为什么游戏化是提升软件安全性的关键
在我自己的软件开发和安全职业生涯中,AppSec经理、首席信息安全官、首席信息官、网络安全专家——我曾与他们中的许多人交谈,他们在世界各地的各种公司工作。
在这个不断变化的数字世界中,无论他们的处境多么不同,团队的经验有多么丰富,或者经历了多少时间,都有一个问题始终保持不变:他们很少能够在安全问题上积极参与开发团队。安全仍然是脏话,是团队之间冲突的根源,也是行业背面的彻头彻尾的痛苦。
但是,软件安全对于我们的总体思维方式来说太重要了,无法继续走这条路。我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
当前的格局
开发人员离开大学时几乎没有交付安全代码的实践知识,他们从事的工作岗位很少将安全培训列为优先事项(如果是的话,它通常是有关健康和安全的强制性合规视频的一部分,这些视频太乏味了,没有人会关心安全编码)。通常,他们在安全方面的第一次体验是审计或测试错误报告,该报告突然中断了未来的发布,立即成为他们创造性思维的重中之重。他们发现自己与负责安全报告的人员发生争执,因此,在他们心中,“安全” 成了 “批评” 的代名词。哈哈哈。
老实说,这种对软件安全的负面看法如此普遍,真是太可惜了。毕竟,我职业生涯中最美好的回忆与学习软件安全有关。我早期的黑客时代都在参加会议,在这些会议上,我不仅可以与同行测试自己的技能(说实话,可以稍微炫耀一下),而且还能与和我一样喜欢破坏软件的志同道合的人会面玩得很开心。
BruCon、DefCon、BlackHat... 这些活动为像我一样的人提供了在友谊赛中发挥我们的技能的能力。虽然我从来不承认参与过这样的反社会活动,但有些人甚至会通过侵入其他与会者的手机,在演示屏幕上显示他们的信息让所有人看到来展示自己的黑客实力。它变成了一款游戏,它发现了这些缺陷——利用并修复它们——以改善软件。几年前,我有幸与数百名中东孩子面对面,向他们传授网络安全知识。我还记得我的学生中有一个八岁的女孩,她在玩游戏时正在学习密码暴力和base64编码。
游戏化也用于教授编程技能。世界各地的教育机构都在利用这种方法向年幼的孩子教授编程,甚至直到高中年龄。现在,年仅四岁的孩子经常参加节日活动,例如 CodeCamp,还有很多很棒的在线程序可以教孩子们如何用 Python 和其他语言编程。我甚至买了神奇的无屏编码工具, 库贝托,送给我四岁的女儿。
但是,尽管有所有这些乐趣和进步,但还是存在差距。没有人想过利用游戏化来培训开发人员如何编写安全代码的可能性。
好吧... 几乎没有人。几年前,我意识到我们需要再次激发安全灵感,真正激励开发者参与进来并开始游戏。
游戏化:简单的前进方向。
我内心深处有提升和增强开发人员安全知识的动力,正是这种激情促使我创立了 Secure Code Warrior。软件安全非常重要,而且确实令人兴奋。
我并不孤单。
游戏化可以让即使是最平凡的任务变得更有趣,也能让人们保持足够的参与度,让他们想要继续游戏、获胜和取得进步——看看神奇宝贝走的路就知道了!甚至让最懒散的人离开沙发、户外寻找虚构的生物,或者 FitBit 如何将达到步数作为许多人的每日目标... 如果这些目标没有实现,如果连胜纪录结束,徽章没有获得,就会产生一种非常真实的失望感。
所以,回到安全培训上。我们已经向许多客户证明,游戏化是真正改变其组织中的安全文化、在AppSec和开发团队之间架设桥梁以及总体上帮助他们构建更高标准的软件的关键。
目前,安全性不是开发人员的首要任务。通过在训练方法中添加友好、有竞争力和引人入胜的元素,你激励他们不仅 “玩”,还要继续回来赚取更多积分,打破高分,变得更准确,挑战队友。
我们已经知道成功的培训是这样的:
- 开发人员能够使用真实代码和自己的语言/框架工作
- 挑战很短,涵盖了所有常见的安全漏洞
- 挑战不断扩展和更新,因此开发人员可以随着时间的推移继续培养技能
- 挑战的复杂程度各不相同,因此无论是资深开发人员还是经验不足的开发人员都会参与其中
- 开发人员及其经理能够查看进度,包括他们完成了哪些挑战、他们的长处和短处、花在培训上的时间及其总体准确性。
我们的一位最大客户在推出游戏化平台时展现了游戏化平台的真正魔力,为开发者提供主题团队装备,为游戏获胜者提供惊人的奖品,并真正让他们的锦标赛成为值得纪念的一天。此后,他们举办了国际比赛,直到今天,他们的整个团队仍在进行严格的训练。
你自己的软件革命从这里开始。澳大利亚银行业在采用游戏化培训来对抗不良代码方面处于领先地位,采用一种真正创新的方法,可以颠覆传统(或无聊)的培训——看看我们的客户对他们做了什么 下一级锦标赛。你准备好了吗 提升你的队伍等级 和我们在一起?
