围绕安全编码(障碍、问题和主动解决方案)重新调整您的组织
在我们高度互联的世界中,几乎每个组织都有共同的致命弱点。一个漏洞,他们的代码中只有一个可利用的漏洞,就可能引发客户数据盗窃、声誉损害和重大财务损失。围绕安全编码进行组织协调从未像现在这样迫在眉睫,但实现这一点说起来容易做起来难。因此,在2020年,Secure Code Warrior与埃文斯数据公司合作,对开发人员和管理人员对安全编码、安全代码实践和安全运营的态度进行了初步研究*。
在这种网络安全至关重要的环境中,项目成功的传统关键绩效指标正在被重新定义——但还不够快。
当我们向开发人员和经理询问软件开发过程中最关键的优先事项时:
- 76% 的提名应用程序性能
- 62% 选择了特性和功能
- 还有略高于50%的选定安全码
如我们所见,今天,安全并不是重中之重。
但是展望未来,情况将发生巨大变化。当被问及衡量项目成功与否的最重要未来优先事项时,79%的开发人员认为安全编码将变得更加重要。实际上,开发人员将安全性视为其重要性增加幅度最大的关键绩效指标。
但是,尽管人们对安全编码的认识不断提高,但仍有人担心其采用情况。对于开发人员和经理来说,处理漏洞和对代码负责足以让他们彻夜难眠。我们的研究*表明,这两个群体有着相同的基本关注点,这表明需要在安全编码实践方面进行更好的培训。
围绕安全编码实践的担忧和障碍
开发人员最关心的是 “包括复制先前漏洞的代码”。当根据他们的代码质量来评判开发人员时,这并不奇怪。任何开发人员都不想成为不安全代码的来源,或者需要返工并拖慢团队速度的代码。
开发人员关注的第二大问题是处理同事引入的错误。遵守最后期限和对代码负责也是重中之重——学习安全代码具有挑战性这一事实也是如此,这与开发人员对当前培训方法的不满情绪相呼应。
另一方面,经理们更多地采取自上而下的视角。他们最关心的是对错误代码或复制先前漏洞的代码负责。毕竟,如果他们的团队生成了糟糕的代码,那么责任就不在经理身上。
学习过程具有挑战性这一事实排在第三位——这并不是安全编码实践的唯一障碍。
45%的人认为利益相关者与管理层之间缺乏沟通是重大障碍。42%的人对新员工缺乏安全的编码技能表示遗憾。 同时,40%的人表示培训时间和资源不足。
当前的安全代码培训方法无法奏效,管理人员意识到需要一种新的方法。
谁负责安全代码实践?
就其本质而言,安全编码的实践意味着在SDLC的早期就考虑安全性。这意味着从一开始就积极地在软件中构建安全性,而不是将其留到以后再做。换句话说,是 “向左移动”。这种 “向左移动” 是安全编码实践的精髓。这意味着,归根结底,组织中的每个人都应该对安全代码负责。但是目前,只有15%的开发人员同意。
但是,尽管大多数开发人员仍然将安全视为他人的问题,但一小部分但仍在不断增长的人群不仅积极采用安全编码,而且在组织内倡导安全编码。29%的受访开发人员同意他们的工作场所中存在此类首选人才。问题是这些安全代码拥护者在实地的实力仍然太薄了。
培养更多安全卫士
开发经理意识到需要识别和创建新的安全卫士,并总体上提高开发人员的安全编码技能。
许多经理在雇用新开发人员时还重视安全编码技能,并重视已经加入团队的开发人员的安全编码经验。
83% 的受访经理表示,他们要求开发人员学习或采用安全的编码实践。大约四分之三的受访经理表示,他们为开发人员提供参与安全代码培训的激励措施。这些激励措施包括正式认可到增加责任再到更高的薪酬。
很明显,开发经理是组织层面采用安全编码做法的关键影响者,对于发现安全倡导者至关重要。
但是,在培养更多这样的冠军时,是什么促使开发人员学习安全编码?我们的研究表明,他们将其视为提高生产力和效率的手段。
那么,为什么开发人员不推动更安全的代码培训呢?哪些因素阻碍了他们与不断增长的组织需求保持一致?
