推动企业安全设计计划取得有意义的成功
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
