DACH 中的 DevSecOps:安全编码试点计划的主要发现
十多年来,网络安全最佳实践一直是热点问题,全球大多数地区的政府层面经常对此进行讨论。网络攻击本质上是日常现实,任何在线存储有价值的私人数据的实体都是潜在的目标。仅在德国,联邦教育和研究部估计 96% 的中小型企业已经经历过 IT 安全事件。同一份报告强调了对网络安全研究、立法和宣传的迫切需求,并明确呼吁在计算机科学和信息技术相关领域纳入更强有力的安全培训。
随着 GDPR,以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后修订的战略,很明显,网络安全意识和行动是DACH地区领导人的头等大事。2018年底的黑客攻击是由一名技能相对较低的20岁学生执行的,他只需猜测密码即可获得高度敏感信息的主要接入点。尽管这是一个极其令人担忧的身份验证漏洞,但它确实凸显了政府、企业和社会层面提高安全意识的必要性。2019年的一份报告强调了这一点 德国在网络安全防御举措方面落后了, 依靠立法作为主要策略.但是,随着DevSecOps作为一种理想的开发方法的问世,许多企业已经意识到需要实践培训、安全设计软件创建和全公司范围的安全意识计划。
DACH 中的软件安全心跳
像这样的组织 OWASP 和 MITRE 发布经数据验证的最常见漏洞排名。在所有语言中,SQL 注入都位居第一,尽管它已经存在了几十年,但它是一个常见的缺陷,经常被利用并带来灾难性的后果。
瑞士 BPC 银行软件 SmartVista, 已收到 SQLi 漏洞警报 但是,由SwissCert提供,尽管它有可能泄露敏感的客户数据,包括信用卡号,但它已经有几个月没有打补丁了。SQL 注入可以而且确实会导致危险的漏洞,就像 2017 年多个政府部门和大学的违规行为 在美国和英国。这些事件中有许多是由输入验证过程松懈造成的,这使得攻击者能够从应用程序的前端插入恶意代码。另一个常见的漏洞来源是使用不安全的供应商代码,这些代码未经检查是否存在安全漏洞,因此漏洞会被引入到先前扫描和清除的生产环境中。这两个接入点都不是 DACH 地区所特有的,相反,它们是安全做法不佳的全球示例,随着世界产生更多代码,这种做法无法持续下去。
一旦发现问题,就必须立即对其进行补丁,而SmartVista拖延的决定可能是一场灾难。尽管DACH也有违规行为,但更有针对性的指导方针以及安全意识和培训方面的支持可以防止组织层面的潜在问题失控,这将需要在开发人员驾驶评估培训方面制定更加具体的立法。
并非所有的安全代码培训都是一样的。
世界各地的许多网络安全指令变得越来越全面,但是,在概述有效的安全培训方面,它们仍然相当不具体。这个 NIS 指令 在欧盟,确实包括在国家层面进行 “提高认识、培训和教育” 的要求,但是如果缺少推动开发人员技能提升和组织变革的关键要素,那么匆忙制定培训解决方案可能无法取得切实降低风险的预期结果。
教育解决方案各不相同,培训必须针对开发人员的日常工作(包括使用其首选语言和框架进行学习的能力),并随着时间的推移保持吸引力和可衡量性。
静态训练解决方案,例如基于计算机的视频培训,通常过于笼统,很少重新审视或评估其在提高意识和技能以阻止漏洞在编写代码时进入代码方面的成功。 动态训练但是,除了提供影响业务缓解流程的指标外,这对于通过上下文示例提高开发人员的技能也至关重要。它经常更新,促进高水平的知识保留,是培养具有安全意识的开发人员的一部分,这些开发人员可以为工作场所的积极安全文化做出贡献。
来自 DACH 飞行员的 Secure Code Warrior 数据点:
Secure Code Warrior的销售总监(网络安全硕士)Ema Rimeike一直与DACH地区的组织密切合作,为开发人员开展试点计划,以评估开发人员的内部安全编码能力、他们对安全最佳实践的参与度以及企业的整体安全文化。利用游戏化的动态安全代码培训,她的主要发现揭示了从SDLC一开始就为开发人员提供有助于成功降低漏洞的知识和工具,这将是一个光明的未来。
在试点计划期间,她根据以下数据整理了统计数据 每位用户在 Secure Code Warrior (SCW) 平台上平均花费 90 分钟,他们在其中玩过 15 项安全编码挑战 (一口大小、游戏化、自定进度的课程):
用户平均花费5.5分钟完成一项挑战,而其他全球SCW试点的平均时间为3分钟。
- 准确性与信心:DACH飞行员对挑战答案的信心平均百分比在88-92%之间,但这些答案的准确率在53-66%之间
- 与基于计算机的培训(CBT)等静态方法相比,超过75%的受访者更喜欢游戏化或动态训练方法。
- 在最常见的漏洞中,我们看到了 注射缺陷, 安全配置错误, 跨站点脚本 (XSS), 平台使用不当, 访问控制, 身份验证, 内存损坏, 跨站请求伪造, 传输层保护不足 和 未经验证的重定向和转发
总的来说,DACH地区的许多人重视强烈的职业道德和对精度的关注,这已经不是什么秘密了,尝试试点计划的开发人员也不例外。这些数据点表明他们对此类训练不熟悉,但也表明他们希望继续比赛,提高分数并避免使用可用的 “提示” 功能。他们学习和改进的愿望是显而易见的,但这也表明,要在组织内部实施有效的培训和提高认识,还有更多工作要做。
降低风险和阻止漏洞的出色培训不是一次性的,它不仅仅是合规性。经理和AppSec人员必须努力推出一项安全意识计划,其战略和支持应反映核心安全目标并力求长期维持这些目标。实际上,这是具有安全意识的开发人员成功开展DevSecOps流程的支柱。
试点计划向组织揭示了什么?
