我们的内容是为软件开发生命周期中的任何角色精心策划的。Secure Code Warrior认为，软件开发中的每个人都有责任确保正确创建和部署软件。因此，我们为以下角色提供了一系列内容，从认识主题到深入的实践练习：

Secure Code Warrior 为参与软件开发生命周期的所有角色提供了一系列内容，从意识主题到深入的实践练习。我们相信，软件开发中的每个人都在软件的安全创建和部署中发挥着作用。我们的内容是针对各种角色精心策划的。

• 软件开发人员: AI/Vibe 编码人员、前端、后端、API 工程师、移动工程师、Android/iOS 工程师、嵌入式和汽车行业工程师
• 技术专业人员: DevOps、系统管理员、云工程师、架构师、质量保证工程师/经理/测试人员、
• 管理层及其他: 工程经理、产品经理/项目经理/业务分析师、数据科学家/分析师/工程师

Secure Code Warrior 提供特定编码语言和框架的动手实践练习，因此开发人员可以将这些技能应用到日常工作中。我们支持超过 65 种编程语言/框架和 10,000 种动手活动。

想称霸 OWASP 前十名吗？下载《无废话指南》，保护您的应用程序免受 OWASP 前十名：2025 版的影响。

对于像你这样具备安全技能、高素质的开发人员而言，十个最常见的安全漏洞是不可能存在的。这本免费电子书是你了解2025年OWASP十大安全漏洞中每个臭名昭著的入选项目及其运作机制的终极实战指南。

你会明白为什么它们如此危险，最重要的是，你如何将它们从你的软件中永久清除。作为额外的好处，本指南提供了指向指导性视频学习模块的链接，以帮助你的技能发展。

你会：

• 学习如何识别和修复常见错误，例如注入缺陷和头号错误，访问控制失效
• 针对软件供应链故障和异常条件处理不当等全新条目获得新见解并进行实践学习
• 了解为什么安全编码和关注代码质量是降低漏洞和网络攻击风险的强大防御手段。

你准备好迎接下一次安全编码的挑战了吗？

IAG集团是亚太地区许多领先保险公司的幕后黑手，每年为数百万客户承保约114亿澳元的保费。比安卡·沃思是IAG集团的企业安全教育和宣传经理。她高度意识到开发团队内部需要严格的安全意识和实践，因此着手创造一个真正创新的最佳环境，让团队可以在其中学习重要的安全编码技术。

输入：密码游戏

挑战

开发人员往往时间紧张，有多个可交付成果和项目正在进行中。但是，保持最新的安全最佳实践对任何组织都至关重要，更不用说拥有数百万个敏感客户数据档案以防止黑客攻击的组织了。比安卡和她的团队在加强网络安全举措的道路上设定了明确的目标。他们确定最小化INIAG开发的应用程序的攻击面积是当务之急，他们将通过教育开发人员识别和修复关键和高风险漏洞来实现这一目标。漫长的安全编码培训课程固然存在，但它们可能很费力、乏味，而且会让关键员工离开交付时间表严格的开发项目，这给整个企业带来了压力。显而易见，需要快速提高开发团队的技能，同时尽量减少对工作量和运营的影响。而且，由于澳大利亚和新西兰的开发人员都在开发不一定相同的系统，这不是一件容易的事。

“今年，我对源代码进行了更改，删除了SQL注入漏洞。因为他们意识到了这一点，所以我把功劳归功于《密码游戏》。即使仅将安全编码放在首位也是有帮助的。竞争是推动人们尽力而为的好方法... 因为让我们面对现实吧，安全并不是每个人最愉快的话题，因此这是让人们参与的好方法。” R，IAG 开发人员

实施情况

Bianca制定了推出游戏化培训体验的策略，与她的团队和安全代码勇士合作实施了锦标赛和培训，以提高其内部开发人员的技能。为此，必须制定健全的沟通策略，并迎合员工在采用全新平台并充分发挥其潜力时所具有的不同动机和个性：

“我们设计了一项沟通计划，包括我们将如何向员工和主要利益相关者传达需要知道的要点、关键信息以及我们给予他们回应的激励措施。大多数人真的很喜欢游戏化体验。这只取决于他们的个性、动机以及驱动他们的动力。因此，这就是为什么我们努力为人们提供完全不同的动机。对于一些人来说，他们喜欢奖品，对于另一些人来说，成就方面本身就足够了，” 她说

