激励开发人员是改善安全实践的关键
网络威胁格局每天都变得越来越复杂。攻击者不断地在网络中扫描易受攻击的应用程序、程序、云实例,而本月最新的流行趋势是API,由于安全控制往往松懈,API被广泛认为是轻而易举的赢家。它们非常持久,以至于新应用程序有时会在部署后的数小时内遭到入侵和利用。Verizon 2021年数据泄露调查报告非常清楚地表明,威胁是针对企业和组织的 更危险 今天比历史上的任何时候都要多。
很明显,真正强化正在创建的软件的唯一方法是确保它建立在安全代码之上。换句话说,阻止威胁行为者入侵的最佳方法是首先拒绝让他们在您的应用程序中站稳脚跟。一旦你开始打那场战争,大多数优势就会偏向攻击者。
这种情况首先引起了 敏捷开发 和 DevOps,然后再到整个 DevSecOps 运动,其中安全是参与软件从开发到部署过程的每个人的共同责任。但是,这座金字塔的基础,可以说是最重要的部分,是开发人员。尽管大多数开发人员都希望尽自己的一份力量来编写安全的代码,但他们工作的许多组织不太支持如此重大的优先事项转变所需的变革。
设计失败
多年来,开发人员被告知,他们在组织中的主要职责是在快节奏的环境中快速构建和部署应用程序,在这种环境中,业务永不停止,客户永不入睡。开发人员编写代码的速度越快,可以部署的功能越多,他们在性能评估方面被视为的价值就越大。
安全是事后才想到的,如果考虑过的话。相反,所有这些都留给了应用程序安全 (AppSec) 团队来解决。大多数开发人员不喜欢 AppSec 团队,因为他们经常会将已完成的应用程序发回开发中,以应用安全补丁或重写代码以修复漏洞。而且,开发人员每花一个小时开发一个已经 “完成” 的应用程序,就是他们没有创建新的应用程序和功能,从而降低了他们的绩效(在一家特别具有惩罚性的公司眼中,他们的价值)。
然后,威胁环境改变了大多数公司安全的重要性和优先级。根据最近的 数据泄露报告的成本 来自IBM和Ponemon Institute的平均网络安全漏洞现在每起事件造成的损失约为380万美元,尽管这还不是上限。仅一家公司就因其网络遭到入侵而蒙受了13亿美元的损失。当今的公司希望获得DevSecOps提供的安全保障,但遗憾的是,他们在奖励接听电话的开发人员方面进展缓慢。
仅仅让开发团队考虑安全性是行不通的,特别是如果他们仍然仅凭速度获得激励。实际上,在这样的系统中,花时间学习安全性和保护代码的开发人员实际上可能会失去对安全意识较低的同事继续获得的更好的性能评估和丰厚的奖金。这几乎就像各公司在不知不觉中为自己的安全故障而操纵系统一样,这又回到了他们对开发团队的看法。如果他们不将他们视为安全前线,那么利用员工队伍的可行计划就不太可能实现。
这甚至不能解释缺乏培训的原因。一些非常熟练的开发人员有数十年的编码经验,但在安全方面却很少... 毕竟,他们从来没有要求过编程。除非一家公司为熟练的程序员提供良好的培训计划,否则很难指望他们的开发人员突然获得新技能并以有意义的方式将其付诸行动,从而积极减少漏洞。
奖励具有良好安全实践的开发人员
好消息是,绝大多数开发人员之所以从事自己的工作,是因为他们觉得工作既具有挑战性又有回报,也因为他们享有自己的职位所带来的尊重。终身专业程序员迈克尔·施皮尔特 最近写了一篇关于 所有这些都是激励他和他的编程同事进行开发工作的因素。是的,他将金钱薪酬列为这些激励措施之一,但出人意料的是,这在清单上还很远。取而代之的是,他优先考虑创造新事物、学习新技能的快感,以及知道自己的作品将直接用于帮助他人的满足感。他还谈到了想要在公司和社区中感到被重视。简而言之,开发人员就像很多为自己的工作感到自豪的好人。