Secure Code Warrior的试点计划是一个非常有价值的工具,可以让企业了解其当前的安全状况(通常在65-75%之间)以及需要立即改善的领域。他们透露:
- 明确必须优先解决哪些漏洞,以及该方向是否应应用于特定的团队、业务部门或编程语言
- 有关其 SDLC 中网络安全风险因素的准确、更广泛的情报,涵盖软件开发的人为因素。
- 通过利用SCW平台,组织可以预测笔试的潜在结果,并有机会提前降低这些风险,在团队被分配到特定项目之前就做好准备。
在已经开始推出全面有效的安全计划的组织中,管理层通常会批准每周1-1.5小时的专业发展,以帮助其开发人员提高其安全编码知识的技能。但是,我们注意到,组织正在从 “花在平台上的时间” 转向 “哪些软件开发团队对业务构成的风险最高和最低”。这与正式的认证/安全带、发现安全卫士和指导计划紧密相关,以获得最佳结果。时间分配以及建设性和积极的评估对于培养具有安全意识的开发人员绝对是关键,他们不仅喜欢安全性,而且可以显著降低业务风险。
组织已经如何使用 Secure Code Warrior?
一些企业已经在使用Secure Code Warrior来提高认知度,培养开发人员的技能并推广积极的安全文化。
例如,在一个用例中,在该平台上进行培训的团队使用 SCW 来揭示其安全优势和劣势:
开发者行动: 开发人员能够看到自己的成果,显示出他们应重点关注并有权自我指导的领域,并调整培训进度以减少特定的漏洞或知识差距,这将有助于他们未来的软件构建。
管理行动: 他们分析了团队层面的整体优势和劣势,并得以开出一种针对特定关注领域的游戏化方法。这创建了一条双向教育途径,可以快速积累相关知识。
结果: 在团队层面进行渗透测试后,任何漏洞都显而易见,通过比较先前的结果,可以轻松验证培训是否有效地减少了常见的安全漏洞。
这可以追溯到软件开发的初始阶段,在此阶段,对团队进行持续改进和从一开始就引入安全最佳实践的预培训目标可以有效、易于推出,并在整个开发范围内节省时间。
DevSecOps 项目团队
在理想的 DevSecOps 环境中,多个业务部门组成一个项目团队,负责决定和交付核心成果,其中之一就是安全最佳实践。
在项目前研究和规划方面,SCW平台可以在拟议开发团队开始工作之前评估其安全技能,预测最终的渗透测试结果以及SDLC中与安全相关的延迟,并有足够的时间为之做好充分的准备。可以创建针对项目代码和结构的培训以供团队完成,包括验证整体安全意识技能的评估/认证流程,要求在项目交付成果上预先设定合格分数。
这提供了一种具有巨大商业价值的方法,可以降低修复漏洞的成本,缓解安全风险,节省渗透测试时间,降低昂贵的赏金计划的成本,以及以集中、可持续、可扩展和统一的方式提高开发群体的技能。
结论:
企业面临的压力越来越大,要求他们优先考虑安全性,确保我们的数据安全并遵守日益严格的全球法规,尤其是对于在严格的 GDPR 指导方针下在欧盟进行交易的组织而言。
对于 DACH 地区的公司来说,很明显,他们正在通过将培训工作和结果与风险预防相关的现实活动联系起来,包括减少他们编写的代码中的常见漏洞,从而开辟可行的安全途径。
为了建立一个真正可量化的业务案例,以提高安全预算、提高认识和整体合规性,培训必须吸引开发人员、一致、适应性强和可衡量。跟踪当前阶段量身定制正确培训的能力、发现安全卫士以及衡量团队在一段时间内的绩效都是至关重要的举措,DACH中许多具有前瞻性思维的公司在SCW全面试点后正在意识到这些好处。
许多公司都在为过于笼统的安全性能指标而苦苦挣扎。通过长期持续使用SCW平台,企业可以利用精确评估、课程和管理指标来发现:
- 随着时间的推移漏洞的减少
- 随着时间的推移,修复漏洞的成本会降低
- 随着时间的推移个人和团队技能的发展
- 减少渗透测试阶段的成本和时间
您的组织目前跟踪哪些指标,重新衡量这些指标的频率如何,以及随着时间的推移这些指标是否显示出明显的改善?就现有开发人员工作流程而言,您的培训计划有多整合?