我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
在我自己的软件开发和安全职业生涯中,AppSec经理、首席信息安全官、首席信息官、网络安全专家——我曾与他们中的许多人交谈,他们在世界各地的各种公司工作。
在这个不断变化的数字世界中,无论他们的处境多么不同,团队的经验有多么丰富,或者经历了多少时间,都有一个问题始终保持不变:他们很少能够在安全问题上积极参与开发团队。安全仍然是脏话,是团队之间冲突的根源,也是行业背面的彻头彻尾的痛苦。
但是,软件安全对于我们的总体思维方式来说太重要了,无法继续走这条路。我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
当前的格局
开发人员离开大学时几乎没有交付安全代码的实践知识,他们从事的工作岗位很少将安全培训列为优先事项(如果是的话,它通常是有关健康和安全的强制性合规视频的一部分,这些视频太乏味了,没有人会关心安全编码)。通常,他们在安全方面的第一次体验是审计或测试错误报告,该报告突然中断了未来的发布,立即成为他们创造性思维的重中之重。他们发现自己与负责安全报告的人员发生争执,因此,在他们心中,“安全” 成了 “批评” 的代名词。哈哈哈。
老实说,这种对软件安全的负面看法如此普遍,真是太可惜了。毕竟,我职业生涯中最美好的回忆与学习软件安全有关。我早期的黑客时代都在参加会议,在这些会议上,我不仅可以与同行测试自己的技能(说实话,可以稍微炫耀一下),而且还能与和我一样喜欢破坏软件的志同道合的人会面玩得很开心。
BruCon、DefCon、BlackHat... 这些活动为像我一样的人提供了在友谊赛中发挥我们的技能的能力。虽然我从来不承认参与过这样的反社会活动,但有些人甚至会通过侵入其他与会者的手机,在演示屏幕上显示他们的信息让所有人看到来展示自己的黑客实力。它变成了一款游戏,它发现了这些缺陷——利用并修复它们——以改善软件。几年前,我有幸与数百名中东孩子面对面,向他们传授网络安全知识。我还记得我的学生中有一个八岁的女孩,她在玩游戏时正在学习密码暴力和base64编码。
游戏化也用于教授编程技能。世界各地的教育机构都在利用这种方法向年幼的孩子教授编程,甚至直到高中年龄。现在,年仅四岁的孩子经常参加节日活动,例如 CodeCamp,还有很多很棒的在线程序可以教孩子们如何用 Python 和其他语言编程。我甚至买了神奇的无屏编码工具, 库贝托,送给我四岁的女儿。
但是,尽管有所有这些乐趣和进步,但还是存在差距。没有人想过利用游戏化来培训开发人员如何编写安全代码的可能性。
好吧... 几乎没有人。几年前,我意识到我们需要再次激发安全灵感,真正激励开发者参与进来并开始游戏。
游戏化:简单的前进方向。
我内心深处有提升和增强开发人员安全知识的动力,正是这种激情促使我创立了 Secure Code Warrior。软件安全非常重要,而且确实令人兴奋。
我并不孤单。
游戏化可以让即使是最平凡的任务变得更有趣,也能让人们保持足够的参与度,让他们想要继续游戏、获胜和取得进步——看看神奇宝贝走的路就知道了!甚至让最懒散的人离开沙发、户外寻找虚构的生物,或者 FitBit 如何将达到步数作为许多人的每日目标... 如果这些目标没有实现,如果连胜纪录结束,徽章没有获得,就会产生一种非常真实的失望感。
