具有安全意识的开发人员:AppSec 需要你!
尽管对于任何在软件开发之外工作的人来说,这似乎违反直觉,但多年来受雇于应用程序安全领域的许多专业人员在这些关键岗位上工作过,几乎没有或根本没有编程经验。这些 AppSec 专业人员是团队中的一员,该团队负责确保应用程序中不会出现漏洞,这些漏洞已成为许多行业和组织的命脉,但他们中很少有人能够自己直接评估或修复代码。
许多安全专业人员不是来自编程背景,而是从有关攻击载体、威胁、漏洞利用和业务风险的关键知识的角度来看待他们的角色;他们对代码的看法有限。尽管并非每个 AppSec 专家都有相同的技能,但对于许多人来说,通常每天都需要与代码审查人员和扫描工具合作,以确保程序和系统的安全符合组织标准或相关的行业和政府框架。然后,他们撰写有关其发现的报告,并发回有关可能破坏密码的攻击向量的信息。然后,无论对当前工作造成多大的干扰,开发人员都有责任做出必要的修复。
这种情况之所以这样发展,是因为多年来的普遍逻辑是,保护网络和应用程序的工作是如此艰巨,以至于期望所有从事网络安全工作的人员都能扮演所有角色是不合理的。深度编码技能留给了开发人员,而编写或编辑开发流程中更深层次的代码的能力却几乎没有受到重视。
这种思维方式正在迅速变化,这为开发人员提供了一个难得的机会,让他们可以获得丰厚的跳跃和职业转向 AppSec。并非每个开发人员都想接受所谓的阴暗面,许多开发人员对AppSec团队的看法也不是特别乐观。但是对于那些这样做的人来说,现在是购买那枚越来越诱人的黄铜戒指的最佳时机。
DevSecOps 推动了几乎所有行业的发展
提高任何组织中具有安全意识的程序员和开发人员价值的最大因素之一是采用更敏捷的开发实践的几乎普遍举措 像 DevSecOps 一样。当开发、安全和运营相结合时,网络安全将成为一项共同的责任,并整合到端到新软件的开发中。在这种环境中,编程能力越来越多地被视为一项宝贵的资产,对于天生也了解安全性的工程师来说尤其如此。
AppSec专业人员不仅对网络安全有较高的了解,而且还了解使一切正常运转的代码,对于任何组织而言,其本质上都比知识集中在理论上的人更有价值。能够快速发现和评估代码中发现的漏洞,然后缓解这些问题,这是 DevSecOps 如此受欢迎的核心原因。
在 AppSec 工作的开发人员还为雇用他们的任何组织带来了另一个很大的优势。来自开发方面的工作使他们可以轻松地与开发人员讨论安全性和漏洞。它还使成为开发团队的教练变得更加容易,帮助他们成为更好的程序员。随着时间的推移,他们甚至能够消除AppSec的 “阴暗面” 污名,并帮助统一组织内软件开发的团队。
网络安全技能短缺越来越严重
莎士比亚沉思说,这是一种恶风,不会给任何人带来任何好处。他的意思是,即使是最黑暗的情况也可能使某人受益。网络安全技能短缺就是一个很好的例子。
几乎所有地方都强烈感受到人员短缺。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。为了更好地看待这场危机,该报告指出,仅在美国,2020年就有超过52万个网络安全工作岗位空缺,而该领域仅雇用了约94万人。
网络安全人员短缺对于试图保护其基础设施、业务和数据免受日益危险的威胁环境的组织来说是个坏消息。但是,对于希望涉足AppSec和安全领域的开发人员来说,这是一个很好的机会。很可能,网络安全和AppSec职位几乎随处可见。而且,网络安全职位的平均值为 时间延长 21% 为了填补这些日子,工资正在全面上涨。
跳转到 AppSec
