每个开发者都应该问他们的潜在雇主这个价值百万美元的问题
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
目前,数据泄露的平均成本为360万美元。贵公司今年遭到入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员没有从大学毕业,他们的DNA中没有融入安全编码和安全方面的能力。
为什么?软件工程仍然是一个相对较年轻的职业。重点一直是教人们如何快速构建代码,使其优雅而实用,但对确保代码安全的关注非常有限。方法、技术、语言和机会的变化步伐只会加剧这些关键技能差距。
我们不会迅速改变学术体系,因此开发人员和公司都应该期望开发人员需要在工作中学习安全的编码技能。在某些职业中,你可以通过犯错误来学习,但对于另一些职业来说,这不是一个选择。网络安全也是如此。
事实表明,我们在开发人员在职安全培训方面也做得不太好。世界上大多数主要的安全漏洞都是由于编码错误造成的,这些错误使黑客获得了计算机网络的权限,从而使他们能够访问和收集有价值的数据。 2017 年 Verizon 数据泄露调查报告 (DBIR),表明所有漏洞中有30%是由网络应用程序安全漏洞直接造成的,自2013年以来,这一结论在DBIR报告中一直保持一致。
这个 2017 年全球 DevSecOps 技能调查 2017年8月发布的内容证实了我们已经知道的情况:尽管65%的DevOps专业人员认为进入IT领域时了解DevSecOps非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近 40% 的受访招聘经理表示,最难找到的员工是具备足够安全测试知识的多用途高端开发人员。70% 的受访者表示,他们所接受的安全教育不足以应付他们目前的职位。实际上,只有不到4%的人表示他们有机会。
当我花了将近十年的时间与多个专业白帽黑客团队合作时,我亲眼目睹了这一点。不幸的是,我们经常闯入大型企业、初创企业和政府部门;总能发现同样的弱点。
这就是为什么开发人员需要在你被雇用时大声说出来。如果你的潜在雇主没有认真对待你的开发人员安全培训,你应该考虑考虑加入哪种公司。
你应该问的第二个问题是他们计划如何交付。它会是动手操作和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论进行漏洞方面的开发人员安全培训不太可能直接帮助您进行编程。他们能否确保您不断了解最新的漏洞?有安全公会或社区可以向你学习吗?如果你需要帮助,有安全专家可以向他们求助吗?
对安全编码技能的承诺需要通过在特定编码框架中进行动手挑战以及在多个场景中面对不同的漏洞来持续学习。你根本无法通过一个例子来学习 SQL 注入。你需要接触不同类型的多个示例,这样你才能学会识别这些危险的编码模式。
我们的一位客户要求他们的开发人员在两个月内每天玩一次挑战(5 分钟)。它在培训前后测试了他们的技能,并观察到数百名开发人员的安全编码能力提高了60%。这意味着在生命周期的后期发现和修复安全漏洞所花费的资源减少,并且可以节省大量的长期成本。这意味着黑客不会使用你的代码来破坏公司的数据。
根据IDC的研究,2014年全球有1100万专业开发人员。2015年,Burning Glass发现,有多达700万个工作职业需要编程技能,而且编程工作的增长速度平均比市场快12%。
那里有很多软件工作。因此,请表明立场,选择致力于保护自己的安全、您的安全和客户安全的雇主。推而广之,选择对你进行投资的公司。
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
目前,数据泄露的平均成本为360万美元。贵公司今年遭到入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员没有从大学毕业,他们的DNA中没有融入安全编码和安全方面的能力。
为什么?软件工程仍然是一个相对较年轻的职业。重点一直是教人们如何快速构建代码,使其优雅而实用,但对确保代码安全的关注非常有限。方法、技术、语言和机会的变化步伐只会加剧这些关键技能差距。
我们不会迅速改变学术体系,因此开发人员和公司都应该期望开发人员需要在工作中学习安全的编码技能。在某些职业中,你可以通过犯错误来学习,但对于另一些职业来说,这不是一个选择。网络安全也是如此。
事实表明,我们在开发人员在职安全培训方面也做得不太好。世界上大多数主要的安全漏洞都是由于编码错误造成的,这些错误使黑客获得了计算机网络的权限,从而使他们能够访问和收集有价值的数据。 2017 年 Verizon 数据泄露调查报告 (DBIR),表明所有漏洞中有30%是由网络应用程序安全漏洞直接造成的,自2013年以来,这一结论在DBIR报告中一直保持一致。
这个 2017 年全球 DevSecOps 技能调查 2017年8月发布的内容证实了我们已经知道的情况:尽管65%的DevOps专业人员认为进入IT领域时了解DevSecOps非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近 40% 的受访招聘经理表示,最难找到的员工是具备足够安全测试知识的多用途高端开发人员。70% 的受访者表示,他们所接受的安全教育不足以应付他们目前的职位。实际上,只有不到4%的人表示他们有机会。
当我花了将近十年的时间与多个专业白帽黑客团队合作时,我亲眼目睹了这一点。不幸的是,我们经常闯入大型企业、初创企业和政府部门;总能发现同样的弱点。
这就是为什么开发人员需要在你被雇用时大声说出来。如果你的潜在雇主没有认真对待你的开发人员安全培训,你应该考虑考虑加入哪种公司。
你应该问的第二个问题是他们计划如何交付。它会是动手操作和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论进行漏洞方面的开发人员安全培训不太可能直接帮助您进行编程。他们能否确保您不断了解最新的漏洞?有安全公会或社区可以向你学习吗?如果你需要帮助,有安全专家可以向他们求助吗?
