为什么我们绝不能忽视网络安全中的人为因素
我们最近欣喜地看到首篇《福布斯科技委员会》文章——由我们的董事长兼首席执行官彼得·丹希克斯执笔——正式上线。该文详细阐述了提升开发者技能以编写更安全代码的重要性,指出这是防范网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具备安全意识的开发人员如何助力交付比许多IT部门预期的更优质、更安全的代码。这种方法的需求无疑迫在眉睫。最新研究发现,如今每39秒就会发生一次网络攻击,而我们都目睹了单次勒索软件攻击造成的破坏——从更宏观的角度看,其破坏性甚至不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为从未有开发者愿意展示如何以更安全、更可靠的方式替代不良编码模式,从而实现相同功能。此外,在软件开发后期修复漏洞所产生的影响极其昂贵,无论是耗费的时间还是部署的延迟。在代码部署后进行修复——尤其是在攻击者利用先前未被发现的漏洞之后——有时可能耗费数百万美元。这甚至尚未考虑重大违规事件后公司声誉遭受的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但通过高层领导包容性的预防性安全方法,首席信息安全官可以利用公司最大的资源——人为因素,尤其是在软件开发生命周期的最初阶段就引入安全编码时。
为此,请牢记以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如对竞争对手的行为做出回应,而非制定并追求独特的愿景。当涉及代码中的安全漏洞时,许多人也默认采用这种方法,只有在漏洞成功被利用后才会认真对待网络安全。不幸的是,到那时损害已然造成,罚款、追偿成本、客户流失和品牌修复都将吞噬利润。另一种被动应对而非主动作为的做法,是依赖自动或手动代码扫描来发现现有代码中的漏洞,而非从一开始就专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案,这意味着代码漏洞越多,某些漏洞被遗漏的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停滞的内部培训研讨会让开发人员和经理都感到沮丧。需要在晚间或周末参加的场外课程甚至更不受欢迎。最佳方法是逐步培养编程技能,在编码过程中逐步提供相关信息——本质上是在不显著分散开发人员注意力或减缓开发进程的情况下提升技能。
3.激励,不要假设
开发人员不应将提升安全技能视为惩罚或纯粹的苦差事。管理者必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享有更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及“纳入评估开发者和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例”的必要性。然而,尽管工具必不可少,但这还远远不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装系统和工具的能力。为了最大限度地提高公司安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
最近,我们非常高兴地看到我们的董事长兼首席执行官彼得·丹希克斯在福布斯科技委员会的首篇文章上线。该文章详细阐述了如何提升开发人员的技能以编写更安全的代码,这是防范网络攻击和数据泄露的关键所在。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
我们最近欣喜地看到首篇《福布斯科技委员会》文章——由我们的董事长兼首席执行官彼得·丹希克斯执笔——正式上线。该文详细阐述了提升开发者技能以编写更安全代码的重要性,指出这是防范网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具备安全意识的开发人员如何助力交付比许多IT部门预期的更优质、更安全的代码。这种方法的需求无疑迫在眉睫。最新研究发现,如今每39秒就会发生一次网络攻击,而我们都目睹了单次勒索软件攻击造成的破坏——从更宏观的角度看,其破坏性甚至不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为从未有开发者愿意展示如何以更安全、更可靠的方式替代不良编码模式,从而实现相同功能。此外,在软件开发后期修复漏洞所产生的影响极其昂贵,无论是耗费的时间还是部署的延迟。在代码部署后进行修复——尤其是在攻击者利用先前未被发现的漏洞之后——有时可能耗费数百万美元。这甚至尚未考虑重大违规事件后公司声誉遭受的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但通过高层领导包容性的预防性安全方法,首席信息安全官可以利用公司最大的资源——人为因素,尤其是在软件开发生命周期的最初阶段就引入安全编码时。
为此,请牢记以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如对竞争对手的行为做出回应,而非制定并追求独特的愿景。当涉及代码中的安全漏洞时,许多人也默认采用这种方法,只有在漏洞成功被利用后才会认真对待网络安全。不幸的是,到那时损害已然造成,罚款、追偿成本、客户流失和品牌修复都将吞噬利润。另一种被动应对而非主动作为的做法,是依赖自动或手动代码扫描来发现现有代码中的漏洞,而非从一开始就专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案,这意味着代码漏洞越多,某些漏洞被遗漏的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停滞的内部培训研讨会让开发人员和经理都感到沮丧。需要在晚间或周末参加的场外课程甚至更不受欢迎。最佳方法是逐步培养编程技能,在编码过程中逐步提供相关信息——本质上是在不显著分散开发人员注意力或减缓开发进程的情况下提升技能。
3.激励,不要假设
开发人员不应将提升安全技能视为惩罚或纯粹的苦差事。管理者必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享有更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及“纳入评估开发者和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例”的必要性。然而,尽管工具必不可少,但这还远远不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装系统和工具的能力。为了最大限度地提高公司安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