开始解决调整问题的解决方案
开发人员不想坐在那里听讲师的讲话,他们想亲自尝试一些东西。他们希望将重点放在实际应用上,这是当前的培训计划所严重缺乏的。当被问及如何改善公司提供的培训时,30%的受访者表示,他们希望培训侧重于实际应用,尤其是真实的工作场景。
目前的培训做法无法做到这一点。需要一种新的方法——作为变革的拥护者,Secure Code Warrior采用以人为本的方法来帮助组织围绕安全编码进行调整。我们的网络安全 课程 提供引导式学习路径,包括模仿开发人员在现实世界中面临的动手操作的 “游戏化” 编程挑战。
这种训练是针对特定语言:框架的,不同于一般训练,后者通常会听进另一只耳朵。
在重新调整文化方面, 锦标赛 可用于衡量程序员的安全技能,为未来的技能发展建立基准,并发现开发团队中潜在的安全拥护者。
如果您想进一步了解安全代码培训,以使经理、开发人员和组织的需求与未来的安全编码保持一致, 立即预订演示。
*从反应转向预防:应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020
.avif)
在我们高度互联的世界中,几乎每个组织都有共同的致命弱点。一个漏洞,他们的代码中只有一个可利用的漏洞,就可能引发客户数据盗窃、声誉损害和重大财务损失。围绕安全编码进行组织协调从未像现在这样迫在眉睫,但实现这一点说起来容易做起来难。
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
在我们高度互联的世界中,几乎每个组织都有共同的致命弱点。一个漏洞,他们的代码中只有一个可利用的漏洞,就可能引发客户数据盗窃、声誉损害和重大财务损失。围绕安全编码进行组织协调从未像现在这样迫在眉睫,但实现这一点说起来容易做起来难。因此,在2020年,Secure Code Warrior与埃文斯数据公司合作,对开发人员和管理人员对安全编码、安全代码实践和安全运营的态度进行了初步研究*。
在这种网络安全至关重要的环境中,项目成功的传统关键绩效指标正在被重新定义——但还不够快。
当我们向开发人员和经理询问软件开发过程中最关键的优先事项时:
- 76% 的提名应用程序性能
- 62% 选择了特性和功能
- 还有略高于50%的选定安全码
如我们所见,今天,安全并不是重中之重。
但是展望未来,情况将发生巨大变化。当被问及衡量项目成功与否的最重要未来优先事项时,79%的开发人员认为安全编码将变得更加重要。实际上,开发人员将安全性视为其重要性增加幅度最大的关键绩效指标。
但是,尽管人们对安全编码的认识不断提高,但仍有人担心其采用情况。对于开发人员和经理来说,处理漏洞和对代码负责足以让他们彻夜难眠。我们的研究*表明,这两个群体有着相同的基本关注点,这表明需要在安全编码实践方面进行更好的培训。
围绕安全编码实践的担忧和障碍
开发人员最关心的是 “包括复制先前漏洞的代码”。当根据他们的代码质量来评判开发人员时,这并不奇怪。任何开发人员都不想成为不安全代码的来源,或者需要返工并拖慢团队速度的代码。
开发人员关注的第二大问题是处理同事引入的错误。遵守最后期限和对代码负责也是重中之重——学习安全代码具有挑战性这一事实也是如此,这与开发人员对当前培训方法的不满情绪相呼应。
另一方面,经理们更多地采取自上而下的视角。他们最关心的是对错误代码或复制先前漏洞的代码负责。毕竟,如果他们的团队生成了糟糕的代码,那么责任就不在经理身上。
学习过程具有挑战性这一事实排在第三位——这并不是安全编码实践的唯一障碍。
45%的人认为利益相关者与管理层之间缺乏沟通是重大障碍。42%的人对新员工缺乏安全的编码技能表示遗憾。 同时,40%的人表示培训时间和资源不足。
当前的安全代码培训方法无法奏效,管理人员意识到需要一种新的方法。
谁负责安全代码实践?