对于开发者来说,向生活中阳光明媚的安全方面迈进利润丰厚的时机可能再好不过了。具有安全意识的开发人员不再仅仅被视为权宜之计的安全方法的一部分,而是在充当网络安全捍卫者的全面而受人尊敬的角色。对于已经采用 DevSecOps 和其他更敏捷开发方法的组织来说尤其如此。网络安全人才短缺意味着几乎所有公司、政府机构或组织都有职位空缺。拥有正确技能的人可以选择自己想在哪里工作。
迁移到 AppSec 可能并不适合所有人,当然,大多数开发人员将继续专注于构建出色的功能。但是对于那些正在考虑跳跃的人来说,投资安全培训以增强他们现有的编程技能可以打开很多大门。最优秀的 AppSec 人才来自于工程学,因为他们深刻了解这项技术,并同情其他开发人员的困境。DevSecOps 意味着无论如何现在每个人都要为安全负责,那么为什么不利用当前的关键技能短缺将你的职业生涯发展到应用程序安全领域呢?现在是为自己、家庭和职业生涯采取积极举措的最佳时机。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
尽管对于任何在软件开发之外工作的人来说,这似乎违反直觉,但多年来受雇于应用程序安全领域的许多专业人员在这些关键岗位上工作过,几乎没有或根本没有编程经验。这些 AppSec 专业人员是团队中的一员,该团队负责确保应用程序中不会出现漏洞,这些漏洞已成为许多行业和组织的命脉,但他们中很少有人能够自己直接评估或修复代码。
许多安全专业人员不是来自编程背景,而是从有关攻击载体、威胁、漏洞利用和业务风险的关键知识的角度来看待他们的角色;他们对代码的看法有限。尽管并非每个 AppSec 专家都有相同的技能,但对于许多人来说,通常每天都需要与代码审查人员和扫描工具合作,以确保程序和系统的安全符合组织标准或相关的行业和政府框架。然后,他们撰写有关其发现的报告,并发回有关可能破坏密码的攻击向量的信息。然后,无论对当前工作造成多大的干扰,开发人员都有责任做出必要的修复。
这种情况之所以这样发展,是因为多年来的普遍逻辑是,保护网络和应用程序的工作是如此艰巨,以至于期望所有从事网络安全工作的人员都能扮演所有角色是不合理的。深度编码技能留给了开发人员,而编写或编辑开发流程中更深层次的代码的能力却几乎没有受到重视。
这种思维方式正在迅速变化,这为开发人员提供了一个难得的机会,让他们可以获得丰厚的跳跃和职业转向 AppSec。并非每个开发人员都想接受所谓的阴暗面,许多开发人员对AppSec团队的看法也不是特别乐观。但是对于那些这样做的人来说,现在是购买那枚越来越诱人的黄铜戒指的最佳时机。
DevSecOps 推动了几乎所有行业的发展
提高任何组织中具有安全意识的程序员和开发人员价值的最大因素之一是采用更敏捷的开发实践的几乎普遍举措 像 DevSecOps 一样。当开发、安全和运营相结合时,网络安全将成为一项共同的责任,并整合到端到新软件的开发中。在这种环境中,编程能力越来越多地被视为一项宝贵的资产,对于天生也了解安全性的工程师来说尤其如此。
AppSec专业人员不仅对网络安全有较高的了解,而且还了解使一切正常运转的代码,对于任何组织而言,其本质上都比知识集中在理论上的人更有价值。能够快速发现和评估代码中发现的漏洞,然后缓解这些问题,这是 DevSecOps 如此受欢迎的核心原因。
在 AppSec 工作的开发人员还为雇用他们的任何组织带来了另一个很大的优势。来自开发方面的工作使他们可以轻松地与开发人员讨论安全性和漏洞。它还使成为开发团队的教练变得更加容易,帮助他们成为更好的程序员。随着时间的推移,他们甚至能够消除AppSec的 “阴暗面” 污名,并帮助统一组织内软件开发的团队。
网络安全技能短缺越来越严重
