为什么脚手架式学习能培养出安全意识强的开发人员
浏览科技新闻短短几分钟后,便会清楚意识到威胁格局变得何等危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者与犯罪分子积极利用的严重威胁的报道。而且几乎所有行业指标和报告都显示网络威胁数量正日益增长,多数专家预测这种趋势将在未来几年持续下去。
面对这些新威胁的,是精疲力竭且人手不足的一线IT安全工作者。尽管薪资丰厚,且几乎是任何企业或组织不可或缺的,但安全人员永远不够用。在战略与国际研究中心最近的一项调查中,82%的IT决策者表示其组织存在网络安全技能短缺问题,71%的决策者指出这种短缺已对组织造成直接且可量化的损害。报告指出,仅在美国,这个仅雇佣约94万人的领域就存在超过52万个网络安全职位空缺。
在全球范围内,目前约有350万个网络安全岗位处于空缺状态,这意味着即使是愿意支付巨额资金来招聘和留住顶尖专业人才的组织,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间约为21%,若能成功填补的话,这一比例远高于其他任何职位。
开发者支持被忽视的时间太长了
我们注意到,以往许多博客都指出开发人员可填补网络安全防御中的关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来应用安全团队的工作。
不幸的是,这不仅仅是换挡并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变——而调查显示其中许多人确实愿意改变——但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一道,也是最大的障碍。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁并消除代码漏洞非常困难,且威胁形势不断变化。尝试通过静态培训教授网络安全知识——即使针对相对精通技术的开发人员——也难以高效实现。这类培训内容很快过时,难以令人铭记,产生的积极影响微乎其微,尤其当这些要求被添加到他们本已超负荷的工作日程中时。
搭建脚手架以到达更高的地方
使用传统方法教授网络安全技能,就像试图在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生缺乏掌握网络安全等复杂领域许多更高层次概念所需的基础。为弥补这一缺陷,"脚手架式学习"这一概念可以派上用场。
当采用脚手架或“分层”方法提升技能时,较大的主题通常会被分解为离散的学习体验或概念。这种方式能确保学生通过适当的练习和指导掌握每个概念,从而为每个组成部分提供所需的支持。在已掌握的概念基础上,会逐步引入更新、更高级的概念,如同随着建筑物升高而搭建物理脚手架一般。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时可能出现的负面情绪和自我认知,这些情绪包括沮丧、恐惧或灰心。然而,在处理现代网络安全等极其复杂的概念时,这种方法同样具有重要价值。这绝非将开发人员视为孩童的对待方式,尤其当他们在安全团队中的经历可能引发同样的挫败感与消沉情绪时——特别是当他们的辛勤工作因错误修复和新的批评而付诸东流时,这种方法便显得尤为有效。
当为开发人员提供了解安全编码基础知识的工具时(通常从OWASP前10名开始),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。此后,他们可通过解决更复杂的漏洞来拓展知识,并积累应用良好修复方案的实践经验。这些能力将逐步累积,当涉及高级安全问题(如不安全的软件架构或参与威胁建模)时,这些飞跃性挑战便不再令人望而生畏,反而能被精准应对。
作为一个行业,我们永远不应指望开发人员成为安全专家,但组织可以采用新的开发人员支持标准,从而帮助他们产出更高质量的软件。作为提升技能的工程组织带来的额外好处,每个步骤或每层脚手架都将在学习过程中直接转化为更强的网络安全能力。无需等到课程结束才能看到成效。
学习网络安全非常困难,若没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与支架式学习相结合,能够充分释放其潜力,其效益几乎立竿见影。改进将几乎立即开始,并随着时间的推移不断优化。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
浏览科技新闻短短几分钟后,便会清楚意识到威胁格局变得何等危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者与犯罪分子积极利用的严重威胁的报道。而且几乎所有行业指标和报告都显示网络威胁数量正日益增长,多数专家预测这种趋势将在未来几年持续下去。
面对这些新威胁的,是精疲力竭且人手不足的一线IT安全工作者。尽管薪资丰厚,且几乎是任何企业或组织不可或缺的,但安全人员永远不够用。在战略与国际研究中心最近的一项调查中,82%的IT决策者表示其组织存在网络安全技能短缺问题,71%的决策者指出这种短缺已对组织造成直接且可量化的损害。报告指出,仅在美国,这个仅雇佣约94万人的领域就存在超过52万个网络安全职位空缺。
在全球范围内,目前约有350万个网络安全岗位处于空缺状态,这意味着即使是愿意支付巨额资金来招聘和留住顶尖专业人才的组织,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间约为21%,若能成功填补的话,这一比例远高于其他任何职位。
开发者支持被忽视的时间太长了
我们注意到,以往许多博客都指出开发人员可填补网络安全防御中的关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来应用安全团队的工作。