SCW 的动态、游戏化和全面的方法被视为安全软件开发生命周期工作流程的关键部分。企业正在为开发人员提供正确的工具和培训,并将SCW嵌入到其SSDLC工作流程中。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
十多年来,网络安全最佳实践一直是热点问题,全球大多数地区的政府层面经常对此进行讨论。网络攻击本质上是日常现实,任何在线存储有价值的私人数据的实体都是潜在的目标。仅在德国,联邦教育和研究部估计 96% 的中小型企业已经经历过 IT 安全事件。同一份报告强调了对网络安全研究、立法和宣传的迫切需求,并明确呼吁在计算机科学和信息技术相关领域纳入更强有力的安全培训。
随着 GDPR,以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后修订的战略,很明显,网络安全意识和行动是DACH地区领导人的头等大事。2018年底的黑客攻击是由一名技能相对较低的20岁学生执行的,他只需猜测密码即可获得高度敏感信息的主要接入点。尽管这是一个极其令人担忧的身份验证漏洞,但它确实凸显了政府、企业和社会层面提高安全意识的必要性。2019年的一份报告强调了这一点 德国在网络安全防御举措方面落后了, 依靠立法作为主要策略.但是,随着DevSecOps作为一种理想的开发方法的问世,许多企业已经意识到需要实践培训、安全设计软件创建和全公司范围的安全意识计划。
DACH 中的软件安全心跳
像这样的组织 OWASP 和 MITRE 发布经数据验证的最常见漏洞排名。在所有语言中,SQL 注入都位居第一,尽管它已经存在了几十年,但它是一个常见的缺陷,经常被利用并带来灾难性的后果。
瑞士 BPC 银行软件 SmartVista, 已收到 SQLi 漏洞警报 但是,由SwissCert提供,尽管它有可能泄露敏感的客户数据,包括信用卡号,但它已经有几个月没有打补丁了。SQL 注入可以而且确实会导致危险的漏洞,就像 2017 年多个政府部门和大学的违规行为 在美国和英国。这些事件中有许多是由输入验证过程松懈造成的,这使得攻击者能够从应用程序的前端插入恶意代码。另一个常见的漏洞来源是使用不安全的供应商代码,这些代码未经检查是否存在安全漏洞,因此漏洞会被引入到先前扫描和清除的生产环境中。这两个接入点都不是 DACH 地区所特有的,相反,它们是安全做法不佳的全球示例,随着世界产生更多代码,这种做法无法持续下去。
一旦发现问题,就必须立即对其进行补丁,而SmartVista拖延的决定可能是一场灾难。尽管DACH也有违规行为,但更有针对性的指导方针以及安全意识和培训方面的支持可以防止组织层面的潜在问题失控,这将需要在开发人员驾驶评估培训方面制定更加具体的立法。
并非所有的安全代码培训都是一样的。
世界各地的许多网络安全指令变得越来越全面,但是,在概述有效的安全培训方面,它们仍然相当不具体。这个 NIS 指令 在欧盟,确实包括在国家层面进行 “提高认识、培训和教育” 的要求,但是如果缺少推动开发人员技能提升和组织变革的关键要素,那么匆忙制定培训解决方案可能无法取得切实降低风险的预期结果。
教育解决方案各不相同,培训必须针对开发人员的日常工作(包括使用其首选语言和框架进行学习的能力),并随着时间的推移保持吸引力和可衡量性。
静态训练解决方案,例如基于计算机的视频培训,通常过于笼统,很少重新审视或评估其在提高意识和技能以阻止漏洞在编写代码时进入代码方面的成功。 动态训练但是,除了提供影响业务缓解流程的指标外,这对于通过上下文示例提高开发人员的技能也至关重要。它经常更新,促进高水平的知识保留,是培养具有安全意识的开发人员的一部分,这些开发人员可以为工作场所的积极安全文化做出贡献。
来自 DACH 飞行员的 Secure Code Warrior 数据点:
Secure Code Warrior的销售总监(网络安全硕士)Ema Rimeike一直与DACH地区的组织密切合作,为开发人员开展试点计划,以评估开发人员的内部安全编码能力、他们对安全最佳实践的参与度以及企业的整体安全文化。利用游戏化的动态安全代码培训,她的主要发现揭示了从SDLC一开始就为开发人员提供有助于成功降低漏洞的知识和工具,这将是一个光明的未来。
在试点计划期间,她根据以下数据整理了统计数据 每位用户在 Secure Code Warrior (SCW) 平台上平均花费 90 分钟,他们在其中玩过 15 项安全编码挑战 (一口大小、游戏化、自定进度的课程):
用户平均花费5.5分钟完成一项挑战,而其他全球SCW试点的平均时间为3分钟。
- 准确性与信心:DACH飞行员对挑战答案的信心平均百分比在88-92%之间,但这些答案的准确率在53-66%之间
- 与基于计算机的培训(CBT)等静态方法相比,超过75%的受访者更喜欢游戏化或动态训练方法。
- 在最常见的漏洞中,我们看到了 注射缺陷, 安全配置错误, 跨站点脚本 (XSS), 平台使用不当, 访问控制, 身份验证, 内存损坏, 跨站请求伪造, 传输层保护不足 和 未经验证的重定向和转发
总的来说,DACH地区的许多人重视强烈的职业道德和对精度的关注,这已经不是什么秘密了,尝试试点计划的开发人员也不例外。这些数据点表明他们对此类训练不熟悉,但也表明他们希望继续比赛,提高分数并避免使用可用的 “提示” 功能。他们学习和改进的愿望是显而易见的,但这也表明,要在组织内部实施有效的培训和提高认识,还有更多工作要做。
降低风险和阻止漏洞的出色培训不是一次性的,它不仅仅是合规性。经理和AppSec人员必须努力推出一项安全意识计划,其战略和支持应反映核心安全目标并力求长期维持这些目标。实际上,这是具有安全意识的开发人员成功开展DevSecOps流程的支柱。
试点计划向组织揭示了什么?