像 Shpilt 这样的开发人员和其他人不希望威胁行为者破坏他们的代码并利用它来伤害他们的公司或他们想要帮助的用户。但是,如果没有支持,他们无法突然将优先事项转移到安全方面。否则,这几乎就像系统会对他们不利一样。
为了帮助开发团队提高网络安全能力,必须首先向他们传授必要的技能。利用脚手架学习和即时(JiT)培训等工具可以大大减轻这一过程的痛苦,并有助于在正确的背景下建立现有知识。
JiT 的原则是,在恰当的时间为开发人员提供正确的知识,例如,如果 JiT 开发人员培训工具检测到程序员正在创建不安全的代码,或者意外地在应用程序中引入了漏洞,它可以激活并向开发人员展示他们如何修复该问题以及如何 编写更安全的代码 将来执行同样的职能。
随着提高技能的承诺,需要取消仅根据速度评估开发人员的旧方法。取而代之的是,应该根据程序员创建安全代码的能力获得奖励,而最优秀的开发人员则成为 安全冠军 这有助于团队其他成员提高技能。而且,这些拥护者需要获得公司声望和金钱补偿的奖励。同样重要的是要记住,开发人员通常不会有积极的安全体验,通过积极、有趣的学习和符合他们兴趣的激励措施来提振他们,将大大有助于确保知识保留和继续培养技能的愿望。
公司仍然可以将编码速度列为开发人员评估的一部分,但预计开发安全应用程序可能需要更长的时间,尤其是在程序员学习这些新技能的时候。
在日益危险的威胁环境中,DevSecOps 可以成为抵御黑暗艺术的终极防御。别忘了,这个新世界的拥护者,不断创建新代码的开发人员,需要得到尊重和报酬。
想与世界各地的其他开发人员一起测试你的安全技能吗?退房 安全代码勇士的 2021 年开发奥运会,你可以在我们的全球锦标赛中获得大奖!
首席执行官、主席和联合创始人
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
网络威胁格局每天都变得越来越复杂。攻击者不断地在网络中扫描易受攻击的应用程序、程序、云实例,而本月最新的流行趋势是API,由于安全控制往往松懈,API被广泛认为是轻而易举的赢家。它们非常持久,以至于新应用程序有时会在部署后的数小时内遭到入侵和利用。Verizon 2021年数据泄露调查报告非常清楚地表明,威胁是针对企业和组织的 更危险 今天比历史上的任何时候都要多。
很明显,真正强化正在创建的软件的唯一方法是确保它建立在安全代码之上。换句话说,阻止威胁行为者入侵的最佳方法是首先拒绝让他们在您的应用程序中站稳脚跟。一旦你开始打那场战争,大多数优势就会偏向攻击者。
这种情况首先引起了 敏捷开发 和 DevOps,然后再到整个 DevSecOps 运动,其中安全是参与软件从开发到部署过程的每个人的共同责任。但是,这座金字塔的基础,可以说是最重要的部分,是开发人员。尽管大多数开发人员都希望尽自己的一份力量来编写安全的代码,但他们工作的许多组织不太支持如此重大的优先事项转变所需的变革。
设计失败
多年来,开发人员被告知,他们在组织中的主要职责是在快节奏的环境中快速构建和部署应用程序,在这种环境中,业务永不停止,客户永不入睡。开发人员编写代码的速度越快,可以部署的功能越多,他们在性能评估方面被视为的价值就越大。
安全是事后才想到的,如果考虑过的话。相反,所有这些都留给了应用程序安全 (AppSec) 团队来解决。大多数开发人员不喜欢 AppSec 团队,因为他们经常会将已完成的应用程序发回开发中,以应用安全补丁或重写代码以修复漏洞。而且,开发人员每花一个小时开发一个已经 “完成” 的应用程序,就是他们没有创建新的应用程序和功能,从而降低了他们的绩效(在一家特别具有惩罚性的公司眼中,他们的价值)。
