为什么脚手架式学习可以培养安全性强的开发人员
在浏览科技新闻短短几分钟后,很快就会清楚威胁格局变得多么危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者和犯罪分子积极利用的严重威胁的报告。而且几乎所有行业指标和报告都显示 越来越危险 网络威胁的数量,大多数专家预测这种趋势 会继续 在未来的几年里。
面对这些新威胁的是一线的IT安全工作者精疲力尽,人手不足。尽管薪水很高,而且几乎是任何企业或组织不可或缺的,但从来没有足够的安全人员可以四处走动。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。该报告指出,仅在美国,在仅雇用约94万人的领域,就有超过52万个网络安全职位空缺。
在世界范围内,目前大约有 350 万个网络安全工作岗位 空缺职位,这意味着即使是愿意支付巨额资金来雇用和留住顶尖专业人员的组织也难以找到合适的候选人。平均而言,需要大约 21% 的时间 填补网络安全 如果可以填补的话,这个职位比任何其他职位都要多。
开发者支持被忽视的时间太长了
我们注意到了 以前的许多博客 可以利用开发人员来填补网络安全防御中的一些关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来的 AppSec 团队的工作。
不幸的是,这不仅仅是换档并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变,而且调查显示其中许多人愿意做出改变,但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一个,也是最大的绊脚石。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁和消除代码中的漏洞很困难,而且威胁格局在不断变化。尝试教授网络安全,即使是相对精通技术的开发人员,也无法高效地使用静态培训来完成,因为静态培训的日期很快,不会令人难忘,而且产生的积极影响微乎其微,特别是如果将这些要求加到他们本已超负荷的时间表中。
建造一个脚手架来到达更高的地方
使用传统方法教授网络安全技能就像尝试在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生没有掌握网络安全等复杂领域的许多更高层次的概念所需的基础。为了补偿,这个概念 脚手架式学习 可以就业。
当使用脚手架或 “分层” 方法来提升技能时,较大的主题通常会分解为离散的学习体验或概念。这样可以确保学生能够通过适当的练习和指导来掌握每个概念,从而为每个组成部分提供所需的所有支持。在已经掌握的概念的基础上,会有更新、更高级的概念,就像随着建筑物升高而建造物理脚手架一样。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时感到沮丧、恐吓或灰心时可能出现的负面情绪和自我认知。但是,当试图解决现代网络安全等极其困难的概念时,它也可以具有很大的价值。这绝不是像对待孩子一样对待开发人员的一种方式,当他们在安全团队中的经历能够产生同样的令人沮丧和沮丧的效果时,尤其是当他们的辛勤工作因错误修复和新的批评而被撤回时,这将非常有用。
当为开发人员提供了解安全编码基础知识的工具时(通常从 OWASP 前 10 名),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。从那以后,他们可以通过解决更复杂的漏洞来扩展知识,并获得应用良好修复程序的实践经验。这些层次逐点增长,然后当涉及到高级安全问题(例如不安全的软件架构或参与威胁建模)时,这些飞跃似乎并不那么令人生畏,可以精确地解决。
作为一个行业,我们永远不应该指望开发人员成为安全专家,但是组织可以采用新的开发人员支持标准,这样他们就可以生产出更高质量的软件。作为提高技能的工程组织的额外好处,每一步或每层脚手架都将在学习过程中直接转化为更好的网络安全。无需等到课程结束才能看到结果。
学习网络安全很困难,如果没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与脚手架学习相结合,可以帮助充分发挥其潜力,好处几乎立即显现出来。改进几乎将立即开始,并随着时间的推移不断改善。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
在浏览科技新闻短短几分钟后,很快就会清楚威胁格局变得多么危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者和犯罪分子积极利用的严重威胁的报告。而且几乎所有行业指标和报告都显示 越来越危险 网络威胁的数量,大多数专家预测这种趋势 会继续 在未来的几年里。
面对这些新威胁的是一线的IT安全工作者精疲力尽,人手不足。尽管薪水很高,而且几乎是任何企业或组织不可或缺的,但从来没有足够的安全人员可以四处走动。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。该报告指出,仅在美国,在仅雇用约94万人的领域,就有超过52万个网络安全职位空缺。
在世界范围内,目前大约有 350 万个网络安全工作岗位 空缺职位,这意味着即使是愿意支付巨额资金来雇用和留住顶尖专业人员的组织也难以找到合适的候选人。平均而言,需要大约 21% 的时间 填补网络安全 如果可以填补的话,这个职位比任何其他职位都要多。
开发者支持被忽视的时间太长了
我们注意到了 以前的许多博客 可以利用开发人员来填补网络安全防御中的一些关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来的 AppSec 团队的工作。
