2024 年预测:安全、人工智能、开发者留存率和未来之路
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
一年之计在于春。在这个时候,我们要反思发生的一切,反思我们认为会发生但没有发生的事情,反思我们汲取的经验教训,反思我们对未来 12 个月的决策、行动和结果的预期。
具有挑战性的经济动态、新出现的网络安全威胁以及迄今为止社会上最容易接触到的人工智能,造就了 DevSecOps 有趣的 2023 年。更令人好奇的是,当我们翻开新的一页,迈向 2024 年时,这些因素都没有出现在后视镜中。对于企业、其开发人员和网络安全团队以及政府监管机构来说,它们都是前沿和中心。
随着工作重点的快速变化,以下是Secure Code Warrior 对未来 12 个月的预测:
各组织将重视留住开发人员
开发人员为企业及其客户带来了巨大的价值。现在,企业有责任展示他们的价值,并了解开发人员能为企业带来什么。企业将在留住人才的战略、计划和其他方面加大投入,以确保开发人员更有能力将当前的雇主作为自己长期的职业发展目标。对于这些企业来说,学习和发展将是一个巨大的差异化因素。
更多的开发人员将把内容和集成放在中心位置。
开发人员面临的压力不会很快减轻,因为企业希望更多的软件和持续的数字化转型能更快地进入客户手中。为了让开发人员保持敏锐,预测软件开发生命周期(SDLC)中新出现的路障,并获得更多资源以加速创新,更多的学习内容和第三方集成将至关重要。
人工智能工具是新的 Stack Overflow
就像开发人员到 Stack Overflow 或开源论坛寻求帮助一样,开发人员也会开始求助于人工智能工具。然而,这会产生一种虚假的安全感。开发人员会将人工智能作为 "帮助渠道",但企业会意识到这种方法是不够的。
人工智能修复势在必行
人工智能明天不会取代开发人员,但该技术正越来越多地嵌入软件开发生命周期(SDLC),从而创造出一个更加万无一失的流程,以避免引入漏洞或确定兼容的修复方法。在这一年中,我们必将看到更多的尝试,这必然会带来开发人员行为、组织投资、人员重新分配和网络安全风险管理新方法的改变。
依赖人工智能+应用程序接口爆炸式增长=监管措施
通过加速创建和启用应用程序接口(API)来推动业务发展的公司数量大大增加了应用程序接口(API)的威胁载体。随着人工智能的使用,API 的创建和启动速度将呈指数级增长,加强 API 安全治理将成为重点--新的监管措施肯定会出台。
不提供安全代码的软件供应商将承担更多后果
CISA 主任珍-伊斯特里(Jen Easterly)非常明确地表示,软件供应商在其产品的安全问题上不能 "推卸责任"。虽然 CISA 的权力仅限于帮助向联邦机构销售产品的供应商实施 "安全设计"(Secure-by-Design)实践,但今年早些时候发生的 MOVEit 事件再次证明,大型软件供应商需要达到并超过一个新的基准。对于发送不安全代码的屡犯者,需要加强问责制,并强制执行更多的后果。
2024 年的 OWASP Top 10 将重新关注设计缺陷
谈到 "安全设计",OWASP 在 2021 年引入了 "不安全设计 "类别,重点关注向架构安全问题和缺陷的转变。随着我们对他们即将发布的 10 大榜单(很可能在 2024 年)的期待,围绕不安全设计和不安全实施之间的区别,将会有更多执行层面的对话,重点是开发安全软件开发生命周期(SSDLC)的团队,包括支持关键身份验证和访问控制配置的完整威胁建模程序。
DevSecOps 供应商需要证明具体的投资回报率,以锁定不同的高管买家
为了在竞争激烈的销售周期内向多个群体销售,供应商需要针对不同的业务领域调整对话内容。传统上,安全厂商主要向 CISO 或安全领导层销售产品。2024 年,除了安全/CISO 之外,L&D、DevOps/AppSec 等部门的高管将更加需要在日益特定的环境中证明降低风险的能力。
"把关 "将是软件开发安全成熟度的入场券
首席信息安全官仍需证明网络安全工作的商业价值,以及其计划在一段时间内的有效性。开发人员将越来越多地需要证明他们具有安全意识,然后才能获得具有敏感存储库的项目。如果首席信息安全官采用 "把关 "标准,并从软件创建流程的一开始就优先考虑安全编码,那么他们的团队就能更好地实现卓越安全。
被动安全将被视为老派
随着提高网络复原力这一目标在多个垂直领域的网络战略中占据主导地位,那些将反应和事件响应作为其计划唯一核心原则的企业将发现自己处于不可接受的风险之中。"左移 "不仅仅是一个迅速老化的流行语;代码级安全应被列为优先事项,同时还应提高软件和关键数字基础设施开发人员的技能,并核实他们的能力。现在,政府和企业比以往任何时候都更需要致力于实施一项预防性、高认知度的安全计划,让每一位员工都能分担责任。
作为安全编码教育和实施领域的领导者,我们对未来的一年充满期待,并将与 600 多家客户合作,在这些不断变化的动态中抢占先机。您的 2024 年是怎样的?Secure Code Warrior 可以为您提供哪些帮助?
有兴趣了解更多信息?在 X 和 LinkedIn 上关注我们,随时了解最新公告。
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