我们最近欣喜地看到首篇《福布斯科技委员会》文章——由我们的董事长兼首席执行官彼得·丹希克斯执笔——正式上线。该文详细阐述了提升开发者技能以编写更安全代码的重要性,指出这是防范网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具备安全意识的开发人员如何助力交付比许多IT部门预期的更优质、更安全的代码。这种方法的需求无疑迫在眉睫。最新研究发现,如今每39秒就会发生一次网络攻击,而我们都目睹了单次勒索软件攻击造成的破坏——从更宏观的角度看,其破坏性甚至不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为从未有开发者愿意展示如何以更安全、更可靠的方式替代不良编码模式,从而实现相同功能。此外,在软件开发后期修复漏洞所产生的影响极其昂贵,无论是耗费的时间还是部署的延迟。在代码部署后进行修复——尤其是在攻击者利用先前未被发现的漏洞之后——有时可能耗费数百万美元。这甚至尚未考虑重大违规事件后公司声誉遭受的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但通过高层领导包容性的预防性安全方法,首席信息安全官可以利用公司最大的资源——人为因素,尤其是在软件开发生命周期的最初阶段就引入安全编码时。
为此,请牢记以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如对竞争对手的行为做出回应,而非制定并追求独特的愿景。当涉及代码中的安全漏洞时,许多人也默认采用这种方法,只有在漏洞成功被利用后才会认真对待网络安全。不幸的是,到那时损害已然造成,罚款、追偿成本、客户流失和品牌修复都将吞噬利润。另一种被动应对而非主动作为的做法,是依赖自动或手动代码扫描来发现现有代码中的漏洞,而非从一开始就专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案,这意味着代码漏洞越多,某些漏洞被遗漏的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停滞的内部培训研讨会让开发人员和经理都感到沮丧。需要在晚间或周末参加的场外课程甚至更不受欢迎。最佳方法是逐步培养编程技能,在编码过程中逐步提供相关信息——本质上是在不显著分散开发人员注意力或减缓开发进程的情况下提升技能。
3.激励,不要假设
开发人员不应将提升安全技能视为惩罚或纯粹的苦差事。管理者必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享有更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及“纳入评估开发者和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例”的必要性。然而,尽管工具必不可少,但这还远远不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装系统和工具的能力。为了最大限度地提高公司安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
我们最近欣喜地看到首篇《福布斯科技委员会》文章——由我们的董事长兼首席执行官彼得·丹希克斯执笔——正式上线。该文详细阐述了提升开发者技能以编写更安全代码的重要性,指出这是防范网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具备安全意识的开发人员如何助力交付比许多IT部门预期的更优质、更安全的代码。这种方法的需求无疑迫在眉睫。最新研究发现,如今每39秒就会发生一次网络攻击,而我们都目睹了单次勒索软件攻击造成的破坏——从更宏观的角度看,其破坏性甚至不及SolarWinds黑客事件。
许多常见漏洞依然存在,因为从未有开发者愿意展示如何以更安全、更可靠的方式替代不良编码模式,从而实现相同功能。此外,在软件开发后期修复漏洞所产生的影响极其昂贵,无论是耗费的时间还是部署的延迟。在代码部署后进行修复——尤其是在攻击者利用先前未被发现的漏洞之后——有时可能耗费数百万美元。这甚至尚未考虑重大违规事件后公司声誉遭受的损害。
接受过安全培训的开发人员自然会成为更优秀的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但通过高层领导包容性的预防性安全方法,首席信息安全官可以利用公司最大的资源——人为因素,尤其是在软件开发生命周期的最初阶段就引入安全编码时。
为此,请牢记以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如对竞争对手的行为做出回应,而非制定并追求独特的愿景。当涉及代码中的安全漏洞时,许多人也默认采用这种方法,只有在漏洞成功被利用后才会认真对待网络安全。不幸的是,到那时损害已然造成,罚款、追偿成本、客户流失和品牌修复都将吞噬利润。另一种被动应对而非主动作为的做法,是依赖自动或手动代码扫描来发现现有代码中的漏洞,而非从一开始就专注于编写安全代码。遗憾的是,代码扫描并非完美解决方案,这意味着代码漏洞越多,某些漏洞被遗漏的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过度
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停滞的内部培训研讨会让开发人员和经理都感到沮丧。需要在晚间或周末参加的场外课程甚至更不受欢迎。最佳方法是逐步培养编程技能,在编码过程中逐步提供相关信息——本质上是在不显著分散开发人员注意力或减缓开发进程的情况下提升技能。
3.激励,不要假设
开发人员不应将提升安全技能视为惩罚或纯粹的苦差事。管理者必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享有更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及“纳入评估开发者和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例”的必要性。然而,尽管工具必不可少,但这还远远不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装系统和工具的能力。为了最大限度地提高公司安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