然后,威胁环境改变了大多数公司安全的重要性和优先级。根据最近的 数据泄露报告的成本 来自IBM和Ponemon Institute的平均网络安全漏洞现在每起事件造成的损失约为380万美元,尽管这还不是上限。仅一家公司就因其网络遭到入侵而蒙受了13亿美元的损失。当今的公司希望获得DevSecOps提供的安全保障,但遗憾的是,他们在奖励接听电话的开发人员方面进展缓慢。
仅仅让开发团队考虑安全性是行不通的,特别是如果他们仍然仅凭速度获得激励。实际上,在这样的系统中,花时间学习安全性和保护代码的开发人员实际上可能会失去对安全意识较低的同事继续获得的更好的性能评估和丰厚的奖金。这几乎就像各公司在不知不觉中为自己的安全故障而操纵系统一样,这又回到了他们对开发团队的看法。如果他们不将他们视为安全前线,那么利用员工队伍的可行计划就不太可能实现。
这甚至不能解释缺乏培训的原因。一些非常熟练的开发人员有数十年的编码经验,但在安全方面却很少... 毕竟,他们从来没有要求过编程。除非一家公司为熟练的程序员提供良好的培训计划,否则很难指望他们的开发人员突然获得新技能并以有意义的方式将其付诸行动,从而积极减少漏洞。
奖励具有良好安全实践的开发人员
好消息是,绝大多数开发人员之所以从事自己的工作,是因为他们觉得工作既具有挑战性又有回报,也因为他们享有自己的职位所带来的尊重。终身专业程序员迈克尔·施皮尔特 最近写了一篇关于 所有这些都是激励他和他的编程同事进行开发工作的因素。是的,他将金钱薪酬列为这些激励措施之一,但出人意料的是,这在清单上还很远。取而代之的是,他优先考虑创造新事物、学习新技能的快感,以及知道自己的作品将直接用于帮助他人的满足感。他还谈到了想要在公司和社区中感到被重视。简而言之,开发人员就像很多为自己的工作感到自豪的好人。
像 Shpilt 这样的开发人员和其他人不希望威胁行为者破坏他们的代码并利用它来伤害他们的公司或他们想要帮助的用户。但是,如果没有支持,他们无法突然将优先事项转移到安全方面。否则,这几乎就像系统会对他们不利一样。
为了帮助开发团队提高网络安全能力,必须首先向他们传授必要的技能。利用脚手架学习和即时(JiT)培训等工具可以大大减轻这一过程的痛苦,并有助于在正确的背景下建立现有知识。
JiT 的原则是,在恰当的时间为开发人员提供正确的知识,例如,如果 JiT 开发人员培训工具检测到程序员正在创建不安全的代码,或者意外地在应用程序中引入了漏洞,它可以激活并向开发人员展示他们如何修复该问题以及如何 编写更安全的代码 将来执行同样的职能。
随着提高技能的承诺,需要取消仅根据速度评估开发人员的旧方法。取而代之的是,应该根据程序员创建安全代码的能力获得奖励,而最优秀的开发人员则成为 安全冠军 这有助于团队其他成员提高技能。而且,这些拥护者需要获得公司声望和金钱补偿的奖励。同样重要的是要记住,开发人员通常不会有积极的安全体验,通过积极、有趣的学习和符合他们兴趣的激励措施来提振他们,将大大有助于确保知识保留和继续培养技能的愿望。
公司仍然可以将编码速度列为开发人员评估的一部分,但预计开发安全应用程序可能需要更长的时间,尤其是在程序员学习这些新技能的时候。
在日益危险的威胁环境中,DevSecOps 可以成为抵御黑暗艺术的终极防御。别忘了,这个新世界的拥护者,不断创建新代码的开发人员,需要得到尊重和报酬。
想与世界各地的其他开发人员一起测试你的安全技能吗?退房 安全代码勇士的 2021 年开发奥运会,你可以在我们的全球锦标赛中获得大奖!