不幸的是,这不仅仅是换挡并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变——而调查显示其中许多人确实愿意改变——但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一道,也是最大的障碍。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁并消除代码漏洞非常困难,且威胁形势不断变化。尝试通过静态培训教授网络安全知识——即使针对相对精通技术的开发人员——也难以高效实现。这类培训内容很快过时,难以令人铭记,产生的积极影响微乎其微,尤其当这些要求被添加到他们本已超负荷的工作日程中时。
搭建脚手架以到达更高的地方
使用传统方法教授网络安全技能,就像试图在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生缺乏掌握网络安全等复杂领域许多更高层次概念所需的基础。为弥补这一缺陷,"脚手架式学习"这一概念可以派上用场。
当采用脚手架或“分层”方法提升技能时,较大的主题通常会被分解为离散的学习体验或概念。这种方式能确保学生通过适当的练习和指导掌握每个概念,从而为每个组成部分提供所需的支持。在已掌握的概念基础上,会逐步引入更新、更高级的概念,如同随着建筑物升高而搭建物理脚手架一般。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时可能出现的负面情绪和自我认知,这些情绪包括沮丧、恐惧或灰心。然而,在处理现代网络安全等极其复杂的概念时,这种方法同样具有重要价值。这绝非将开发人员视为孩童的对待方式,尤其当他们在安全团队中的经历可能引发同样的挫败感与消沉情绪时——特别是当他们的辛勤工作因错误修复和新的批评而付诸东流时,这种方法便显得尤为有效。
当为开发人员提供了解安全编码基础知识的工具时(通常从OWASP前10名开始),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。此后,他们可通过解决更复杂的漏洞来拓展知识,并积累应用良好修复方案的实践经验。这些能力将逐步累积,当涉及高级安全问题(如不安全的软件架构或参与威胁建模)时,这些飞跃性挑战便不再令人望而生畏,反而能被精准应对。
作为一个行业,我们永远不应指望开发人员成为安全专家,但组织可以采用新的开发人员支持标准,从而帮助他们产出更高质量的软件。作为提升技能的工程组织带来的额外好处,每个步骤或每层脚手架都将在学习过程中直接转化为更强的网络安全能力。无需等到课程结束才能看到成效。
学习网络安全非常困难,若没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与支架式学习相结合,能够充分释放其潜力,其效益几乎立竿见影。改进将几乎立即开始,并随着时间的推移不断优化。
浏览科技新闻短短几分钟后,便会清楚意识到威胁格局变得何等危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者与犯罪分子积极利用的严重威胁的报道。而且几乎所有行业指标和报告都显示网络威胁数量正日益增长,多数专家预测这种趋势将在未来几年持续下去。
面对这些新威胁的,是精疲力竭且人手不足的一线IT安全工作者。尽管薪资丰厚,且几乎是任何企业或组织不可或缺的,但安全人员永远不够用。在战略与国际研究中心最近的一项调查中,82%的IT决策者表示其组织存在网络安全技能短缺问题,71%的决策者指出这种短缺已对组织造成直接且可量化的损害。报告指出,仅在美国,这个仅雇佣约94万人的领域就存在超过52万个网络安全职位空缺。
在全球范围内,目前约有350万个网络安全岗位处于空缺状态,这意味着即使是愿意支付巨额资金来招聘和留住顶尖专业人才的组织,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间约为21%,若能成功填补的话,这一比例远高于其他任何职位。
开发者支持被忽视的时间太长了
我们注意到,以往许多博客都指出开发人员可填补网络安全防御中的关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来应用安全团队的工作。
不幸的是,这不仅仅是换挡并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变——而调查显示其中许多人确实愿意改变——但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一道,也是最大的障碍。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁并消除代码漏洞非常困难,且威胁形势不断变化。尝试通过静态培训教授网络安全知识——即使针对相对精通技术的开发人员——也难以高效实现。这类培训内容很快过时,难以令人铭记,产生的积极影响微乎其微,尤其当这些要求被添加到他们本已超负荷的工作日程中时。
搭建脚手架以到达更高的地方
使用传统方法教授网络安全技能,就像试图在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生缺乏掌握网络安全等复杂领域许多更高层次概念所需的基础。为弥补这一缺陷,"脚手架式学习"这一概念可以派上用场。
当采用脚手架或“分层”方法提升技能时,较大的主题通常会被分解为离散的学习体验或概念。这种方式能确保学生通过适当的练习和指导掌握每个概念,从而为每个组成部分提供所需的支持。在已掌握的概念基础上,会逐步引入更新、更高级的概念,如同随着建筑物升高而搭建物理脚手架一般。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时可能出现的负面情绪和自我认知,这些情绪包括沮丧、恐惧或灰心。然而,在处理现代网络安全等极其复杂的概念时,这种方法同样具有重要价值。这绝非将开发人员视为孩童的对待方式,尤其当他们在安全团队中的经历可能引发同样的挫败感与消沉情绪时——特别是当他们的辛勤工作因错误修复和新的批评而付诸东流时,这种方法便显得尤为有效。