Bianca和IAG专业地展示了Secure Code Warrior的游戏化学习平台，将他们的锦标赛转变为一种被誉为 “编程游戏” 的有趣竞赛体验，工作人员被安置在中世纪主题房屋（配有品牌玩家商品）中，进行一场名副其实的HBO同名战斗。

本次锦标赛甚至已经登上了国际舞台，即将举行的澳大利亚对阵新西兰的比赛即将开始。这使IAG有机会确定两国领先的安全支持者，并确保团队共同提高技能。

结果

实际上，《守则游戏》是一项专门的培训计划。它以互动式趣味锦标赛的形式推出，确保了工作人员以各种方式保持参与，但该练习的核心实用性仍然是：为开发人员提供识别和阻止IAG开发的应用程序中高风险漏洞所需的技能。

通过确保开发人员和安全团队都以安全为先的思维进行工作，并从一开始就做好准备，不仅能识别漏洞，还能修复漏洞，IAG预计，昂贵的渗透测试活动将减少，开展渗透测试的团队承受的压力。

除了这种至关重要的能力不断发展之外，Game of Codes还有助于建立关系，在参与的团队之间注入了友情感和友好的竞争力，同时也帮助个人在得分锦标赛环境中对自己的安全编码能力感到更加自信。

比安卡表示，内部对该计划的支持是巨大的，并受到了行政部门的积极欢迎。这也促成了一项大使计划，热衷于推广该计划和捍卫组织内部安全的个人可以参与其中：

“对于一些开发人员来说，这是一个很好的曝光率，也是他们技能的极好提升。他们在自己的工作中也从中受益，这一点很重要。”

Game of Codes 不是 “只是一场游戏”，也不是仅仅是部门经理完成合规培训的一种更愉快的方式，它提供了一种留存率高、引人入胜的解决方案，可以将安全新手快速转变为安全捍卫者，这对于最大限度地降低大规模漏洞的风险至关重要。

还有来自比安卡本人的终极建议：

“如果你推出任何程序并期望人们只使用它，那就行不通了。你需要围绕它设计一个计划，在那里你可以启动和激励行为的改变。我们构建的本质上是一个以安全为重点的开发人员变更管理计划。”

“在完成了 Game of Codes 的培训课程后，我发现自己对安全性更感兴趣，在创建自动化测试时更会考虑安全性。我是敏捷团队的高级测试员，这些培训课程激发了我更多地学习安全测试的知识，并将其视为一种可能的专业领域。” A、IAG 高级测试员

事实速览

• 除了游戏化学习外，IAG还使用Secure Code Warrior作为开发人员招聘中的技能测试工具。
• 他们正在将该计划推广到其开发团队的100％，其中55％的人已经活跃在系统中。
• 他们制定了一套关键的内部指标，使他们能够衡量该计划在一段时间内在最大限度地降低风险和降低成本方面的成功。
  ‍

你应该更多地包括开发者的内容、时间和原因。

‍

背景

泰雷兹集团是一家法国跨国公司，为航空航天、国防、运输和安全领域设计、开发和制造电气系统以及设备和设备。Viswanath S. Chirravuri 是泰雷兹的软件安全技术总监。Viswanath，又称 Vis，他的职业生涯最初是作为一名程序员开始的。他现在是泰雷兹的高级安全负责人，在安全行业拥有超过18年的经验，并拥有30多项认证，包括CISSP、PMP和GSE。他已经在超过18个国家培养了3,000多名软件专业人员。此外，Vis在国际网络安全锦标赛（例如Netwars）中赢得了超过10枚SANS挑战币，并且是GIAC顾问委员会的活跃成员。我们与 Vis 进行了交谈，了解他如何协调人员、流程和技术，在泰雷兹成功开发安全代码学习计划。

情况

当Vis开始在泰雷兹工作时，他指导各业务部门研究通过笔试发现的漏洞的来源，以此作为减少科技债务积压的可能解决方案。应用程序安全团队使用了与他们合作的7家不同供应商来巩固其安全态势——从IAST/DAST工具到笔试工具。Vis希望了解市场趋势并以可扩展的方式管理威胁，通过流程和技术之间的强大整合来制定缓解策略。这意味着从纯粹的基于工具的方法转向具有强大学习成分的策略。他注意到许多开发人员没有安全背景或安全技能。他最初的方法是就OWASP Top 10等主题为开发人员提供基于课堂的培训，但他很快意识到，面对面授课所需的全部差旅以及需要接触全球成千上万的开发人员，这种培训规模无法扩大。维斯指出：