网络威胁格局每天都变得越来越复杂。攻击者不断地在网络中扫描易受攻击的应用程序、程序、云实例,而本月最新的流行趋势是API,由于安全控制往往松懈,API被广泛认为是轻而易举的赢家。它们非常持久,以至于新应用程序有时会在部署后的数小时内遭到入侵和利用。Verizon 2021年数据泄露调查报告非常清楚地表明,威胁是针对企业和组织的 更危险 今天比历史上的任何时候都要多。
很明显,真正强化正在创建的软件的唯一方法是确保它建立在安全代码之上。换句话说,阻止威胁行为者入侵的最佳方法是首先拒绝让他们在您的应用程序中站稳脚跟。一旦你开始打那场战争,大多数优势就会偏向攻击者。
这种情况首先引起了 敏捷开发 和 DevOps,然后再到整个 DevSecOps 运动,其中安全是参与软件从开发到部署过程的每个人的共同责任。但是,这座金字塔的基础,可以说是最重要的部分,是开发人员。尽管大多数开发人员都希望尽自己的一份力量来编写安全的代码,但他们工作的许多组织不太支持如此重大的优先事项转变所需的变革。
设计失败
多年来,开发人员被告知,他们在组织中的主要职责是在快节奏的环境中快速构建和部署应用程序,在这种环境中,业务永不停止,客户永不入睡。开发人员编写代码的速度越快,可以部署的功能越多,他们在性能评估方面被视为的价值就越大。
安全是事后才想到的,如果考虑过的话。相反,所有这些都留给了应用程序安全 (AppSec) 团队来解决。大多数开发人员不喜欢 AppSec 团队,因为他们经常会将已完成的应用程序发回开发中,以应用安全补丁或重写代码以修复漏洞。而且,开发人员每花一个小时开发一个已经 “完成” 的应用程序,就是他们没有创建新的应用程序和功能,从而降低了他们的绩效(在一家特别具有惩罚性的公司眼中,他们的价值)。
然后,威胁环境改变了大多数公司安全的重要性和优先级。根据最近的 数据泄露报告的成本 来自IBM和Ponemon Institute的平均网络安全漏洞现在每起事件造成的损失约为380万美元,尽管这还不是上限。仅一家公司就因其网络遭到入侵而蒙受了13亿美元的损失。当今的公司希望获得DevSecOps提供的安全保障,但遗憾的是,他们在奖励接听电话的开发人员方面进展缓慢。
仅仅让开发团队考虑安全性是行不通的,特别是如果他们仍然仅凭速度获得激励。实际上,在这样的系统中,花时间学习安全性和保护代码的开发人员实际上可能会失去对安全意识较低的同事继续获得的更好的性能评估和丰厚的奖金。这几乎就像各公司在不知不觉中为自己的安全故障而操纵系统一样,这又回到了他们对开发团队的看法。如果他们不将他们视为安全前线,那么利用员工队伍的可行计划就不太可能实现。
这甚至不能解释缺乏培训的原因。一些非常熟练的开发人员有数十年的编码经验,但在安全方面却很少... 毕竟,他们从来没有要求过编程。除非一家公司为熟练的程序员提供良好的培训计划,否则很难指望他们的开发人员突然获得新技能并以有意义的方式将其付诸行动,从而积极减少漏洞。
奖励具有良好安全实践的开发人员
好消息是,绝大多数开发人员之所以从事自己的工作,是因为他们觉得工作既具有挑战性又有回报,也因为他们享有自己的职位所带来的尊重。终身专业程序员迈克尔·施皮尔特 最近写了一篇关于 所有这些都是激励他和他的编程同事进行开发工作的因素。是的,他将金钱薪酬列为这些激励措施之一,但出人意料的是,这在清单上还很远。取而代之的是,他优先考虑创造新事物、学习新技能的快感,以及知道自己的作品将直接用于帮助他人的满足感。他还谈到了想要在公司和社区中感到被重视。简而言之,开发人员就像很多为自己的工作感到自豪的好人。