不幸的是,这不仅仅是换档并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变,而且调查显示其中许多人愿意做出改变,但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一个,也是最大的绊脚石。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁和消除代码中的漏洞很困难,而且威胁格局在不断变化。尝试教授网络安全,即使是相对精通技术的开发人员,也无法高效地使用静态培训来完成,因为静态培训的日期很快,不会令人难忘,而且产生的积极影响微乎其微,特别是如果将这些要求加到他们本已超负荷的时间表中。
建造一个脚手架来到达更高的地方
使用传统方法教授网络安全技能就像尝试在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生没有掌握网络安全等复杂领域的许多更高层次的概念所需的基础。为了补偿,这个概念 脚手架式学习 可以就业。
当使用脚手架或 “分层” 方法来提升技能时,较大的主题通常会分解为离散的学习体验或概念。这样可以确保学生能够通过适当的练习和指导来掌握每个概念,从而为每个组成部分提供所需的所有支持。在已经掌握的概念的基础上,会有更新、更高级的概念,就像随着建筑物升高而建造物理脚手架一样。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时感到沮丧、恐吓或灰心时可能出现的负面情绪和自我认知。但是,当试图解决现代网络安全等极其困难的概念时,它也可以具有很大的价值。这绝不是像对待孩子一样对待开发人员的一种方式,当他们在安全团队中的经历能够产生同样的令人沮丧和沮丧的效果时,尤其是当他们的辛勤工作因错误修复和新的批评而被撤回时,这将非常有用。
当为开发人员提供了解安全编码基础知识的工具时(通常从 OWASP 前 10 名),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。从那以后,他们可以通过解决更复杂的漏洞来扩展知识,并获得应用良好修复程序的实践经验。这些层次逐点增长,然后当涉及到高级安全问题(例如不安全的软件架构或参与威胁建模)时,这些飞跃似乎并不那么令人生畏,可以精确地解决。
作为一个行业,我们永远不应该指望开发人员成为安全专家,但是组织可以采用新的开发人员支持标准,这样他们就可以生产出更高质量的软件。作为提高技能的工程组织的额外好处,每一步或每层脚手架都将在学习过程中直接转化为更好的网络安全。无需等到课程结束才能看到结果。
学习网络安全很困难,如果没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与脚手架学习相结合,可以帮助充分发挥其潜力,好处几乎立即显现出来。改进几乎将立即开始,并随着时间的推移不断改善。
在浏览科技新闻短短几分钟后,很快就会清楚威胁格局变得多么危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者和犯罪分子积极利用的严重威胁的报告。而且几乎所有行业指标和报告都显示 越来越危险 网络威胁的数量,大多数专家预测这种趋势 会继续 在未来的几年里。
面对这些新威胁的是一线的IT安全工作者精疲力尽,人手不足。尽管薪水很高,而且几乎是任何企业或组织不可或缺的,但从来没有足够的安全人员可以四处走动。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。该报告指出,仅在美国,在仅雇用约94万人的领域,就有超过52万个网络安全职位空缺。
在世界范围内,目前大约有 350 万个网络安全工作岗位 空缺职位,这意味着即使是愿意支付巨额资金来雇用和留住顶尖专业人员的组织也难以找到合适的候选人。平均而言,需要大约 21% 的时间 填补网络安全 如果可以填补的话,这个职位比任何其他职位都要多。
开发者支持被忽视的时间太长了
我们注意到了 以前的许多博客 可以利用开发人员来填补网络安全防御中的一些关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来的 AppSec 团队的工作。
不幸的是,这不仅仅是换档并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变,而且调查显示其中许多人愿意做出改变,但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一个,也是最大的绊脚石。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁和消除代码中的漏洞很困难,而且威胁格局在不断变化。尝试教授网络安全,即使是相对精通技术的开发人员,也无法高效地使用静态培训来完成,因为静态培训的日期很快,不会令人难忘,而且产生的积极影响微乎其微,特别是如果将这些要求加到他们本已超负荷的时间表中。
建造一个脚手架来到达更高的地方
使用传统方法教授网络安全技能就像尝试在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生没有掌握网络安全等复杂领域的许多更高层次的概念所需的基础。为了补偿,这个概念 脚手架式学习 可以就业。
当使用脚手架或 “分层” 方法来提升技能时,较大的主题通常会分解为离散的学习体验或概念。这样可以确保学生能够通过适当的练习和指导来掌握每个概念,从而为每个组成部分提供所需的所有支持。在已经掌握的概念的基础上,会有更新、更高级的概念,就像随着建筑物升高而建造物理脚手架一样。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时感到沮丧、恐吓或灰心时可能出现的负面情绪和自我认知。但是,当试图解决现代网络安全等极其困难的概念时,它也可以具有很大的价值。这绝不是像对待孩子一样对待开发人员的一种方式,当他们在安全团队中的经历能够产生同样的令人沮丧和沮丧的效果时,尤其是当他们的辛勤工作因错误修复和新的批评而被撤回时,这将非常有用。