就其本质而言,安全编码的实践意味着在SDLC的早期就考虑安全性。这意味着从一开始就积极地在软件中构建安全性,而不是将其留到以后再做。换句话说,是 “向左移动”。这种 “向左移动” 是安全编码实践的精髓。这意味着,归根结底,组织中的每个人都应该对安全代码负责。但是目前,只有15%的开发人员同意。
但是,尽管大多数开发人员仍然将安全视为他人的问题,但一小部分但仍在不断增长的人群不仅积极采用安全编码,而且在组织内倡导安全编码。29%的受访开发人员同意他们的工作场所中存在此类首选人才。问题是这些安全代码拥护者在实地的实力仍然太薄了。
培养更多安全卫士
开发经理意识到需要识别和创建新的安全卫士,并总体上提高开发人员的安全编码技能。
许多经理在雇用新开发人员时还重视安全编码技能,并重视已经加入团队的开发人员的安全编码经验。
83% 的受访经理表示,他们要求开发人员学习或采用安全的编码实践。大约四分之三的受访经理表示,他们为开发人员提供参与安全代码培训的激励措施。这些激励措施包括正式认可到增加责任再到更高的薪酬。
很明显,开发经理是组织层面采用安全编码做法的关键影响者,对于发现安全倡导者至关重要。
但是,在培养更多这样的冠军时,是什么促使开发人员学习安全编码?我们的研究表明,他们将其视为提高生产力和效率的手段。
那么,为什么开发人员不推动更安全的代码培训呢?哪些因素阻碍了他们与不断增长的组织需求保持一致?
开始解决调整问题的解决方案
开发人员不想坐在那里听讲师的讲话,他们想亲自尝试一些东西。他们希望将重点放在实际应用上,这是当前的培训计划所严重缺乏的。当被问及如何改善公司提供的培训时,30%的受访者表示,他们希望培训侧重于实际应用,尤其是真实的工作场景。
目前的培训做法无法做到这一点。需要一种新的方法——作为变革的拥护者,Secure Code Warrior采用以人为本的方法来帮助组织围绕安全编码进行调整。我们的网络安全 课程 提供引导式学习路径,包括模仿开发人员在现实世界中面临的动手操作的 “游戏化” 编程挑战。
这种训练是针对特定语言:框架的,不同于一般训练,后者通常会听进另一只耳朵。
在重新调整文化方面, 锦标赛 可用于衡量程序员的安全技能,为未来的技能发展建立基准,并发现开发团队中潜在的安全拥护者。
如果您想进一步了解安全代码培训,以使经理、开发人员和组织的需求与未来的安全编码保持一致, 立即预订演示。
*从反应转向预防:应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020
在我们高度互联的世界中,几乎每个组织都有共同的致命弱点。一个漏洞,他们的代码中只有一个可利用的漏洞,就可能引发客户数据盗窃、声誉损害和重大财务损失。围绕安全编码进行组织协调从未像现在这样迫在眉睫,但实现这一点说起来容易做起来难。因此,在2020年,Secure Code Warrior与埃文斯数据公司合作,对开发人员和管理人员对安全编码、安全代码实践和安全运营的态度进行了初步研究*。
在这种网络安全至关重要的环境中,项目成功的传统关键绩效指标正在被重新定义——但还不够快。
当我们向开发人员和经理询问软件开发过程中最关键的优先事项时:
- 76% 的提名应用程序性能
- 62% 选择了特性和功能
- 还有略高于50%的选定安全码
如我们所见,今天,安全并不是重中之重。
但是展望未来,情况将发生巨大变化。当被问及衡量项目成功与否的最重要未来优先事项时,79%的开发人员认为安全编码将变得更加重要。实际上,开发人员将安全性视为其重要性增加幅度最大的关键绩效指标。
但是,尽管人们对安全编码的认识不断提高,但仍有人担心其采用情况。对于开发人员和经理来说,处理漏洞和对代码负责足以让他们彻夜难眠。我们的研究*表明,这两个群体有着相同的基本关注点,这表明需要在安全编码实践方面进行更好的培训。
围绕安全编码实践的担忧和障碍
开发人员最关心的是 “包括复制先前漏洞的代码”。当根据他们的代码质量来评判开发人员时,这并不奇怪。任何开发人员都不想成为不安全代码的来源,或者需要返工并拖慢团队速度的代码。
开发人员关注的第二大问题是处理同事引入的错误。遵守最后期限和对代码负责也是重中之重——学习安全代码具有挑战性这一事实也是如此,这与开发人员对当前培训方法的不满情绪相呼应。
另一方面,经理们更多地采取自上而下的视角。他们最关心的是对错误代码或复制先前漏洞的代码负责。毕竟,如果他们的团队生成了糟糕的代码,那么责任就不在经理身上。
学习过程具有挑战性这一事实排在第三位——这并不是安全编码实践的唯一障碍。
45%的人认为利益相关者与管理层之间缺乏沟通是重大障碍。42%的人对新员工缺乏安全的编码技能表示遗憾。 同时,40%的人表示培训时间和资源不足。
当前的安全代码培训方法无法奏效,管理人员意识到需要一种新的方法。
谁负责安全代码实践?