像 Shpilt 这样的开发人员和其他人不希望威胁行为者破坏他们的代码并利用它来伤害他们的公司或他们想要帮助的用户。但是,如果没有支持,他们无法突然将优先事项转移到安全方面。否则,这几乎就像系统会对他们不利一样。
为了帮助开发团队提高网络安全能力,必须首先向他们传授必要的技能。利用脚手架学习和即时(JiT)培训等工具可以大大减轻这一过程的痛苦,并有助于在正确的背景下建立现有知识。
JiT 的原则是,在恰当的时间为开发人员提供正确的知识,例如,如果 JiT 开发人员培训工具检测到程序员正在创建不安全的代码,或者意外地在应用程序中引入了漏洞,它可以激活并向开发人员展示他们如何修复该问题以及如何 编写更安全的代码 将来执行同样的职能。
随着提高技能的承诺,需要取消仅根据速度评估开发人员的旧方法。取而代之的是,应该根据程序员创建安全代码的能力获得奖励,而最优秀的开发人员则成为 安全冠军 这有助于团队其他成员提高技能。而且,这些拥护者需要获得公司声望和金钱补偿的奖励。同样重要的是要记住,开发人员通常不会有积极的安全体验,通过积极、有趣的学习和符合他们兴趣的激励措施来提振他们,将大大有助于确保知识保留和继续培养技能的愿望。
公司仍然可以将编码速度列为开发人员评估的一部分,但预计开发安全应用程序可能需要更长的时间,尤其是在程序员学习这些新技能的时候。
在日益危险的威胁环境中,DevSecOps 可以成为抵御黑暗艺术的终极防御。别忘了,这个新世界的拥护者,不断创建新代码的开发人员,需要得到尊重和报酬。
想与世界各地的其他开发人员一起测试你的安全技能吗?退房 安全代码勇士的 2021 年开发奥运会,你可以在我们的全球锦标赛中获得大奖!
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
网络威胁格局每天都变得越来越复杂。攻击者不断地在网络中扫描易受攻击的应用程序、程序、云实例,而本月最新的流行趋势是API,由于安全控制往往松懈,API被广泛认为是轻而易举的赢家。它们非常持久,以至于新应用程序有时会在部署后的数小时内遭到入侵和利用。Verizon 2021年数据泄露调查报告非常清楚地表明,威胁是针对企业和组织的 更危险 今天比历史上的任何时候都要多。
很明显,真正强化正在创建的软件的唯一方法是确保它建立在安全代码之上。换句话说,阻止威胁行为者入侵的最佳方法是首先拒绝让他们在您的应用程序中站稳脚跟。一旦你开始打那场战争,大多数优势就会偏向攻击者。
这种情况首先引起了 敏捷开发 和 DevOps,然后再到整个 DevSecOps 运动,其中安全是参与软件从开发到部署过程的每个人的共同责任。但是,这座金字塔的基础,可以说是最重要的部分,是开发人员。尽管大多数开发人员都希望尽自己的一份力量来编写安全的代码,但他们工作的许多组织不太支持如此重大的优先事项转变所需的变革。
设计失败
多年来,开发人员被告知,他们在组织中的主要职责是在快节奏的环境中快速构建和部署应用程序,在这种环境中,业务永不停止,客户永不入睡。开发人员编写代码的速度越快,可以部署的功能越多,他们在性能评估方面被视为的价值就越大。
安全是事后才想到的,如果考虑过的话。相反,所有这些都留给了应用程序安全 (AppSec) 团队来解决。大多数开发人员不喜欢 AppSec 团队,因为他们经常会将已完成的应用程序发回开发中,以应用安全补丁或重写代码以修复漏洞。而且,开发人员每花一个小时开发一个已经 “完成” 的应用程序,就是他们没有创建新的应用程序和功能,从而降低了他们的绩效(在一家特别具有惩罚性的公司眼中,他们的价值)。