对安全编码技能的承诺需要通过在特定编码框架中进行动手挑战以及在多个场景中面对不同的漏洞来持续学习。你根本无法通过一个例子来学习 SQL 注入。你需要接触不同类型的多个示例,这样你才能学会识别这些危险的编码模式。
我们的一位客户要求他们的开发人员在两个月内每天玩一次挑战(5 分钟)。它在培训前后测试了他们的技能,并观察到数百名开发人员的安全编码能力提高了60%。这意味着在生命周期的后期发现和修复安全漏洞所花费的资源减少,并且可以节省大量的长期成本。这意味着黑客不会使用你的代码来破坏公司的数据。
根据IDC的研究,2014年全球有1100万专业开发人员。2015年,Burning Glass发现,有多达700万个工作职业需要编程技能,而且编程工作的增长速度平均比市场快12%。
那里有很多软件工作。因此,请表明立场,选择致力于保护自己的安全、您的安全和客户安全的雇主。推而广之,选择对你进行投资的公司。
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
目前,数据泄露的平均成本为360万美元。贵公司今年遭到入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员没有从大学毕业,他们的DNA中没有融入安全编码和安全方面的能力。
为什么?软件工程仍然是一个相对较年轻的职业。重点一直是教人们如何快速构建代码,使其优雅而实用,但对确保代码安全的关注非常有限。方法、技术、语言和机会的变化步伐只会加剧这些关键技能差距。
我们不会迅速改变学术体系,因此开发人员和公司都应该期望开发人员需要在工作中学习安全的编码技能。在某些职业中,你可以通过犯错误来学习,但对于另一些职业来说,这不是一个选择。网络安全也是如此。
事实表明,我们在开发人员在职安全培训方面也做得不太好。世界上大多数主要的安全漏洞都是由于编码错误造成的,这些错误使黑客获得了计算机网络的权限,从而使他们能够访问和收集有价值的数据。 2017 年 Verizon 数据泄露调查报告 (DBIR),表明所有漏洞中有30%是由网络应用程序安全漏洞直接造成的,自2013年以来,这一结论在DBIR报告中一直保持一致。
这个 2017 年全球 DevSecOps 技能调查 2017年8月发布的内容证实了我们已经知道的情况:尽管65%的DevOps专业人员认为进入IT领域时了解DevSecOps非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近 40% 的受访招聘经理表示,最难找到的员工是具备足够安全测试知识的多用途高端开发人员。70% 的受访者表示,他们所接受的安全教育不足以应付他们目前的职位。实际上,只有不到4%的人表示他们有机会。
当我花了将近十年的时间与多个专业白帽黑客团队合作时,我亲眼目睹了这一点。不幸的是,我们经常闯入大型企业、初创企业和政府部门;总能发现同样的弱点。
这就是为什么开发人员需要在你被雇用时大声说出来。如果你的潜在雇主没有认真对待你的开发人员安全培训,你应该考虑考虑加入哪种公司。
你应该问的第二个问题是他们计划如何交付。它会是动手操作和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论进行漏洞方面的开发人员安全培训不太可能直接帮助您进行编程。他们能否确保您不断了解最新的漏洞?有安全公会或社区可以向你学习吗?如果你需要帮助,有安全专家可以向他们求助吗?