所以,回到安全培训上。我们已经向许多客户证明,游戏化是真正改变其组织中的安全文化、在AppSec和开发团队之间架设桥梁以及总体上帮助他们构建更高标准的软件的关键。
目前,安全性不是开发人员的首要任务。通过在训练方法中添加友好、有竞争力和引人入胜的元素,你激励他们不仅 “玩”,还要继续回来赚取更多积分,打破高分,变得更准确,挑战队友。
我们已经知道成功的培训是这样的:
- 开发人员能够使用真实代码和自己的语言/框架工作
- 挑战很短,涵盖了所有常见的安全漏洞
- 挑战不断扩展和更新,因此开发人员可以随着时间的推移继续培养技能
- 挑战的复杂程度各不相同,因此无论是资深开发人员还是经验不足的开发人员都会参与其中
- 开发人员及其经理能够查看进度,包括他们完成了哪些挑战、他们的长处和短处、花在培训上的时间及其总体准确性。
我们的一位最大客户在推出游戏化平台时展现了游戏化平台的真正魔力,为开发者提供主题团队装备,为游戏获胜者提供惊人的奖品,并真正让他们的锦标赛成为值得纪念的一天。此后,他们举办了国际比赛,直到今天,他们的整个团队仍在进行严格的训练。
你自己的软件革命从这里开始。澳大利亚银行业在采用游戏化培训来对抗不良代码方面处于领先地位,采用一种真正创新的方法,可以颠覆传统(或无聊)的培训——看看我们的客户对他们做了什么 下一级锦标赛。你准备好了吗 提升你的队伍等级 和我们在一起?
我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
在我自己的软件开发和安全职业生涯中,AppSec经理、首席信息安全官、首席信息官、网络安全专家——我曾与他们中的许多人交谈,他们在世界各地的各种公司工作。
在这个不断变化的数字世界中,无论他们的处境多么不同,团队的经验有多么丰富,或者经历了多少时间,都有一个问题始终保持不变:他们很少能够在安全问题上积极参与开发团队。安全仍然是脏话,是团队之间冲突的根源,也是行业背面的彻头彻尾的痛苦。
但是,软件安全对于我们的总体思维方式来说太重要了,无法继续走这条路。我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
当前的格局
开发人员离开大学时几乎没有交付安全代码的实践知识,他们从事的工作岗位很少将安全培训列为优先事项(如果是的话,它通常是有关健康和安全的强制性合规视频的一部分,这些视频太乏味了,没有人会关心安全编码)。通常,他们在安全方面的第一次体验是审计或测试错误报告,该报告突然中断了未来的发布,立即成为他们创造性思维的重中之重。他们发现自己与负责安全报告的人员发生争执,因此,在他们心中,“安全” 成了 “批评” 的代名词。哈哈哈。
老实说,这种对软件安全的负面看法如此普遍,真是太可惜了。毕竟,我职业生涯中最美好的回忆与学习软件安全有关。我早期的黑客时代都在参加会议,在这些会议上,我不仅可以与同行测试自己的技能(说实话,可以稍微炫耀一下),而且还能与和我一样喜欢破坏软件的志同道合的人会面玩得很开心。