Secure Code Warrior的试点计划是一个非常有价值的工具,可以让企业了解其当前的安全状况(通常在65-75%之间)以及需要立即改善的领域。他们透露:
- 明确必须优先解决哪些漏洞,以及该方向是否应应用于特定的团队、业务部门或编程语言
- 有关其 SDLC 中网络安全风险因素的准确、更广泛的情报,涵盖软件开发的人为因素。
- 通过利用SCW平台,组织可以预测笔试的潜在结果,并有机会提前降低这些风险,在团队被分配到特定项目之前就做好准备。
在已经开始推出全面有效的安全计划的组织中,管理层通常会批准每周1-1.5小时的专业发展,以帮助其开发人员提高其安全编码知识的技能。但是,我们注意到,组织正在从 “花在平台上的时间” 转向 “哪些软件开发团队对业务构成的风险最高和最低”。这与正式的认证/安全带、发现安全卫士和指导计划紧密相关,以获得最佳结果。时间分配以及建设性和积极的评估对于培养具有安全意识的开发人员绝对是关键,他们不仅喜欢安全性,而且可以显著降低业务风险。
组织已经如何使用 Secure Code Warrior?
一些企业已经在使用Secure Code Warrior来提高认知度,培养开发人员的技能并推广积极的安全文化。
例如,在一个用例中,在该平台上进行培训的团队使用 SCW 来揭示其安全优势和劣势:
开发者行动: 开发人员能够看到自己的成果,显示出他们应重点关注并有权自我指导的领域,并调整培训进度以减少特定的漏洞或知识差距,这将有助于他们未来的软件构建。
管理行动: 他们分析了团队层面的整体优势和劣势,并得以开出一种针对特定关注领域的游戏化方法。这创建了一条双向教育途径,可以快速积累相关知识。
结果: 在团队层面进行渗透测试后,任何漏洞都显而易见,通过比较先前的结果,可以轻松验证培训是否有效地减少了常见的安全漏洞。
这可以追溯到软件开发的初始阶段,在此阶段,对团队进行持续改进和从一开始就引入安全最佳实践的预培训目标可以有效、易于推出,并在整个开发范围内节省时间。
DevSecOps 项目团队
在理想的 DevSecOps 环境中,多个业务部门组成一个项目团队,负责决定和交付核心成果,其中之一就是安全最佳实践。
在项目前研究和规划方面,SCW平台可以在拟议开发团队开始工作之前评估其安全技能,预测最终的渗透测试结果以及SDLC中与安全相关的延迟,并有足够的时间为之做好充分的准备。可以创建针对项目代码和结构的培训以供团队完成,包括验证整体安全意识技能的评估/认证流程,要求在项目交付成果上预先设定合格分数。
这提供了一种具有巨大商业价值的方法,可以降低修复漏洞的成本,缓解安全风险,节省渗透测试时间,降低昂贵的赏金计划的成本,以及以集中、可持续、可扩展和统一的方式提高开发群体的技能。
结论:
企业面临的压力越来越大,要求他们优先考虑安全性,确保我们的数据安全并遵守日益严格的全球法规,尤其是对于在严格的 GDPR 指导方针下在欧盟进行交易的组织而言。
对于 DACH 地区的公司来说,很明显,他们正在通过将培训工作和结果与风险预防相关的现实活动联系起来,包括减少他们编写的代码中的常见漏洞,从而开辟可行的安全途径。
为了建立一个真正可量化的业务案例,以提高安全预算、提高认识和整体合规性,培训必须吸引开发人员、一致、适应性强和可衡量。跟踪当前阶段量身定制正确培训的能力、发现安全卫士以及衡量团队在一段时间内的绩效都是至关重要的举措,DACH中许多具有前瞻性思维的公司在SCW全面试点后正在意识到这些好处。
许多公司都在为过于笼统的安全性能指标而苦苦挣扎。通过长期持续使用SCW平台,企业可以利用精确评估、课程和管理指标来发现:
- 随着时间的推移漏洞的减少
- 随着时间的推移,修复漏洞的成本会降低
- 随着时间的推移个人和团队技能的发展
- 减少渗透测试阶段的成本和时间
您的组织目前跟踪哪些指标,重新衡量这些指标的频率如何,以及随着时间的推移这些指标是否显示出明显的改善?就现有开发人员工作流程而言,您的培训计划有多整合?
