SCW Icons
感谢您下载!
更多资源
hero bg no divider
Blog

“安全” 不是一个脏话:积极的方法将如何改变你的安全计划

Jaap Karan Singh
Published Apr 17, 2019
Last updated on Mar 09, 2026
开发人员培训
应用程序安全
活动
Play video button.
Play video button.

最初发布于 DevSeccon 博客

我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。

这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。

安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。

但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。

我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。

谁知道?他们甚至可能像我一样爱上它!

积极安全性是提高应用程序安全性的最快和最简单的方法

可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。

开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。

它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。

以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。

查看资源
查看资源

我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。但是,有更好的方法。

对更多感兴趣?

Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.

learn more

Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。

预订演示
分享到:
linkedin brandsSocialx logo
作者
Jaap Karan Singh
Published Apr 17, 2019

Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.

分享到:
linkedin brandsSocialx logo
Play video button.
Play video button.

最初发布于 DevSeccon 博客

我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。

这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。

安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。

但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。

我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。

谁知道?他们甚至可能像我一样爱上它!

积极安全性是提高应用程序安全性的最快和最简单的方法

可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。

开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。

它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。

以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。

查看资源
查看资源

填写下面的表格下载报告

我们希望获得您的许可,以便向您发送有关我们的产品和/或相关安全编码主题的信息。我们将始终非常谨慎地对待您的个人信息,绝不会出于营销目的将其出售给其他公司。

提交
scw success icon
scw error icon
要提交表单,请启用 “分析” Cookie。完成后,可以随意再次禁用它们。
Play video button.
Play video button.

最初发布于 DevSeccon 博客

我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。

这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。

安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。

但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。

我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。

谁知道?他们甚至可能像我一样爱上它!

积极安全性是提高应用程序安全性的最快和最简单的方法

可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。

开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。

它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。

以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。

观看网络研讨会
开始吧
learn more

点击下面的链接并下载此资源的PDF。

Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。

查看报告预订演示
下载PDF
查看资源
分享到:
linkedin brandsSocialx logo
对更多感兴趣?

分享到:
linkedin brandsSocialx logo
作者
Jaap Karan Singh
Published Apr 17, 2019

Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.

分享到:
linkedin brandsSocialx logo

最初发布于 DevSeccon 博客

我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。

这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。

安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。

但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。

我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。

谁知道?他们甚至可能像我一样爱上它!

积极安全性是提高应用程序安全性的最快和最简单的方法

可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。

开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。

它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。

以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。

目录

下载PDF
查看资源
对更多感兴趣?

Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.

learn more

Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。

预订演示下载
分享到:
linkedin brandsSocialx logo
资源中心

帮助您入门的资源

更多帖子
小册子

安全代码培训主题和内容

我们行业领先的内容一直在不断发展,以适应不断变化的软件开发格局,同时考虑到您的角色。主题涵盖从 AI 到 XQuery 注入的所有内容,适用于从架构师和工程师到产品经理和 QA 等各种职位。按主题和角色先睹为快,了解我们的内容目录所提供的内容。

了解更多
Mar 11, 2026
安全代码培训主题和内容
Brochure
Case Studies

Kamer van Koophandel Sets the Standard for Developer-Driven Security at Scale

Kamer van Koophandel shares how it embedded secure coding into everyday development through role-based certifications, Trust Score benchmarking, and a culture of shared security ownership.

Jan 6, 2026
eBooks

OWASP 2025 年十大电子书

想称霸 OWASP 前十名吗?下载保护您的应用程序免受 OWASP 前 10:2025 影响的 No-BS 指南

Dec 23, 2025
Webinar

Threat Modeling with AI: Turning Every Developer into a Threat Modeler

Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.

Oct 28, 2025
资源中心

帮助您入门的资源

更多帖子

Cybermon 回来了:打败老板 AI 任务现已按需提供

Cybermon 2025 打败老板现已在 SCW 中全年开幕。部落高级 AI/LLM 安全战,大规格模加强安全 AI 开发。

了解更多
Mar 5, 2026
Blog
Blog

《网络弹性法》解读:通过设计软件开发实现安全意味着什么

了解《欧盟网络弹性法案》(CRA) 的要求、适用于谁以及工程团队如何通过设计实践、漏洞预防和开发人员能力建设做好准备。

Feb 24, 2026
Blog

推动因素 1:明确且可衡量的成功标准

Enabler 1 是我们由 10 部分组成的成功推动者系列的序幕,它展示了如何将安全编码与业务成果(例如降低风险和提高长期计划成熟度的速度)联系起来。

Feb 19, 2026
Blog

SCW Turns 11: A Realtime Lesson in Adaptability and Continuous Improvement

2025 was a big year for AI, for cybersecurity, and for SCW. I’m approaching 2026 with quiet confidence, and the optimism that only hard work paying off can bring. 

Jan 27, 2026