监管机构的要求也逐年变化,增加了保持合规的复杂性。如果不能满足这些要求,就会导致罚款、其他费用和声誉受损,从而对公司造成重大影响。
公司正在从每年一次的繁琐的合规性培训转向全年培训,旨在提高开发人员和其他员工对安全的参与度。关键是要有一个灵活的平台,在员工需要的时候,以适合他们工作环境的形式为他们提供所需的培训。
例如,采用Secure Code Warrior平台的英国软件解决方案公司Sage 每季度都会针对开发人员当时正在使用的技术开展培训。
赛捷公司的安全专家马德斯-霍华德(Mads Howard)在最近一次与 SCW 的网络研讨会上说,培训尽可能个性化,并根据开发人员喜欢的工作方式量身定制。赛捷公司还鼓励通过反馈回路进行双向交流。培训更注重参与性,而不是复选框合规性,定期安排tournaments ,并努力将培训计划与公司的其他举措结合起来,以提高员工对安全问题的参与度。
结果之一是:在过去的一年里,赛捷公司修复软件问题的平均时间缩短了 82%,Howard 说。公司还提高了员工的参与度。
霍华德说,编码是建立安全文化的一部分,最终目的是与客户建立信任。安全文化围绕着人们的态度、观念和信仰,它还涉及到整个公司的员工,包括行政领导层。灵活的安全代码培训计划可以在易于消耗的微小时间段内提供有针对性的培训,是这种文化的重要组成部分。
趋势5:各团队/供应商更加注重投资回报率
金融服务业涵盖广泛的领域,从银行和财务管理到信用卡和数字支付服务。甚至保险业也常常属于这一范畴。每个行业的公司都面临着不同的合规要求,尽管这些要求往往是重叠的,这取决于它们所处理的交易以及它们是国内公司还是跨国公司。
但无论企业从事哪个领域的工作,经济因素都会对企业战略产生影响。股票市场一直表现良好,但股票市场并不总是预示着未来的成功。与此同时,金融部门对可能出现的经济衰退和其他严峻挑战也有些惶恐不安。
因此,许多组织都在勒紧裤腰带,寻求更高的效率,并强调任何新支出都必须有良好的投资回报率(ROI)。提高投资回报率的方法之一就是投资于安全代码学习。在软件开发生命周期(SDLC)中,工程和安全是相辅相成的,确保在流程开始时创建安全代码并尽早修复缺陷,将为企业带来明确、可量化的收益。
数据是任何金融服务机构的核心,而使用不安全、低效的软件处理数据的成本会迅速增加。Secure Code Warrior美国《金融时报》的研究发现,软件质量问题将在 2022 年给美国企业造成总计 2.41 万亿美元的损失。这些成本一直延伸到开发人员身上,他们需要花费越来越多的时间来维护和修复技术债务。目前,开发人员花在维护技术债务上的时间约占三分之一,但预计到 2025 年,这一比例将达到 40%。
基于敏捷的安全编码实践培训可以大大减少这些负面数字。通过Secure Code Warrior 进行培训的开发人员发现,与没有接受过培训的同事相比,他们引入的漏洞减少了 53%,修复时间缩短了一半。一家大型全球性银行通过 SCW 培训发现漏洞减少了 50%,几乎消除了 SQL 注入漏洞和跨站脚本 (XSS)。
敏捷安全代码培训的好处还在于,组织越往左移,好处就越大。例如,如果在测试阶段解决技术债务问题,成本会减少一半,但如果在编码阶段解决,成本会减少 14 倍。
安全编码的影响可带来可衡量的投资回报率收益。在一个例子中,大型金融技术公司 Envestnet 希望超越其被动的、"死在 PowerPoint 上 "的安全和合规性培训,这种培训主要侧重于开放式全球应用安全项目(OWASP)的十大网络应用风险。