SCW 的动态、游戏化和全面的方法被视为安全软件开发生命周期工作流程的关键部分。企业正在为开发人员提供正确的工具和培训,并将SCW嵌入到其SSDLC工作流程中。
十多年来,网络安全最佳实践一直是热点问题,全球大多数地区的政府层面经常对此进行讨论。网络攻击本质上是日常现实,任何在线存储有价值的私人数据的实体都是潜在的目标。仅在德国,联邦教育和研究部估计 96% 的中小型企业已经经历过 IT 安全事件。同一份报告强调了对网络安全研究、立法和宣传的迫切需求,并明确呼吁在计算机科学和信息技术相关领域纳入更强有力的安全培训。
随着 GDPR,以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后修订的战略,很明显,网络安全意识和行动是DACH地区领导人的头等大事。2018年底的黑客攻击是由一名技能相对较低的20岁学生执行的,他只需猜测密码即可获得高度敏感信息的主要接入点。尽管这是一个极其令人担忧的身份验证漏洞,但它确实凸显了政府、企业和社会层面提高安全意识的必要性。2019年的一份报告强调了这一点 德国在网络安全防御举措方面落后了, 依靠立法作为主要策略.但是,随着DevSecOps作为一种理想的开发方法的问世,许多企业已经意识到需要实践培训、安全设计软件创建和全公司范围的安全意识计划。
DACH 中的软件安全心跳
像这样的组织 OWASP 和 MITRE 发布经数据验证的最常见漏洞排名。在所有语言中,SQL 注入都位居第一,尽管它已经存在了几十年,但它是一个常见的缺陷,经常被利用并带来灾难性的后果。
瑞士 BPC 银行软件 SmartVista, 已收到 SQLi 漏洞警报 但是,由SwissCert提供,尽管它有可能泄露敏感的客户数据,包括信用卡号,但它已经有几个月没有打补丁了。SQL 注入可以而且确实会导致危险的漏洞,就像 2017 年多个政府部门和大学的违规行为 在美国和英国。这些事件中有许多是由输入验证过程松懈造成的,这使得攻击者能够从应用程序的前端插入恶意代码。另一个常见的漏洞来源是使用不安全的供应商代码,这些代码未经检查是否存在安全漏洞,因此漏洞会被引入到先前扫描和清除的生产环境中。这两个接入点都不是 DACH 地区所特有的,相反,它们是安全做法不佳的全球示例,随着世界产生更多代码,这种做法无法持续下去。
一旦发现问题,就必须立即对其进行补丁,而SmartVista拖延的决定可能是一场灾难。尽管DACH也有违规行为,但更有针对性的指导方针以及安全意识和培训方面的支持可以防止组织层面的潜在问题失控,这将需要在开发人员驾驶评估培训方面制定更加具体的立法。
并非所有的安全代码培训都是一样的。
世界各地的许多网络安全指令变得越来越全面,但是,在概述有效的安全培训方面,它们仍然相当不具体。这个 NIS 指令 在欧盟,确实包括在国家层面进行 “提高认识、培训和教育” 的要求,但是如果缺少推动开发人员技能提升和组织变革的关键要素,那么匆忙制定培训解决方案可能无法取得切实降低风险的预期结果。
教育解决方案各不相同,培训必须针对开发人员的日常工作(包括使用其首选语言和框架进行学习的能力),并随着时间的推移保持吸引力和可衡量性。
静态训练解决方案,例如基于计算机的视频培训,通常过于笼统,很少重新审视或评估其在提高意识和技能以阻止漏洞在编写代码时进入代码方面的成功。 动态训练但是,除了提供影响业务缓解流程的指标外,这对于通过上下文示例提高开发人员的技能也至关重要。它经常更新,促进高水平的知识保留,是培养具有安全意识的开发人员的一部分,这些开发人员可以为工作场所的积极安全文化做出贡献。
来自 DACH 飞行员的 Secure Code Warrior 数据点:
Secure Code Warrior的销售总监(网络安全硕士)Ema Rimeike一直与DACH地区的组织密切合作,为开发人员开展试点计划,以评估开发人员的内部安全编码能力、他们对安全最佳实践的参与度以及企业的整体安全文化。利用游戏化的动态安全代码培训,她的主要发现揭示了从SDLC一开始就为开发人员提供有助于成功降低漏洞的知识和工具,这将是一个光明的未来。
在试点计划期间,她根据以下数据整理了统计数据 每位用户在 Secure Code Warrior (SCW) 平台上平均花费 90 分钟,他们在其中玩过 15 项安全编码挑战 (一口大小、游戏化、自定进度的课程):
用户平均花费5.5分钟完成一项挑战,而其他全球SCW试点的平均时间为3分钟。
- 准确性与信心:DACH飞行员对挑战答案的信心平均百分比在88-92%之间,但这些答案的准确率在53-66%之间
- 与基于计算机的培训(CBT)等静态方法相比,超过75%的受访者更喜欢游戏化或动态训练方法。
- 在最常见的漏洞中,我们看到了 注射缺陷, 安全配置错误, 跨站点脚本 (XSS), 平台使用不当, 访问控制, 身份验证, 内存损坏, 跨站请求伪造, 传输层保护不足 和 未经验证的重定向和转发
总的来说,DACH地区的许多人重视强烈的职业道德和对精度的关注,这已经不是什么秘密了,尝试试点计划的开发人员也不例外。这些数据点表明他们对此类训练不熟悉,但也表明他们希望继续比赛,提高分数并避免使用可用的 “提示” 功能。他们学习和改进的愿望是显而易见的,但这也表明,要在组织内部实施有效的培训和提高认识,还有更多工作要做。
降低风险和阻止漏洞的出色培训不是一次性的,它不仅仅是合规性。经理和AppSec人员必须努力推出一项安全意识计划,其战略和支持应反映核心安全目标并力求长期维持这些目标。实际上,这是具有安全意识的开发人员成功开展DevSecOps流程的支柱。
试点计划向组织揭示了什么?