“安全与发展之间的比例总是不平衡的。即使我的安全性与开发者的比例为 1:1，我也无法让他们一直参与进来。让我们的开发人员及时了解新的攻击载体、最佳实践、新语言和新发现的漏洞，这意味着我们需要能够促进开发人员的自我学习，让他们能够按照自己的节奏前进。如果他们需要帮助，我可以帮助他们，但我意识到我不能成为教他们如何修复他们发现的每一个漏洞的人。”

最初，开发经理认识到，有这么多开发人员是从头开始的，因此对开发人员需要花在安全代码学习上的时间进行反对。Vis 需要控制这样的看法，即承诺安全代码学习可能会干扰软件发布周期或减缓关键任务冲刺的速度。他需要找到一种方法来正确激励组织花时间进行安全代码的敏捷学习。Vis采取以人为本的态度从源头解决漏洞， “人们经常说安全占用了开发时间。对我来说，如果你开发了一些不安全的东西，那么一开始就是在浪费时间。您应该始终开发安全的软件，从而节省自己修复本来可以轻松避免的漏洞的时间。我们都应该有一个共同的目标，那就是发布可靠的代码。”

行动

Vis有两个主要目标：保护他们的软件和提高泰雷兹开发团队的安全意识。实施一项允许开发人员独立并按照自己的节奏进行培训的计划至关重要。Vis的战略是随着时间的推移建立一个安全社区，努力将安全编码与公司政策联系起来，并制定组织中安全代码学习的要求。通过鼓励一种将开发人员、测试人员、架构师和工程师联系起来的社区文化，他看到了激励倍增效应。涌现出对安全充满热情的安全倡导者，这是他们日常工作的一部分，这有助于在整个组织中传播对安全编码实践的认识。Vis对十几家安全培训供应商进行了评估，并于2019年成为SCW的客户。对于泰雷兹来说，如果供应商能够涵盖其环境中的所有编程语言和框架，而不是零敲碎打的解决方案，这是一个巨大的好处。Vis 依靠 Secure Code Warrior 的大量内容为安全计划中的开发人员提供培训和自定进度的学习机会：

“OWASP 前十名不仅仅是你需要知道的十件事。OWASP 涵盖的漏洞的深度和多样性，加上编程语言的数量之多，可能会让人不知所措——我们在这些问题上面临的广泛挑战和报道是选择 SCW 的关键因素。他们总是在添加新东西。深度、主题的多样性、最新的内容以及对安全代码设计原则的关注确实使SCW与众不同。有了他们，这不是一次性培训，相反，我们获得了建立持续计划的机会。”

Vis 和他的团队设计了安全代码学习计划的四个层次的推出，每个工程职位都有不同的里程碑：

重要的是，SCW 成为漏洞修复的真实来源。Vis没有依赖可能导致你进行故障排除的谷歌搜索，而是发布了AppSec团队的指南和SCW内容库中的指南，这样开发人员就可以参考可信的真实来源来修复代码中的漏洞。根据维斯的说法：

“开发人员不应自由决定如何修复漏洞，也不应在此过程中可能引入新的漏洞。我们通过 SCW 的 SCORM 集成将 SCW 视频集成到我们的 LMS 中，以确保开发人员学习如何以正确的方式修复漏洞。这也为我们提供了一种确保交付安全软件的开发人员得到认可的方法。我们要求他们达到一定程度的安全编码，我们可以通过他们解决且不会重新引入的漏洞来跟踪这一点。这样，他们所做的辛勤工作就会得到公司的认可和重视。”

结果

Vis和他的团队每月发布一份安全代码简报，在那里他们可以认出公司中最优秀的学习者。他们使用 SCW 来查看评估分数、锦标赛参与情况以及为扩大成就而进行的挑战。这也激励了其他开发人员学习。他最初设定的关键绩效指标侧重于在两年内减少漏洞的总数。在实施SCW之后，他注意到趋势线呈下降趋势。这些漏洞不会在源代码级别重新引入。Vis 是这样说的：

“我们向管理层提交的关键绩效指标反映了我们做出的明智选择。我们为自己的安全代码培训而感到自豪，这为我们的客户带来了商业信心。我们因其全面的安全代码培训计划而获得认可，并受到客户和同行的尊重。当你有这样的计划时，它会为你的公司增加很多价值。”

关键要点

Vis 认识到，人员、流程和技术在任何安全计划中都可以发挥作用。通过专注于软件的安全性、开发人员知识和合规性要求，可以将敏捷学习整合到安全代码程序中，从而随着时间的推移减少源代码中的漏洞。Vis向该领域的专业人员提供这些建议，希望在开发人员团队中培养安全技能。