人为因素在未来的安全编码中起什么作用?
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
.avif)
.avif)
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
%20(1).avif)
.avif)