就其本质而言,安全编码的实践意味着在SDLC的早期就考虑安全性。这意味着从一开始就积极地在软件中构建安全性,而不是将其留到以后再做。换句话说,是 “向左移动”。这种 “向左移动” 是安全编码实践的精髓。这意味着,归根结底,组织中的每个人都应该对安全代码负责。但是目前,只有15%的开发人员同意。
但是,尽管大多数开发人员仍然将安全视为他人的问题,但一小部分但仍在不断增长的人群不仅积极采用安全编码,而且在组织内倡导安全编码。29%的受访开发人员同意他们的工作场所中存在此类首选人才。问题是这些安全代码拥护者在实地的实力仍然太薄了。
培养更多安全卫士
开发经理意识到需要识别和创建新的安全卫士,并总体上提高开发人员的安全编码技能。
许多经理在雇用新开发人员时还重视安全编码技能,并重视已经加入团队的开发人员的安全编码经验。
83% 的受访经理表示,他们要求开发人员学习或采用安全的编码实践。大约四分之三的受访经理表示,他们为开发人员提供参与安全代码培训的激励措施。这些激励措施包括正式认可到增加责任再到更高的薪酬。
很明显,开发经理是组织层面采用安全编码做法的关键影响者,对于发现安全倡导者至关重要。
但是,在培养更多这样的冠军时,是什么促使开发人员学习安全编码?我们的研究表明,他们将其视为提高生产力和效率的手段。
那么,为什么开发人员不推动更安全的代码培训呢?哪些因素阻碍了他们与不断增长的组织需求保持一致?
开始解决调整问题的解决方案
开发人员不想坐在那里听讲师的讲话,他们想亲自尝试一些东西。他们希望将重点放在实际应用上,这是当前的培训计划所严重缺乏的。当被问及如何改善公司提供的培训时,30%的受访者表示,他们希望培训侧重于实际应用,尤其是真实的工作场景。
目前的培训做法无法做到这一点。需要一种新的方法——作为变革的拥护者,Secure Code Warrior采用以人为本的方法来帮助组织围绕安全编码进行调整。我们的网络安全 课程 提供引导式学习路径,包括模仿开发人员在现实世界中面临的动手操作的 “游戏化” 编程挑战。
这种训练是针对特定语言:框架的,不同于一般训练,后者通常会听进另一只耳朵。
在重新调整文化方面, 锦标赛 可用于衡量程序员的安全技能,为未来的技能发展建立基准,并发现开发团队中潜在的安全拥护者。
如果您想进一步了解安全代码培训,以使经理、开发人员和组织的需求与未来的安全编码保持一致, 立即预订演示。
*从反应转向预防:应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
在我们高度互联的世界中,几乎每个组织都有共同的致命弱点。一个漏洞,他们的代码中只有一个可利用的漏洞,就可能引发客户数据盗窃、声誉损害和重大财务损失。围绕安全编码进行组织协调从未像现在这样迫在眉睫,但实现这一点说起来容易做起来难。因此,在2020年,Secure Code Warrior与埃文斯数据公司合作,对开发人员和管理人员对安全编码、安全代码实践和安全运营的态度进行了初步研究*。
在这种网络安全至关重要的环境中,项目成功的传统关键绩效指标正在被重新定义——但还不够快。
当我们向开发人员和经理询问软件开发过程中最关键的优先事项时:
- 76% 的提名应用程序性能
- 62% 选择了特性和功能
- 还有略高于50%的选定安全码
如我们所见,今天,安全并不是重中之重。
但是展望未来,情况将发生巨大变化。当被问及衡量项目成功与否的最重要未来优先事项时,79%的开发人员认为安全编码将变得更加重要。实际上,开发人员将安全性视为其重要性增加幅度最大的关键绩效指标。
但是,尽管人们对安全编码的认识不断提高,但仍有人担心其采用情况。对于开发人员和经理来说,处理漏洞和对代码负责足以让他们彻夜难眠。我们的研究*表明,这两个群体有着相同的基本关注点,这表明需要在安全编码实践方面进行更好的培训。