Envestnet 采用了左移战略,重点是编写安全代码并在 SDLC 早期解决任何问题,但首先需要解决开发人员对公司现有安全培训缺乏参与的问题。在 SCW 的帮助下,他们实施了一项四级实践计划,其中包括针对真实世界场景的培训,并为达到每个级别的开发人员颁发证书--这不仅提高了应用程序的安全性,还帮助开发人员提升了职业发展。
前两个级别侧重于安全意识,第三和第四级别则表彰安全卫士。培训计划包括tournaments ,这也提高了开发人员的参与度。在前两个tournaments ,间隔时间约为六个月,参与人数翻了一番。
结果:接受过 SCW 培训的开发人员修复的漏洞数量是同行的 2.7 倍,修复率提高了 120%。接受过 SCW 培训的开发人员修复漏洞问题的比率为每名开发人员 4.5 个,而没有接受过培训的开发人员修复漏洞问题的比率为每名开发人员 1.82 个。
敏捷安全编码计划可根据每家公司提供的金融服务类型、系统规模和个性化需求量身定制。
例如,公司需要遵守支付卡行业数据安全标准(PCI DSS)、OWASP 应用程序安全验证标准(ASVS)或其他要求。他们还需要确保始终编写安全代码。但是,他们需要的不仅仅是一个培训计划,仅仅是勾选一个选项,这不足以教授安全的编码方法,也不足以提高效率,因为拥有训练有素、具有安全意识的开发人员才能提高效率。
支持在 SDLC 早期引入安全代码并在整个产品生命周期中加以维护的策略的实践培训将降低风险,加快产品上市速度,从而不可避免地提高投资回报率。随着系统、流程甚至网络攻击日益复杂,安全编码亟待解决。它不仅能在安全方面带来关键性的变化,还能使任何组织的底线受益。
结 论
金融服务机构的工作涉及非常宝贵的商品,即人们的金钱和高度敏感的个人信息,但在某些方面,组织所能拥有的最宝贵的东西就是信任。这是吸引和维护忠实客户的关键。由于许多金融交易都是以数字方式处理的,因此软件的可靠性和安全性取决于安全的软件代码。
在复杂的混合云环境中,金融组织必须左移,在软件开发生命周期(SDLC)之初就引入安全性。这意味着要培训开发人员编写安全代码,并能够识别人工智能生成的代码或第三方代码中的漏洞。
对许多公司来说,这是一种文化转变,开发人员习惯于每分钟工作一英里,不断开发新的应用程序和服务,以满足日益增长的需求。关键是要在公司内部创建一种安全文化,并让开发人员参与敏捷、实践性的安全代码培训。这种方法的好处显而易见。
Secure Code Warrior的研究发现,通过 SCW 学习安全编码实践的开发人员产生的漏洞比没有接受过培训的开发人员少 53%,从而节省了大量的时间和金钱。
目前,开发人员浪费了大约三分之一的时间来重新编写软件代码,其中 67% 的开发人员承认,他们在明知代码存在漏洞的情况下仍在使用。通过敏捷学习,SCW 客户在降低风险和提高开发人员工作效率方面都取得了 2 至 3 倍的收益。
企业在 SDLC 阶段越往左移,节省的成本就越多。如果在测试阶段解决,成本可以减少一半,但如果在编码阶段解决,成本可以减少 14 倍。
敏捷培训平台对公司和开发人员都有好处。开发人员可以通过获得新技能来提升自己的职业生涯,而公司也能从中受益,因为技术熟练的开发人员更愿意留在提供有效培训和更有价值工作体验的公司。
当然,92% 的开发人员表示希望得到更多培训。但这种培训必须是正确的培训。传统的照本宣科式(或幻灯片式)合规性培训会让开发人员瞠目结舌,只能勉强接受培训要求,但像 SCW 这样的敏捷平台却能吸引开发人员。培训可以与开发人员的工作内容和编程语言相匹配。而且,针对开发人员当前面临的实际问题,以易于接受、有针对性的微小时间段提供培训,可以提高培训的价值和参与度。
安全代码培训可以成为向安全第一的组织文化转变的基石,提高金融服务机构的网络安全、绩效以及最终的盈利能力。