当为开发人员提供了解安全编码基础知识的工具时(通常从 OWASP 前 10 名),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。从那以后,他们可以通过解决更复杂的漏洞来扩展知识,并获得应用良好修复程序的实践经验。这些层次逐点增长,然后当涉及到高级安全问题(例如不安全的软件架构或参与威胁建模)时,这些飞跃似乎并不那么令人生畏,可以精确地解决。
作为一个行业,我们永远不应该指望开发人员成为安全专家,但是组织可以采用新的开发人员支持标准,这样他们就可以生产出更高质量的软件。作为提高技能的工程组织的额外好处,每一步或每层脚手架都将在学习过程中直接转化为更好的网络安全。无需等到课程结束才能看到结果。
学习网络安全很困难,如果没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与脚手架学习相结合,可以帮助充分发挥其潜力,好处几乎立即显现出来。改进几乎将立即开始,并随着时间的推移不断改善。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
在浏览科技新闻短短几分钟后,很快就会清楚威胁格局变得多么危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者和犯罪分子积极利用的严重威胁的报告。而且几乎所有行业指标和报告都显示 越来越危险 网络威胁的数量,大多数专家预测这种趋势 会继续 在未来的几年里。
面对这些新威胁的是一线的IT安全工作者精疲力尽,人手不足。尽管薪水很高,而且几乎是任何企业或组织不可或缺的,但从来没有足够的安全人员可以四处走动。在一个 最近的调查 由战略与国际研究中心进行的,82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题,71% 的决策者表示,这种短缺对他们的组织造成了直接和可衡量的损害。该报告指出,仅在美国,在仅雇用约94万人的领域,就有超过52万个网络安全职位空缺。
在世界范围内,目前大约有 350 万个网络安全工作岗位 空缺职位,这意味着即使是愿意支付巨额资金来雇用和留住顶尖专业人员的组织也难以找到合适的候选人。平均而言,需要大约 21% 的时间 填补网络安全 如果可以填补的话,这个职位比任何其他职位都要多。
开发者支持被忽视的时间太长了
我们注意到了 以前的许多博客 可以利用开发人员来填补网络安全防御中的一些关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来的 AppSec 团队的工作。
不幸的是,这不仅仅是换档并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变,而且调查显示其中许多人愿意做出改变,但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持,但获得有意义的学习是第一个,也是最大的绊脚石。
全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易,那么每个人都会跳入这个领域。学习如何对抗威胁和消除代码中的漏洞很困难,而且威胁格局在不断变化。尝试教授网络安全,即使是相对精通技术的开发人员,也无法高效地使用静态培训来完成,因为静态培训的日期很快,不会令人难忘,而且产生的积极影响微乎其微,特别是如果将这些要求加到他们本已超负荷的时间表中。
建造一个脚手架来到达更高的地方
使用传统方法教授网络安全技能就像尝试在不动手的情况下建造摩天大楼一样。这是不可能的,因为学生没有掌握网络安全等复杂领域的许多更高层次的概念所需的基础。为了补偿,这个概念 脚手架式学习 可以就业。
当使用脚手架或 “分层” 方法来提升技能时,较大的主题通常会分解为离散的学习体验或概念。这样可以确保学生能够通过适当的练习和指导来掌握每个概念,从而为每个组成部分提供所需的所有支持。在已经掌握的概念的基础上,会有更新、更高级的概念,就像随着建筑物升高而建造物理脚手架一样。通过这种方式,学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。
就像物理脚手架一样,当不再需要时,这种支撑会逐渐移除,随着学生变得越来越熟练,他们将承担更多的责任。
脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时感到沮丧、恐吓或灰心时可能出现的负面情绪和自我认知。但是,当试图解决现代网络安全等极其困难的概念时,它也可以具有很大的价值。这绝不是像对待孩子一样对待开发人员的一种方式,当他们在安全团队中的经历能够产生同样的令人沮丧和沮丧的效果时,尤其是当他们的辛勤工作因错误修复和新的批评而被撤回时,这将非常有用。
当为开发人员提供了解安全编码基础知识的工具时(通常从 OWASP 前 10 名),他们可以亲眼看到安全漏洞是如何发生的,它们为何危险,以及如何在它们最终投入生产之前对其进行补救。从那以后,他们可以通过解决更复杂的漏洞来扩展知识,并获得应用良好修复程序的实践经验。这些层次逐点增长,然后当涉及到高级安全问题(例如不安全的软件架构或参与威胁建模)时,这些飞跃似乎并不那么令人生畏,可以精确地解决。
作为一个行业,我们永远不应该指望开发人员成为安全专家,但是组织可以采用新的开发人员支持标准,这样他们就可以生产出更高质量的软件。作为提高技能的工程组织的额外好处,每一步或每层脚手架都将在学习过程中直接转化为更好的网络安全。无需等到课程结束才能看到结果。
学习网络安全很困难,如果没有正确的帮助和指导,几乎不可能掌握网络安全。将安全计划与脚手架学习相结合,可以帮助充分发挥其潜力,好处几乎立即显现出来。改进几乎将立即开始,并随着时间的推移不断改善。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