莎士比亚沉思说,这是一种恶风,不会给任何人带来任何好处。他的意思是,即使是最黑暗的情况也可能使某人受益。网络安全技能短缺就是一个很好的例子。
几乎所有地方都强烈感受到人员短缺。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。为了更好地看待这场危机,该报告指出,仅在美国,2020年就有超过52万个网络安全工作岗位空缺,而该领域仅雇用了约94万人。
网络安全人员短缺对于试图保护其基础设施、业务和数据免受日益危险的威胁环境的组织来说是个坏消息。但是,对于希望涉足AppSec和安全领域的开发人员来说,这是一个很好的机会。很可能,网络安全和AppSec职位几乎随处可见。而且,网络安全职位的平均值为 时间延长 21% 为了填补这些日子,工资正在全面上涨。
跳转到 AppSec
对于开发者来说,向生活中阳光明媚的安全方面迈进利润丰厚的时机可能再好不过了。具有安全意识的开发人员不再仅仅被视为权宜之计的安全方法的一部分,而是在充当网络安全捍卫者的全面而受人尊敬的角色。对于已经采用 DevSecOps 和其他更敏捷开发方法的组织来说尤其如此。网络安全人才短缺意味着几乎所有公司、政府机构或组织都有职位空缺。拥有正确技能的人可以选择自己想在哪里工作。
迁移到 AppSec 可能并不适合所有人,当然,大多数开发人员将继续专注于构建出色的功能。但是对于那些正在考虑跳跃的人来说,投资安全培训以增强他们现有的编程技能可以打开很多大门。最优秀的 AppSec 人才来自于工程学,因为他们深刻了解这项技术,并同情其他开发人员的困境。DevSecOps 意味着无论如何现在每个人都要为安全负责,那么为什么不利用当前的关键技能短缺将你的职业生涯发展到应用程序安全领域呢?现在是为自己、家庭和职业生涯采取积极举措的最佳时机。
尽管对于任何在软件开发之外工作的人来说,这似乎违反直觉,但多年来受雇于应用程序安全领域的许多专业人员在这些关键岗位上工作过,几乎没有或根本没有编程经验。这些 AppSec 专业人员是团队中的一员,该团队负责确保应用程序中不会出现漏洞,这些漏洞已成为许多行业和组织的命脉,但他们中很少有人能够自己直接评估或修复代码。
许多安全专业人员不是来自编程背景,而是从有关攻击载体、威胁、漏洞利用和业务风险的关键知识的角度来看待他们的角色;他们对代码的看法有限。尽管并非每个 AppSec 专家都有相同的技能,但对于许多人来说,通常每天都需要与代码审查人员和扫描工具合作,以确保程序和系统的安全符合组织标准或相关的行业和政府框架。然后,他们撰写有关其发现的报告,并发回有关可能破坏密码的攻击向量的信息。然后,无论对当前工作造成多大的干扰,开发人员都有责任做出必要的修复。
这种情况之所以这样发展,是因为多年来的普遍逻辑是,保护网络和应用程序的工作是如此艰巨,以至于期望所有从事网络安全工作的人员都能扮演所有角色是不合理的。深度编码技能留给了开发人员,而编写或编辑开发流程中更深层次的代码的能力却几乎没有受到重视。
这种思维方式正在迅速变化,这为开发人员提供了一个难得的机会,让他们可以获得丰厚的跳跃和职业转向 AppSec。并非每个开发人员都想接受所谓的阴暗面,许多开发人员对AppSec团队的看法也不是特别乐观。但是对于那些这样做的人来说,现在是购买那枚越来越诱人的黄铜戒指的最佳时机。
DevSecOps 推动了几乎所有行业的发展
提高任何组织中具有安全意识的程序员和开发人员价值的最大因素之一是采用更敏捷的开发实践的几乎普遍举措 像 DevSecOps 一样。当开发、安全和运营相结合时,网络安全将成为一项共同的责任,并整合到端到新软件的开发中。在这种环境中,编程能力越来越多地被视为一项宝贵的资产,对于天生也了解安全性的工程师来说尤其如此。