对安全编码技能的承诺需要通过在特定编码框架中进行动手挑战以及在多个场景中面对不同的漏洞来持续学习。你根本无法通过一个例子来学习 SQL 注入。你需要接触不同类型的多个示例,这样你才能学会识别这些危险的编码模式。
我们的一位客户要求他们的开发人员在两个月内每天玩一次挑战(5 分钟)。它在培训前后测试了他们的技能,并观察到数百名开发人员的安全编码能力提高了60%。这意味着在生命周期的后期发现和修复安全漏洞所花费的资源减少,并且可以节省大量的长期成本。这意味着黑客不会使用你的代码来破坏公司的数据。
根据IDC的研究,2014年全球有1100万专业开发人员。2015年,Burning Glass发现,有多达700万个工作职业需要编程技能,而且编程工作的增长速度平均比市场快12%。
那里有很多软件工作。因此,请表明立场,选择致力于保护自己的安全、您的安全和客户安全的雇主。推而广之,选择对你进行投资的公司。
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
目前,数据泄露的平均成本为360万美元。贵公司今年遭到入侵的几率高达四分之一。鉴于这些事实,我和许多人一样感到沮丧,因为开发人员没有从大学毕业,他们的DNA中没有融入安全编码和安全方面的能力。
为什么?软件工程仍然是一个相对较年轻的职业。重点一直是教人们如何快速构建代码,使其优雅而实用,但对确保代码安全的关注非常有限。方法、技术、语言和机会的变化步伐只会加剧这些关键技能差距。
我们不会迅速改变学术体系,因此开发人员和公司都应该期望开发人员需要在工作中学习安全的编码技能。在某些职业中,你可以通过犯错误来学习,但对于另一些职业来说,这不是一个选择。网络安全也是如此。
事实表明,我们在开发人员在职安全培训方面也做得不太好。世界上大多数主要的安全漏洞都是由于编码错误造成的,这些错误使黑客获得了计算机网络的权限,从而使他们能够访问和收集有价值的数据。 2017 年 Verizon 数据泄露调查报告 (DBIR),表明所有漏洞中有30%是由网络应用程序安全漏洞直接造成的,自2013年以来,这一结论在DBIR报告中一直保持一致。
这个 2017 年全球 DevSecOps 技能调查 2017年8月发布的内容证实了我们已经知道的情况:尽管65%的DevOps专业人员认为进入IT领域时了解DevSecOps非常重要,但70%的人认为他们没有通过正规教育接受必要的培训,无法在当今的DevSecOps世界中取得成功。
近 40% 的受访招聘经理表示,最难找到的员工是具备足够安全测试知识的多用途高端开发人员。70% 的受访者表示,他们所接受的安全教育不足以应付他们目前的职位。实际上,只有不到4%的人表示他们有机会。
当我花了将近十年的时间与多个专业白帽黑客团队合作时,我亲眼目睹了这一点。不幸的是,我们经常闯入大型企业、初创企业和政府部门;总能发现同样的弱点。
这就是为什么开发人员需要在你被雇用时大声说出来。如果你的潜在雇主没有认真对待你的开发人员安全培训,你应该考虑考虑加入哪种公司。
你应该问的第二个问题是他们计划如何交付。它会是动手操作和互动的吗?使用幻灯片、视频、可点击动画或抽象讨论进行漏洞方面的开发人员安全培训不太可能直接帮助您进行编程。他们能否确保您不断了解最新的漏洞?有安全公会或社区可以向你学习吗?如果你需要帮助,有安全专家可以向他们求助吗?
对安全编码技能的承诺需要通过在特定编码框架中进行动手挑战以及在多个场景中面对不同的漏洞来持续学习。你根本无法通过一个例子来学习 SQL 注入。你需要接触不同类型的多个示例,这样你才能学会识别这些危险的编码模式。
我们的一位客户要求他们的开发人员在两个月内每天玩一次挑战(5 分钟)。它在培训前后测试了他们的技能,并观察到数百名开发人员的安全编码能力提高了60%。这意味着在生命周期的后期发现和修复安全漏洞所花费的资源减少,并且可以节省大量的长期成本。这意味着黑客不会使用你的代码来破坏公司的数据。
根据IDC的研究,2014年全球有1100万专业开发人员。2015年,Burning Glass发现,有多达700万个工作职业需要编程技能,而且编程工作的增长速度平均比市场快12%。
那里有很多软件工作。因此,请表明立场,选择致力于保护自己的安全、您的安全和客户安全的雇主。推而广之,选择对你进行投资的公司。
每个开发者都需要问一个问题,无论你是毕业生还是资深人士。答案很重要。在敏捷的世界中,它变得更加重要,因为它将直接影响你在软件工程领域的成功程度;以及你对下一个雇主的价值。
这是百万美元的问题。实际上,这是数百万美元的问题!
你致力于帮助我安全地编写代码吗?
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
