为什么我们绝不能忽视网络安全中的人为因素
我们最近很高兴看到第一个 福布斯科技委员会帖子 作者:我们的董事长兼首席执行官彼得·丹希克斯上线。这篇文章详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何帮助交付比许多 IT 部门意识到的更好、更安全的代码。对这种方法的需求无疑是迫切的。最近的一项研究发现 现在每 39 秒就会发生一次网络攻击,而且我们都看到了仅一次成功的勒索软件攻击所造成的中断 殖民地管道,从更大的角度来看,它的破坏性不如 SolarWinds 黑客攻击。
许多常见的漏洞仍然存在,因为从来没有人愿意向开发人员展示如何以更安全、更有保障的方式更好地完成相同功能的方法来取代不良的编码模式。而且,在软件开发后期修复软件所产生的影响是极其昂贵的,无论是花费的时间还是部署的延迟。在部署代码之后对其进行修复,尤其是在攻击者利用了以前未发现的漏洞之后,有时可能要花费数百万美元。这甚至没有考虑到重大违规行为后公司声誉受到的损害。
受过安全培训的开发人员自然会成为更好的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但是通过从上层领导包容性的预防性安全方法,首席信息安全官可以利用其公司最大的资源,即人为因素,尤其是在软件开发生命周期一开始就涉及到安全编码时。
为此,请记住以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如,对竞争对手的行为做出回应,而不是制定和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认使用这种方法,只有在成功的漏洞被迫时才认真对待网络安全。不幸的是,到那时,损害已经造成,罚款、追回成本、客户流失和品牌恢复都达到了利润。另一种反应而不是行动,是依靠自动或手动扫描代码来发现现有代码中的漏洞,而不是一开始就专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,某些漏洞漏掉的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过分
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停顿的内部培训研讨会让开发人员和经理都感到沮丧。需要晚间或周末参加的场外课程甚至不那么受欢迎。最好的方法是逐步培养编程技能, 在编码过程中逐步提供相关信息 — 本质上是在不显著分散开发人员注意力或减缓开发过程的情况下提高技能。
3. 激励,不要假设
开发人员不应将提高安全技能视为惩罚或完全是苦差事。经理们必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享受更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及 “纳入评估开发人员和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例” 的必要性。但是,尽管工具必不可少,但这还不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装的系统和工具的能力。为了最大限度地提高公司的安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
最近,我们非常高兴看到我们的董事长兼首席执行官彼得·丹希克斯在福布斯科技委员会的第一篇文章上线。该帖子详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
我们最近很高兴看到第一个 福布斯科技委员会帖子 作者:我们的董事长兼首席执行官彼得·丹希克斯上线。这篇文章详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何帮助交付比许多 IT 部门意识到的更好、更安全的代码。对这种方法的需求无疑是迫切的。最近的一项研究发现 现在每 39 秒就会发生一次网络攻击,而且我们都看到了仅一次成功的勒索软件攻击所造成的中断 殖民地管道,从更大的角度来看,它的破坏性不如 SolarWinds 黑客攻击。
许多常见的漏洞仍然存在,因为从来没有人愿意向开发人员展示如何以更安全、更有保障的方式更好地完成相同功能的方法来取代不良的编码模式。而且,在软件开发后期修复软件所产生的影响是极其昂贵的,无论是花费的时间还是部署的延迟。在部署代码之后对其进行修复,尤其是在攻击者利用了以前未发现的漏洞之后,有时可能要花费数百万美元。这甚至没有考虑到重大违规行为后公司声誉受到的损害。
受过安全培训的开发人员自然会成为更好的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但是通过从上层领导包容性的预防性安全方法,首席信息安全官可以利用其公司最大的资源,即人为因素,尤其是在软件开发生命周期一开始就涉及到安全编码时。
为此,请记住以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如,对竞争对手的行为做出回应,而不是制定和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认使用这种方法,只有在成功的漏洞被迫时才认真对待网络安全。不幸的是,到那时,损害已经造成,罚款、追回成本、客户流失和品牌恢复都达到了利润。另一种反应而不是行动,是依靠自动或手动扫描代码来发现现有代码中的漏洞,而不是一开始就专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,某些漏洞漏掉的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过分
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停顿的内部培训研讨会让开发人员和经理都感到沮丧。需要晚间或周末参加的场外课程甚至不那么受欢迎。最好的方法是逐步培养编程技能, 在编码过程中逐步提供相关信息 — 本质上是在不显著分散开发人员注意力或减缓开发过程的情况下提高技能。
3. 激励,不要假设
开发人员不应将提高安全技能视为惩罚或完全是苦差事。经理们必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享受更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及 “纳入评估开发人员和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例” 的必要性。但是,尽管工具必不可少,但这还不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装的系统和工具的能力。为了最大限度地提高公司的安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