Secure Code Warrior的试点计划是一个非常有价值的工具,可以让企业了解其当前的安全状况(通常在65-75%之间)以及需要立即改善的领域。他们透露:
- 明确必须优先解决哪些漏洞,以及该方向是否应应用于特定的团队、业务部门或编程语言
- 有关其 SDLC 中网络安全风险因素的准确、更广泛的情报,涵盖软件开发的人为因素。
- 通过利用SCW平台,组织可以预测笔试的潜在结果,并有机会提前降低这些风险,在团队被分配到特定项目之前就做好准备。
在已经开始推出全面有效的安全计划的组织中,管理层通常会批准每周1-1.5小时的专业发展,以帮助其开发人员提高其安全编码知识的技能。但是,我们注意到,组织正在从 “花在平台上的时间” 转向 “哪些软件开发团队对业务构成的风险最高和最低”。这与正式的认证/安全带、发现安全卫士和指导计划紧密相关,以获得最佳结果。时间分配以及建设性和积极的评估对于培养具有安全意识的开发人员绝对是关键,他们不仅喜欢安全性,而且可以显著降低业务风险。
组织已经如何使用 Secure Code Warrior?
一些企业已经在使用Secure Code Warrior来提高认知度,培养开发人员的技能并推广积极的安全文化。
例如,在一个用例中,在该平台上进行培训的团队使用 SCW 来揭示其安全优势和劣势:
开发者行动: 开发人员能够看到自己的成果,显示出他们应重点关注并有权自我指导的领域,并调整培训进度以减少特定的漏洞或知识差距,这将有助于他们未来的软件构建。
管理行动: 他们分析了团队层面的整体优势和劣势,并得以开出一种针对特定关注领域的游戏化方法。这创建了一条双向教育途径,可以快速积累相关知识。
结果: 在团队层面进行渗透测试后,任何漏洞都显而易见,通过比较先前的结果,可以轻松验证培训是否有效地减少了常见的安全漏洞。
这可以追溯到软件开发的初始阶段,在此阶段,对团队进行持续改进和从一开始就引入安全最佳实践的预培训目标可以有效、易于推出,并在整个开发范围内节省时间。
DevSecOps 项目团队
在理想的 DevSecOps 环境中,多个业务部门组成一个项目团队,负责决定和交付核心成果,其中之一就是安全最佳实践。
在项目前研究和规划方面,SCW平台可以在拟议开发团队开始工作之前评估其安全技能,预测最终的渗透测试结果以及SDLC中与安全相关的延迟,并有足够的时间为之做好充分的准备。可以创建针对项目代码和结构的培训以供团队完成,包括验证整体安全意识技能的评估/认证流程,要求在项目交付成果上预先设定合格分数。
这提供了一种具有巨大商业价值的方法,可以降低修复漏洞的成本,缓解安全风险,节省渗透测试时间,降低昂贵的赏金计划的成本,以及以集中、可持续、可扩展和统一的方式提高开发群体的技能。
结论:
企业面临的压力越来越大,要求他们优先考虑安全性,确保我们的数据安全并遵守日益严格的全球法规,尤其是对于在严格的 GDPR 指导方针下在欧盟进行交易的组织而言。
对于 DACH 地区的公司来说,很明显,他们正在通过将培训工作和结果与风险预防相关的现实活动联系起来,包括减少他们编写的代码中的常见漏洞,从而开辟可行的安全途径。
为了建立一个真正可量化的业务案例,以提高安全预算、提高认识和整体合规性,培训必须吸引开发人员、一致、适应性强和可衡量。跟踪当前阶段量身定制正确培训的能力、发现安全卫士以及衡量团队在一段时间内的绩效都是至关重要的举措,DACH中许多具有前瞻性思维的公司在SCW全面试点后正在意识到这些好处。
许多公司都在为过于笼统的安全性能指标而苦苦挣扎。通过长期持续使用SCW平台,企业可以利用精确评估、课程和管理指标来发现:
- 随着时间的推移漏洞的减少
- 随着时间的推移,修复漏洞的成本会降低
- 随着时间的推移个人和团队技能的发展
- 减少渗透测试阶段的成本和时间
您的组织目前跟踪哪些指标,重新衡量这些指标的频率如何,以及随着时间的推移这些指标是否显示出明显的改善?就现有开发人员工作流程而言,您的培训计划有多整合?
