因此,我认为我们在软件开发和安全方面面临的挑战之一是,在过去的20年中,我们一直看到相同或当前的软件漏洞。无论您使用静态代码分析,还是使用漏洞评估还是渗透测试,相同的问题都会在不同的技术和代码的不同部分中重复出现。
我认为,无论你是使用静态代码分析还是使用漏洞评估和渗透测试,我们面临的第二个挑战是,这些技术通常只会指出问题,并不能真正为你提供实用的实践解决方案和解决问题的方法。我认为这是我们需要从反应转向预防的原因之一,因为我们知道不仅要防止软件安全问题再次发生,而且我们也想在软件开发周期中快速解决这些问题。
因此,我们在Secure Code Warrior真正想做的一件事就是集成到开发人员的开发流程和工具中,因为我们希望与该软件开发人员具有超强的相关性和情境性。我们希望在那里帮助他们指导和指导实际问题。一个例子是集成到票务系统中。我们希望进入该票务系统,当出现安全漏洞时,无论是静态代码分析工具还是笔试漏洞,我们都希望在那里,让开发人员了解一些相关的编码模式和信息,说明你现在如何能用特定的编码语言快速修复这个问题。通过这种方式,我们希望使我们真正符合情境,并在开发人员真正需要的时候为他或她提供帮助。对于像 sensei 这样的技术,我们实际上希望在开发人员的 IDE 中保持情境化。而且,当我们注意到新员工或初级开发人员正在进行或使用可能导致安全漏洞的编程实践时,我们实际上想去那里,不仅要发现问题并对他们进行现场培训,还希望能够指导他们如何快速修复问题,甚至在 IDE 中自动为他们重写代码。因此,通过这种方式,我们希望与上下文息息相关,并用他们自己的编程语言为开发人员提供有关如何在团队中修复和生成安全代码的解决方案。
因此,我们的最终目标是将安全性融入开发人员的DNA。我们不想向左移动,我们从左边开始。我们想帮助开发人员并赋予他们权力,让他们从一开始就编写安全的代码。这就是为什么我们构建了一个环境,在这个环境中,我们提供开发人员使用的特定编程和语言的动手游戏和有趣的学习体验。因为我们希望为开发人员提供一种积极而有趣的安全体验,这样他们就可以快速编写安全代码。
那么为什么开发者喜欢 Secure Code Warrior 呢?首先,因为我们基本上是帮助他们提高他们使用自己的编程语言和框架的技能,无论你是使用 React 进行编码的前端开发人员,还是正在做 Java 或 swift 的移动开发人员,甚至是专注于 COBOL、RPG 或 Java 和 C# 的老派开发者,我们基本上已经用你的特定编码语言和框架构建了一个内容库,这样我们就可以以实用的方式帮助你,理解和创造安全的东西这并不可怕,而且学习起来确实很有趣。
%20(1).avif)