围绕安全编码实践的担忧和障碍
开发人员最关心的是 “包括复制先前漏洞的代码”。当根据他们的代码质量来评判开发人员时,这并不奇怪。任何开发人员都不想成为不安全代码的来源,或者需要返工并拖慢团队速度的代码。
开发人员关注的第二大问题是处理同事引入的错误。遵守最后期限和对代码负责也是重中之重——学习安全代码具有挑战性这一事实也是如此,这与开发人员对当前培训方法的不满情绪相呼应。
另一方面,经理们更多地采取自上而下的视角。他们最关心的是对错误代码或复制先前漏洞的代码负责。毕竟,如果他们的团队生成了糟糕的代码,那么责任就不在经理身上。
学习过程具有挑战性这一事实排在第三位——这并不是安全编码实践的唯一障碍。
45%的人认为利益相关者与管理层之间缺乏沟通是重大障碍。42%的人对新员工缺乏安全的编码技能表示遗憾。 同时,40%的人表示培训时间和资源不足。
当前的安全代码培训方法无法奏效,管理人员意识到需要一种新的方法。
谁负责安全代码实践?
就其本质而言,安全编码的实践意味着在SDLC的早期就考虑安全性。这意味着从一开始就积极地在软件中构建安全性,而不是将其留到以后再做。换句话说,是 “向左移动”。这种 “向左移动” 是安全编码实践的精髓。这意味着,归根结底,组织中的每个人都应该对安全代码负责。但是目前,只有15%的开发人员同意。
但是,尽管大多数开发人员仍然将安全视为他人的问题,但一小部分但仍在不断增长的人群不仅积极采用安全编码,而且在组织内倡导安全编码。29%的受访开发人员同意他们的工作场所中存在此类首选人才。问题是这些安全代码拥护者在实地的实力仍然太薄了。
培养更多安全卫士
开发经理意识到需要识别和创建新的安全卫士,并总体上提高开发人员的安全编码技能。
许多经理在雇用新开发人员时还重视安全编码技能,并重视已经加入团队的开发人员的安全编码经验。
83% 的受访经理表示,他们要求开发人员学习或采用安全的编码实践。大约四分之三的受访经理表示,他们为开发人员提供参与安全代码培训的激励措施。这些激励措施包括正式认可到增加责任再到更高的薪酬。
很明显,开发经理是组织层面采用安全编码做法的关键影响者,对于发现安全倡导者至关重要。
但是,在培养更多这样的冠军时,是什么促使开发人员学习安全编码?我们的研究表明,他们将其视为提高生产力和效率的手段。
那么,为什么开发人员不推动更安全的代码培训呢?哪些因素阻碍了他们与不断增长的组织需求保持一致?
开始解决调整问题的解决方案
开发人员不想坐在那里听讲师的讲话,他们想亲自尝试一些东西。他们希望将重点放在实际应用上,这是当前的培训计划所严重缺乏的。当被问及如何改善公司提供的培训时,30%的受访者表示,他们希望培训侧重于实际应用,尤其是真实的工作场景。
目前的培训做法无法做到这一点。需要一种新的方法——作为变革的拥护者,Secure Code Warrior采用以人为本的方法来帮助组织围绕安全编码进行调整。我们的网络安全 课程 提供引导式学习路径,包括模仿开发人员在现实世界中面临的动手操作的 “游戏化” 编程挑战。
这种训练是针对特定语言:框架的,不同于一般训练,后者通常会听进另一只耳朵。
在重新调整文化方面, 锦标赛 可用于衡量程序员的安全技能,为未来的技能发展建立基准,并发现开发团队中潜在的安全拥护者。
如果您想进一步了解安全代码培训,以使经理、开发人员和组织的需求与未来的安全编码保持一致, 立即预订演示。
*从反应转向预防:应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020
目录
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