BruCon、DefCon、BlackHat... 这些活动为像我一样的人提供了在友谊赛中发挥我们的技能的能力。虽然我从来不承认参与过这样的反社会活动,但有些人甚至会通过侵入其他与会者的手机,在演示屏幕上显示他们的信息让所有人看到来展示自己的黑客实力。它变成了一款游戏,它发现了这些缺陷——利用并修复它们——以改善软件。几年前,我有幸与数百名中东孩子面对面,向他们传授网络安全知识。我还记得我的学生中有一个八岁的女孩,她在玩游戏时正在学习密码暴力和base64编码。
游戏化也用于教授编程技能。世界各地的教育机构都在利用这种方法向年幼的孩子教授编程,甚至直到高中年龄。现在,年仅四岁的孩子经常参加节日活动,例如 CodeCamp,还有很多很棒的在线程序可以教孩子们如何用 Python 和其他语言编程。我甚至买了神奇的无屏编码工具, 库贝托,送给我四岁的女儿。
但是,尽管有所有这些乐趣和进步,但还是存在差距。没有人想过利用游戏化来培训开发人员如何编写安全代码的可能性。
好吧... 几乎没有人。几年前,我意识到我们需要再次激发安全灵感,真正激励开发者参与进来并开始游戏。
游戏化:简单的前进方向。
我内心深处有提升和增强开发人员安全知识的动力,正是这种激情促使我创立了 Secure Code Warrior。软件安全非常重要,而且确实令人兴奋。
我并不孤单。
游戏化可以让即使是最平凡的任务变得更有趣,也能让人们保持足够的参与度,让他们想要继续游戏、获胜和取得进步——看看神奇宝贝走的路就知道了!甚至让最懒散的人离开沙发、户外寻找虚构的生物,或者 FitBit 如何将达到步数作为许多人的每日目标... 如果这些目标没有实现,如果连胜纪录结束,徽章没有获得,就会产生一种非常真实的失望感。
所以,回到安全培训上。我们已经向许多客户证明,游戏化是真正改变其组织中的安全文化、在AppSec和开发团队之间架设桥梁以及总体上帮助他们构建更高标准的软件的关键。
目前,安全性不是开发人员的首要任务。通过在训练方法中添加友好、有竞争力和引人入胜的元素,你激励他们不仅 “玩”,还要继续回来赚取更多积分,打破高分,变得更准确,挑战队友。
我们已经知道成功的培训是这样的:
- 开发人员能够使用真实代码和自己的语言/框架工作
- 挑战很短,涵盖了所有常见的安全漏洞
- 挑战不断扩展和更新,因此开发人员可以随着时间的推移继续培养技能
- 挑战的复杂程度各不相同,因此无论是资深开发人员还是经验不足的开发人员都会参与其中
- 开发人员及其经理能够查看进度,包括他们完成了哪些挑战、他们的长处和短处、花在培训上的时间及其总体准确性。
我们的一位最大客户在推出游戏化平台时展现了游戏化平台的真正魔力,为开发者提供主题团队装备,为游戏获胜者提供惊人的奖品,并真正让他们的锦标赛成为值得纪念的一天。此后,他们举办了国际比赛,直到今天,他们的整个团队仍在进行严格的训练。
你自己的软件革命从这里开始。澳大利亚银行业在采用游戏化培训来对抗不良代码方面处于领先地位,采用一种真正创新的方法,可以颠覆传统(或无聊)的培训——看看我们的客户对他们做了什么 下一级锦标赛。你准备好了吗 提升你的队伍等级 和我们在一起?