AppSec专业人员不仅对网络安全有较高的了解,而且还了解使一切正常运转的代码,对于任何组织而言,其本质上都比知识集中在理论上的人更有价值。能够快速发现和评估代码中发现的漏洞,然后缓解这些问题,这是 DevSecOps 如此受欢迎的核心原因。
在 AppSec 工作的开发人员还为雇用他们的任何组织带来了另一个很大的优势。来自开发方面的工作使他们可以轻松地与开发人员讨论安全性和漏洞。它还使成为开发团队的教练变得更加容易,帮助他们成为更好的程序员。随着时间的推移,他们甚至能够消除AppSec的 “阴暗面” 污名,并帮助统一组织内软件开发的团队。
网络安全技能短缺越来越严重
莎士比亚沉思说,这是一种恶风,不会给任何人带来任何好处。他的意思是,即使是最黑暗的情况也可能使某人受益。网络安全技能短缺就是一个很好的例子。
几乎所有地方都强烈感受到人员短缺。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。为了更好地看待这场危机,该报告指出,仅在美国,2020年就有超过52万个网络安全工作岗位空缺,而该领域仅雇用了约94万人。
网络安全人员短缺对于试图保护其基础设施、业务和数据免受日益危险的威胁环境的组织来说是个坏消息。但是,对于希望涉足AppSec和安全领域的开发人员来说,这是一个很好的机会。很可能,网络安全和AppSec职位几乎随处可见。而且,网络安全职位的平均值为 时间延长 21% 为了填补这些日子,工资正在全面上涨。
跳转到 AppSec
对于开发者来说,向生活中阳光明媚的安全方面迈进利润丰厚的时机可能再好不过了。具有安全意识的开发人员不再仅仅被视为权宜之计的安全方法的一部分,而是在充当网络安全捍卫者的全面而受人尊敬的角色。对于已经采用 DevSecOps 和其他更敏捷开发方法的组织来说尤其如此。网络安全人才短缺意味着几乎所有公司、政府机构或组织都有职位空缺。拥有正确技能的人可以选择自己想在哪里工作。
迁移到 AppSec 可能并不适合所有人,当然,大多数开发人员将继续专注于构建出色的功能。但是对于那些正在考虑跳跃的人来说,投资安全培训以增强他们现有的编程技能可以打开很多大门。最优秀的 AppSec 人才来自于工程学,因为他们深刻了解这项技术,并同情其他开发人员的困境。DevSecOps 意味着无论如何现在每个人都要为安全负责,那么为什么不利用当前的关键技能短缺将你的职业生涯发展到应用程序安全领域呢?现在是为自己、家庭和职业生涯采取积极举措的最佳时机。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
尽管对于任何在软件开发之外工作的人来说,这似乎违反直觉,但多年来受雇于应用程序安全领域的许多专业人员在这些关键岗位上工作过,几乎没有或根本没有编程经验。这些 AppSec 专业人员是团队中的一员,该团队负责确保应用程序中不会出现漏洞,这些漏洞已成为许多行业和组织的命脉,但他们中很少有人能够自己直接评估或修复代码。
许多安全专业人员不是来自编程背景,而是从有关攻击载体、威胁、漏洞利用和业务风险的关键知识的角度来看待他们的角色;他们对代码的看法有限。尽管并非每个 AppSec 专家都有相同的技能,但对于许多人来说,通常每天都需要与代码审查人员和扫描工具合作,以确保程序和系统的安全符合组织标准或相关的行业和政府框架。然后,他们撰写有关其发现的报告,并发回有关可能破坏密码的攻击向量的信息。然后,无论对当前工作造成多大的干扰,开发人员都有责任做出必要的修复。