当为开发人员提供了解安全编码基础知识的工具时(通常从OWASP前10名开始),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。此后,他们可通过解决更复杂的漏洞来拓展知识,并积累应用良好修复方案的实践经验。这些能力将逐步累积,当涉及高级安全问题(如不安全的软件架构或参与威胁建模)时,这些飞跃性挑战便不再令人望而生畏,反而能被精准应对。
作为一个行业,我们永远不应指望开发人员成为安全专家,但组织可以采用新的开发人员支持标准,从而帮助他们产出更高质量的软件。作为提升技能的工程组织带来的额外好处,每个步骤或每层脚手架都将在学习过程中直接转化为更强的网络安全能力。无需等到课程结束才能看到成效。
学习网络安全非常困难,若没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与支架式学习相结合,能够充分释放其潜力,其效益几乎立竿见影。改进将几乎立即开始,并随着时间的推移不断优化。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
浏览科技新闻短短几分钟后,便会清楚意识到威胁格局变得何等危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者与犯罪分子积极利用的严重威胁的报道。而且几乎所有行业指标和报告都显示网络威胁数量正日益增长,多数专家预测这种趋势将在未来几年持续下去。
面对这些新威胁的,是精疲力竭且人手不足的一线IT安全工作者。尽管薪资丰厚,且几乎是任何企业或组织不可或缺的,但安全人员永远不够用。在战略与国际研究中心最近的一项调查中,82%的IT决策者表示其组织存在网络安全技能短缺问题,71%的决策者指出这种短缺已对组织造成直接且可量化的损害。报告指出,仅在美国,这个仅雇佣约94万人的领域就存在超过52万个网络安全职位空缺。
在全球范围内,目前约有350万个网络安全岗位处于空缺状态,这意味着即使是愿意支付巨额资金来招聘和留住顶尖专业人才的组织,也难以找到合适的候选人。平均而言,填补网络安全岗位所需的时间约为21%,若能成功填补的话,这一比例远高于其他任何职位。
开发者支持被忽视的时间太长了
我们注意到,以往许多博客都指出开发人员可填补网络安全防御中的关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来应用安全团队的工作。
不幸的是,这不仅仅是换挡并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变——而调查显示其中许多人确实愿意改变——但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一道,也是最大的障碍。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁并消除代码漏洞非常困难,且威胁形势不断变化。尝试通过静态培训教授网络安全知识——即使针对相对精通技术的开发人员——也难以高效实现。这类培训内容很快过时,难以令人铭记,产生的积极影响微乎其微,尤其当这些要求被添加到他们本已超负荷的工作日程中时。
搭建脚手架以到达更高的地方
使用传统方法教授网络安全技能,就像试图在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生缺乏掌握网络安全等复杂领域许多更高层次概念所需的基础。为弥补这一缺陷,"脚手架式学习"这一概念可以派上用场。
当采用脚手架或“分层”方法提升技能时,较大的主题通常会被分解为离散的学习体验或概念。这种方式能确保学生通过适当的练习和指导掌握每个概念,从而为每个组成部分提供所需的支持。在已掌握的概念基础上,会逐步引入更新、更高级的概念,如同随着建筑物升高而搭建物理脚手架一般。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时可能出现的负面情绪和自我认知,这些情绪包括沮丧、恐惧或灰心。然而,在处理现代网络安全等极其复杂的概念时,这种方法同样具有重要价值。这绝非将开发人员视为孩童的对待方式,尤其当他们在安全团队中的经历可能引发同样的挫败感与消沉情绪时——特别是当他们的辛勤工作因错误修复和新的批评而付诸东流时,这种方法便显得尤为有效。
当为开发人员提供了解安全编码基础知识的工具时(通常从OWASP前10名开始),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。此后,他们可通过解决更复杂的漏洞来拓展知识,并积累应用良好修复方案的实践经验。这些能力将逐步累积,当涉及高级安全问题(如不安全的软件架构或参与威胁建模)时,这些飞跃性挑战便不再令人望而生畏,反而能被精准应对。
作为一个行业,我们永远不应指望开发人员成为安全专家,但组织可以采用新的开发人员支持标准,从而帮助他们产出更高质量的软件。作为提升技能的工程组织带来的额外好处,每个步骤或每层脚手架都将在学习过程中直接转化为更强的网络安全能力。无需等到课程结束才能看到成效。
学习网络安全非常困难,若没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与支架式学习相结合,能够充分释放其潜力,其效益几乎立竿见影。改进将几乎立即开始,并随着时间的推移不断优化。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