我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
在我自己的软件开发和安全职业生涯中,AppSec经理、首席信息安全官、首席信息官、网络安全专家——我曾与他们中的许多人交谈,他们在世界各地的各种公司工作。
在这个不断变化的数字世界中,无论他们的处境多么不同,团队的经验有多么丰富,或者经历了多少时间,都有一个问题始终保持不变:他们很少能够在安全问题上积极参与开发团队。安全仍然是脏话,是团队之间冲突的根源,也是行业背面的彻头彻尾的痛苦。
但是,软件安全对于我们的总体思维方式来说太重要了,无法继续走这条路。我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
当前的格局
开发人员离开大学时几乎没有交付安全代码的实践知识,他们从事的工作岗位很少将安全培训列为优先事项(如果是的话,它通常是有关健康和安全的强制性合规视频的一部分,这些视频太乏味了,没有人会关心安全编码)。通常,他们在安全方面的第一次体验是审计或测试错误报告,该报告突然中断了未来的发布,立即成为他们创造性思维的重中之重。他们发现自己与负责安全报告的人员发生争执,因此,在他们心中,“安全” 成了 “批评” 的代名词。哈哈哈。
老实说,这种对软件安全的负面看法如此普遍,真是太可惜了。毕竟,我职业生涯中最美好的回忆与学习软件安全有关。我早期的黑客时代都在参加会议,在这些会议上,我不仅可以与同行测试自己的技能(说实话,可以稍微炫耀一下),而且还能与和我一样喜欢破坏软件的志同道合的人会面玩得很开心。
BruCon、DefCon、BlackHat... 这些活动为像我一样的人提供了在友谊赛中发挥我们的技能的能力。虽然我从来不承认参与过这样的反社会活动,但有些人甚至会通过侵入其他与会者的手机,在演示屏幕上显示他们的信息让所有人看到来展示自己的黑客实力。它变成了一款游戏,它发现了这些缺陷——利用并修复它们——以改善软件。几年前,我有幸与数百名中东孩子面对面,向他们传授网络安全知识。我还记得我的学生中有一个八岁的女孩,她在玩游戏时正在学习密码暴力和base64编码。
游戏化也用于教授编程技能。世界各地的教育机构都在利用这种方法向年幼的孩子教授编程,甚至直到高中年龄。现在,年仅四岁的孩子经常参加节日活动,例如 CodeCamp,还有很多很棒的在线程序可以教孩子们如何用 Python 和其他语言编程。我甚至买了神奇的无屏编码工具, 库贝托,送给我四岁的女儿。
但是,尽管有所有这些乐趣和进步,但还是存在差距。没有人想过利用游戏化来培训开发人员如何编写安全代码的可能性。
好吧... 几乎没有人。几年前,我意识到我们需要再次激发安全灵感,真正激励开发者参与进来并开始游戏。
游戏化:简单的前进方向。
我内心深处有提升和增强开发人员安全知识的动力,正是这种激情促使我创立了 Secure Code Warrior。软件安全非常重要,而且确实令人兴奋。
我并不孤单。
游戏化可以让即使是最平凡的任务变得更有趣,也能让人们保持足够的参与度,让他们想要继续游戏、获胜和取得进步——看看神奇宝贝走的路就知道了!甚至让最懒散的人离开沙发、户外寻找虚构的生物,或者 FitBit 如何将达到步数作为许多人的每日目标... 如果这些目标没有实现,如果连胜纪录结束,徽章没有获得,就会产生一种非常真实的失望感。
所以,回到安全培训上。我们已经向许多客户证明,游戏化是真正改变其组织中的安全文化、在AppSec和开发团队之间架设桥梁以及总体上帮助他们构建更高标准的软件的关键。
目前,安全性不是开发人员的首要任务。通过在训练方法中添加友好、有竞争力和引人入胜的元素,你激励他们不仅 “玩”,还要继续回来赚取更多积分,打破高分,变得更准确,挑战队友。
我们已经知道成功的培训是这样的:
- 开发人员能够使用真实代码和自己的语言/框架工作
- 挑战很短,涵盖了所有常见的安全漏洞
- 挑战不断扩展和更新,因此开发人员可以随着时间的推移继续培养技能
- 挑战的复杂程度各不相同,因此无论是资深开发人员还是经验不足的开发人员都会参与其中
- 开发人员及其经理能够查看进度,包括他们完成了哪些挑战、他们的长处和短处、花在培训上的时间及其总体准确性。
我们的一位最大客户在推出游戏化平台时展现了游戏化平台的真正魔力,为开发者提供主题团队装备,为游戏获胜者提供惊人的奖品,并真正让他们的锦标赛成为值得纪念的一天。此后,他们举办了国际比赛,直到今天,他们的整个团队仍在进行严格的训练。
你自己的软件革命从这里开始。澳大利亚银行业在采用游戏化培训来对抗不良代码方面处于领先地位,采用一种真正创新的方法,可以颠覆传统(或无聊)的培训——看看我们的客户对他们做了什么 下一级锦标赛。你准备好了吗 提升你的队伍等级 和我们在一起?
我们必须努力改变对话方式,使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力,并与他们互动。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