这种情况之所以这样发展,是因为多年来的普遍逻辑是,保护网络和应用程序的工作是如此艰巨,以至于期望所有从事网络安全工作的人员都能扮演所有角色是不合理的。深度编码技能留给了开发人员,而编写或编辑开发流程中更深层次的代码的能力却几乎没有受到重视。
这种思维方式正在迅速变化,这为开发人员提供了一个难得的机会,让他们可以获得丰厚的跳跃和职业转向 AppSec。并非每个开发人员都想接受所谓的阴暗面,许多开发人员对AppSec团队的看法也不是特别乐观。但是对于那些这样做的人来说,现在是购买那枚越来越诱人的黄铜戒指的最佳时机。
DevSecOps 推动了几乎所有行业的发展
提高任何组织中具有安全意识的程序员和开发人员价值的最大因素之一是采用更敏捷的开发实践的几乎普遍举措 像 DevSecOps 一样。当开发、安全和运营相结合时,网络安全将成为一项共同的责任,并整合到端到新软件的开发中。在这种环境中,编程能力越来越多地被视为一项宝贵的资产,对于天生也了解安全性的工程师来说尤其如此。
AppSec专业人员不仅对网络安全有较高的了解,而且还了解使一切正常运转的代码,对于任何组织而言,其本质上都比知识集中在理论上的人更有价值。能够快速发现和评估代码中发现的漏洞,然后缓解这些问题,这是 DevSecOps 如此受欢迎的核心原因。
在 AppSec 工作的开发人员还为雇用他们的任何组织带来了另一个很大的优势。来自开发方面的工作使他们可以轻松地与开发人员讨论安全性和漏洞。它还使成为开发团队的教练变得更加容易,帮助他们成为更好的程序员。随着时间的推移,他们甚至能够消除AppSec的 “阴暗面” 污名,并帮助统一组织内软件开发的团队。
网络安全技能短缺越来越严重
莎士比亚沉思说,这是一种恶风,不会给任何人带来任何好处。他的意思是,即使是最黑暗的情况也可能使某人受益。网络安全技能短缺就是一个很好的例子。
几乎所有地方都强烈感受到人员短缺。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。为了更好地看待这场危机,该报告指出,仅在美国,2020年就有超过52万个网络安全工作岗位空缺,而该领域仅雇用了约94万人。
网络安全人员短缺对于试图保护其基础设施、业务和数据免受日益危险的威胁环境的组织来说是个坏消息。但是,对于希望涉足AppSec和安全领域的开发人员来说,这是一个很好的机会。很可能,网络安全和AppSec职位几乎随处可见。而且,网络安全职位的平均值为 时间延长 21% 为了填补这些日子,工资正在全面上涨。
跳转到 AppSec
对于开发者来说,向生活中阳光明媚的安全方面迈进利润丰厚的时机可能再好不过了。具有安全意识的开发人员不再仅仅被视为权宜之计的安全方法的一部分,而是在充当网络安全捍卫者的全面而受人尊敬的角色。对于已经采用 DevSecOps 和其他更敏捷开发方法的组织来说尤其如此。网络安全人才短缺意味着几乎所有公司、政府机构或组织都有职位空缺。拥有正确技能的人可以选择自己想在哪里工作。
迁移到 AppSec 可能并不适合所有人,当然,大多数开发人员将继续专注于构建出色的功能。但是对于那些正在考虑跳跃的人来说,投资安全培训以增强他们现有的编程技能可以打开很多大门。最优秀的 AppSec 人才来自于工程学,因为他们深刻了解这项技术,并同情其他开发人员的困境。DevSecOps 意味着无论如何现在每个人都要为安全负责,那么为什么不利用当前的关键技能短缺将你的职业生涯发展到应用程序安全领域呢?现在是为自己、家庭和职业生涯采取积极举措的最佳时机。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