然后,威胁环境改变了大多数公司安全的重要性和优先级。根据最近的 数据泄露报告的成本 来自IBM和Ponemon Institute的平均网络安全漏洞现在每起事件造成的损失约为380万美元,尽管这还不是上限。仅一家公司就因其网络遭到入侵而蒙受了13亿美元的损失。当今的公司希望获得DevSecOps提供的安全保障,但遗憾的是,他们在奖励接听电话的开发人员方面进展缓慢。
仅仅让开发团队考虑安全性是行不通的,特别是如果他们仍然仅凭速度获得激励。实际上,在这样的系统中,花时间学习安全性和保护代码的开发人员实际上可能会失去对安全意识较低的同事继续获得的更好的性能评估和丰厚的奖金。这几乎就像各公司在不知不觉中为自己的安全故障而操纵系统一样,这又回到了他们对开发团队的看法。如果他们不将他们视为安全前线,那么利用员工队伍的可行计划就不太可能实现。
这甚至不能解释缺乏培训的原因。一些非常熟练的开发人员有数十年的编码经验,但在安全方面却很少... 毕竟,他们从来没有要求过编程。除非一家公司为熟练的程序员提供良好的培训计划,否则很难指望他们的开发人员突然获得新技能并以有意义的方式将其付诸行动,从而积极减少漏洞。
奖励具有良好安全实践的开发人员
好消息是,绝大多数开发人员之所以从事自己的工作,是因为他们觉得工作既具有挑战性又有回报,也因为他们享有自己的职位所带来的尊重。终身专业程序员迈克尔·施皮尔特 最近写了一篇关于 所有这些都是激励他和他的编程同事进行开发工作的因素。是的,他将金钱薪酬列为这些激励措施之一,但出人意料的是,这在清单上还很远。取而代之的是,他优先考虑创造新事物、学习新技能的快感,以及知道自己的作品将直接用于帮助他人的满足感。他还谈到了想要在公司和社区中感到被重视。简而言之,开发人员就像很多为自己的工作感到自豪的好人。
像 Shpilt 这样的开发人员和其他人不希望威胁行为者破坏他们的代码并利用它来伤害他们的公司或他们想要帮助的用户。但是,如果没有支持,他们无法突然将优先事项转移到安全方面。否则,这几乎就像系统会对他们不利一样。
为了帮助开发团队提高网络安全能力,必须首先向他们传授必要的技能。利用脚手架学习和即时(JiT)培训等工具可以大大减轻这一过程的痛苦,并有助于在正确的背景下建立现有知识。
JiT 的原则是,在恰当的时间为开发人员提供正确的知识,例如,如果 JiT 开发人员培训工具检测到程序员正在创建不安全的代码,或者意外地在应用程序中引入了漏洞,它可以激活并向开发人员展示他们如何修复该问题以及如何 编写更安全的代码 将来执行同样的职能。
随着提高技能的承诺,需要取消仅根据速度评估开发人员的旧方法。取而代之的是,应该根据程序员创建安全代码的能力获得奖励,而最优秀的开发人员则成为 安全冠军 这有助于团队其他成员提高技能。而且,这些拥护者需要获得公司声望和金钱补偿的奖励。同样重要的是要记住,开发人员通常不会有积极的安全体验,通过积极、有趣的学习和符合他们兴趣的激励措施来提振他们,将大大有助于确保知识保留和继续培养技能的愿望。
公司仍然可以将编码速度列为开发人员评估的一部分,但预计开发安全应用程序可能需要更长的时间,尤其是在程序员学习这些新技能的时候。
在日益危险的威胁环境中,DevSecOps 可以成为抵御黑暗艺术的终极防御。别忘了,这个新世界的拥护者,不断创建新代码的开发人员,需要得到尊重和报酬。
想与世界各地的其他开发人员一起测试你的安全技能吗?退房 安全代码勇士的 2021 年开发奥运会,你可以在我们的全球锦标赛中获得大奖!
%20(1).avif)
.avif)