SCW 的动态、游戏化和全面的方法被视为安全软件开发生命周期工作流程的关键部分。企业正在为开发人员提供正确的工具和培训,并将SCW嵌入到其SSDLC工作流程中。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
十多年来,网络安全最佳实践一直是热点问题,全球大多数地区的政府层面经常对此进行讨论。网络攻击本质上是日常现实,任何在线存储有价值的私人数据的实体都是潜在的目标。仅在德国,联邦教育和研究部估计 96% 的中小型企业已经经历过 IT 安全事件。同一份报告强调了对网络安全研究、立法和宣传的迫切需求,并明确呼吁在计算机科学和信息技术相关领域纳入更强有力的安全培训。
随着 GDPR,以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后修订的战略,很明显,网络安全意识和行动是DACH地区领导人的头等大事。2018年底的黑客攻击是由一名技能相对较低的20岁学生执行的,他只需猜测密码即可获得高度敏感信息的主要接入点。尽管这是一个极其令人担忧的身份验证漏洞,但它确实凸显了政府、企业和社会层面提高安全意识的必要性。2019年的一份报告强调了这一点 德国在网络安全防御举措方面落后了, 依靠立法作为主要策略.但是,随着DevSecOps作为一种理想的开发方法的问世,许多企业已经意识到需要实践培训、安全设计软件创建和全公司范围的安全意识计划。
DACH 中的软件安全心跳
像这样的组织 OWASP 和 MITRE 发布经数据验证的最常见漏洞排名。在所有语言中,SQL 注入都位居第一,尽管它已经存在了几十年,但它是一个常见的缺陷,经常被利用并带来灾难性的后果。
瑞士 BPC 银行软件 SmartVista, 已收到 SQLi 漏洞警报 但是,由SwissCert提供,尽管它有可能泄露敏感的客户数据,包括信用卡号,但它已经有几个月没有打补丁了。SQL 注入可以而且确实会导致危险的漏洞,就像 2017 年多个政府部门和大学的违规行为 在美国和英国。这些事件中有许多是由输入验证过程松懈造成的,这使得攻击者能够从应用程序的前端插入恶意代码。另一个常见的漏洞来源是使用不安全的供应商代码,这些代码未经检查是否存在安全漏洞,因此漏洞会被引入到先前扫描和清除的生产环境中。这两个接入点都不是 DACH 地区所特有的,相反,它们是安全做法不佳的全球示例,随着世界产生更多代码,这种做法无法持续下去。
一旦发现问题,就必须立即对其进行补丁,而SmartVista拖延的决定可能是一场灾难。尽管DACH也有违规行为,但更有针对性的指导方针以及安全意识和培训方面的支持可以防止组织层面的潜在问题失控,这将需要在开发人员驾驶评估培训方面制定更加具体的立法。
并非所有的安全代码培训都是一样的。
世界各地的许多网络安全指令变得越来越全面,但是,在概述有效的安全培训方面,它们仍然相当不具体。这个 NIS 指令 在欧盟,确实包括在国家层面进行 “提高认识、培训和教育” 的要求,但是如果缺少推动开发人员技能提升和组织变革的关键要素,那么匆忙制定培训解决方案可能无法取得切实降低风险的预期结果。
教育解决方案各不相同,培训必须针对开发人员的日常工作(包括使用其首选语言和框架进行学习的能力),并随着时间的推移保持吸引力和可衡量性。
静态训练解决方案,例如基于计算机的视频培训,通常过于笼统,很少重新审视或评估其在提高意识和技能以阻止漏洞在编写代码时进入代码方面的成功。 动态训练但是,除了提供影响业务缓解流程的指标外,这对于通过上下文示例提高开发人员的技能也至关重要。它经常更新,促进高水平的知识保留,是培养具有安全意识的开发人员的一部分,这些开发人员可以为工作场所的积极安全文化做出贡献。
来自 DACH 飞行员的 Secure Code Warrior 数据点:
Secure Code Warrior的销售总监(网络安全硕士)Ema Rimeike一直与DACH地区的组织密切合作,为开发人员开展试点计划,以评估开发人员的内部安全编码能力、他们对安全最佳实践的参与度以及企业的整体安全文化。利用游戏化的动态安全代码培训,她的主要发现揭示了从SDLC一开始就为开发人员提供有助于成功降低漏洞的知识和工具,这将是一个光明的未来。
在试点计划期间,她根据以下数据整理了统计数据 每位用户在 Secure Code Warrior (SCW) 平台上平均花费 90 分钟,他们在其中玩过 15 项安全编码挑战 (一口大小、游戏化、自定进度的课程):
用户平均花费5.5分钟完成一项挑战,而其他全球SCW试点的平均时间为3分钟。
- 准确性与信心:DACH飞行员对挑战答案的信心平均百分比在88-92%之间,但这些答案的准确率在53-66%之间
- 与基于计算机的培训(CBT)等静态方法相比,超过75%的受访者更喜欢游戏化或动态训练方法。
- 在最常见的漏洞中,我们看到了 注射缺陷, 安全配置错误, 跨站点脚本 (XSS), 平台使用不当, 访问控制, 身份验证, 内存损坏, 跨站请求伪造, 传输层保护不足 和 未经验证的重定向和转发
总的来说,DACH地区的许多人重视强烈的职业道德和对精度的关注,这已经不是什么秘密了,尝试试点计划的开发人员也不例外。这些数据点表明他们对此类训练不熟悉,但也表明他们希望继续比赛,提高分数并避免使用可用的 “提示” 功能。他们学习和改进的愿望是显而易见的,但这也表明,要在组织内部实施有效的培训和提高认识,还有更多工作要做。
降低风险和阻止漏洞的出色培训不是一次性的,它不仅仅是合规性。经理和AppSec人员必须努力推出一项安全意识计划,其战略和支持应反映核心安全目标并力求长期维持这些目标。实际上,这是具有安全意识的开发人员成功开展DevSecOps流程的支柱。
试点计划向组织揭示了什么?
