通过人为主导的安全编码,将重点从被动转移到主动
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
在过去的20多年中,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
目录
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