Secure Code Warrior的试点计划是一个非常有价值的工具,可以让企业了解其当前的安全状况(通常在65-75%之间)以及需要立即改善的领域。他们透露:
- 明确必须优先解决哪些漏洞,以及该方向是否应应用于特定的团队、业务部门或编程语言
- 有关其 SDLC 中网络安全风险因素的准确、更广泛的情报,涵盖软件开发的人为因素。
- 通过利用SCW平台,组织可以预测笔试的潜在结果,并有机会提前降低这些风险,在团队被分配到特定项目之前就做好准备。
在已经开始推出全面有效的安全计划的组织中,管理层通常会批准每周1-1.5小时的专业发展,以帮助其开发人员提高其安全编码知识的技能。但是,我们注意到,组织正在从 “花在平台上的时间” 转向 “哪些软件开发团队对业务构成的风险最高和最低”。这与正式的认证/安全带、发现安全卫士和指导计划紧密相关,以获得最佳结果。时间分配以及建设性和积极的评估对于培养具有安全意识的开发人员绝对是关键,他们不仅喜欢安全性,而且可以显著降低业务风险。
组织已经如何使用 Secure Code Warrior?
一些企业已经在使用Secure Code Warrior来提高认知度,培养开发人员的技能并推广积极的安全文化。
例如,在一个用例中,在该平台上进行培训的团队使用 SCW 来揭示其安全优势和劣势:
开发者行动: 开发人员能够看到自己的成果,显示出他们应重点关注并有权自我指导的领域,并调整培训进度以减少特定的漏洞或知识差距,这将有助于他们未来的软件构建。
管理行动: 他们分析了团队层面的整体优势和劣势,并得以开出一种针对特定关注领域的游戏化方法。这创建了一条双向教育途径,可以快速积累相关知识。
结果: 在团队层面进行渗透测试后,任何漏洞都显而易见,通过比较先前的结果,可以轻松验证培训是否有效地减少了常见的安全漏洞。
这可以追溯到软件开发的初始阶段,在此阶段,对团队进行持续改进和从一开始就引入安全最佳实践的预培训目标可以有效、易于推出,并在整个开发范围内节省时间。
DevSecOps 项目团队
在理想的 DevSecOps 环境中,多个业务部门组成一个项目团队,负责决定和交付核心成果,其中之一就是安全最佳实践。
在项目前研究和规划方面,SCW平台可以在拟议开发团队开始工作之前评估其安全技能,预测最终的渗透测试结果以及SDLC中与安全相关的延迟,并有足够的时间为之做好充分的准备。可以创建针对项目代码和结构的培训以供团队完成,包括验证整体安全意识技能的评估/认证流程,要求在项目交付成果上预先设定合格分数。
这提供了一种具有巨大商业价值的方法,可以降低修复漏洞的成本,缓解安全风险,节省渗透测试时间,降低昂贵的赏金计划的成本,以及以集中、可持续、可扩展和统一的方式提高开发群体的技能。
结论:
企业面临的压力越来越大,要求他们优先考虑安全性,确保我们的数据安全并遵守日益严格的全球法规,尤其是对于在严格的 GDPR 指导方针下在欧盟进行交易的组织而言。
对于 DACH 地区的公司来说,很明显,他们正在通过将培训工作和结果与风险预防相关的现实活动联系起来,包括减少他们编写的代码中的常见漏洞,从而开辟可行的安全途径。
为了建立一个真正可量化的业务案例,以提高安全预算、提高认识和整体合规性,培训必须吸引开发人员、一致、适应性强和可衡量。跟踪当前阶段量身定制正确培训的能力、发现安全卫士以及衡量团队在一段时间内的绩效都是至关重要的举措,DACH中许多具有前瞻性思维的公司在SCW全面试点后正在意识到这些好处。
许多公司都在为过于笼统的安全性能指标而苦苦挣扎。通过长期持续使用SCW平台,企业可以利用精确评估、课程和管理指标来发现:
- 随着时间的推移漏洞的减少
- 随着时间的推移,修复漏洞的成本会降低
- 随着时间的推移个人和团队技能的发展
- 减少渗透测试阶段的成本和时间
您的组织目前跟踪哪些指标,重新衡量这些指标的频率如何,以及随着时间的推移这些指标是否显示出明显的改善?就现有开发人员工作流程而言,您的培训计划有多整合?
SCW 的动态、游戏化和全面的方法被视为安全软件开发生命周期工作流程的关键部分。企业正在为开发人员提供正确的工具和培训,并将SCW嵌入到其SSDLC工作流程中。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