我们最近很高兴看到第一个 福布斯科技委员会帖子 作者:我们的董事长兼首席执行官彼得·丹希克斯上线。这篇文章详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何帮助交付比许多 IT 部门意识到的更好、更安全的代码。对这种方法的需求无疑是迫切的。最近的一项研究发现 现在每 39 秒就会发生一次网络攻击,而且我们都看到了仅一次成功的勒索软件攻击所造成的中断 殖民地管道,从更大的角度来看,它的破坏性不如 SolarWinds 黑客攻击。
许多常见的漏洞仍然存在,因为从来没有人愿意向开发人员展示如何以更安全、更有保障的方式更好地完成相同功能的方法来取代不良的编码模式。而且,在软件开发后期修复软件所产生的影响是极其昂贵的,无论是花费的时间还是部署的延迟。在部署代码之后对其进行修复,尤其是在攻击者利用了以前未发现的漏洞之后,有时可能要花费数百万美元。这甚至没有考虑到重大违规行为后公司声誉受到的损害。
受过安全培训的开发人员自然会成为更好的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但是通过从上层领导包容性的预防性安全方法,首席信息安全官可以利用其公司最大的资源,即人为因素,尤其是在软件开发生命周期一开始就涉及到安全编码时。
为此,请记住以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如,对竞争对手的行为做出回应,而不是制定和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认使用这种方法,只有在成功的漏洞被迫时才认真对待网络安全。不幸的是,到那时,损害已经造成,罚款、追回成本、客户流失和品牌恢复都达到了利润。另一种反应而不是行动,是依靠自动或手动扫描代码来发现现有代码中的漏洞,而不是一开始就专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,某些漏洞漏掉的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过分
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停顿的内部培训研讨会让开发人员和经理都感到沮丧。需要晚间或周末参加的场外课程甚至不那么受欢迎。最好的方法是逐步培养编程技能, 在编码过程中逐步提供相关信息 — 本质上是在不显著分散开发人员注意力或减缓开发过程的情况下提高技能。
3. 激励,不要假设
开发人员不应将提高安全技能视为惩罚或完全是苦差事。经理们必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享受更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及 “纳入评估开发人员和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例” 的必要性。但是,尽管工具必不可少,但这还不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装的系统和工具的能力。为了最大限度地提高公司的安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
我们最近很高兴看到第一个 福布斯科技委员会帖子 作者:我们的董事长兼首席执行官彼得·丹希克斯上线。这篇文章详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。不仅如此,它还揭示了这些具有安全意识的开发人员如何帮助交付比许多 IT 部门意识到的更好、更安全的代码。对这种方法的需求无疑是迫切的。最近的一项研究发现 现在每 39 秒就会发生一次网络攻击,而且我们都看到了仅一次成功的勒索软件攻击所造成的中断 殖民地管道,从更大的角度来看,它的破坏性不如 SolarWinds 黑客攻击。
许多常见的漏洞仍然存在,因为从来没有人愿意向开发人员展示如何以更安全、更有保障的方式更好地完成相同功能的方法来取代不良的编码模式。而且,在软件开发后期修复软件所产生的影响是极其昂贵的,无论是花费的时间还是部署的延迟。在部署代码之后对其进行修复,尤其是在攻击者利用了以前未发现的漏洞之后,有时可能要花费数百万美元。这甚至没有考虑到重大违规行为后公司声誉受到的损害。
受过安全培训的开发人员自然会成为更好的程序员。当然,首席信息安全官不应在短期内放弃其安全工具,但是通过从上层领导包容性的预防性安全方法,首席信息安全官可以利用其公司最大的资源,即人为因素,尤其是在软件开发生命周期一开始就涉及到安全编码时。
为此,请记住以下三种最重要的高级策略。
1。积极主动,而不是被动
企业往往陷入被动反应的陷阱,例如,对竞争对手的行为做出回应,而不是制定和追求独特的愿景。当涉及到代码中的安全漏洞时,许多人也会默认使用这种方法,只有在成功的漏洞被迫时才认真对待网络安全。不幸的是,到那时,损害已经造成,罚款、追回成本、客户流失和品牌恢复都达到了利润。另一种反应而不是行动,是依靠自动或手动扫描代码来发现现有代码中的漏洞,而不是一开始就专注于创建安全代码。不幸的是,代码扫描并不是一个完美的解决方案,这意味着代码中的漏洞越多,某些漏洞漏掉的可能性就越大。
只有采取积极主动的方法并与开发人员合作,帮助他们从一开始就创建安全代码,才能建立软件开发生命周期,从而显著降低向用户发布编码漏洞的可能性。
2。提高技能,不要矫正过分
一旦决定为开发人员提供创建安全代码所需的知识,请明智地选择您的方法。使编程陷入停顿的内部培训研讨会让开发人员和经理都感到沮丧。需要晚间或周末参加的场外课程甚至不那么受欢迎。最好的方法是逐步培养编程技能, 在编码过程中逐步提供相关信息 — 本质上是在不显著分散开发人员注意力或减缓开发过程的情况下提高技能。
3. 激励,不要假设
开发人员不应将提高安全技能视为惩罚或完全是苦差事。经理们必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值,并且将来将享受更多的职业机会。
拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注,以及 “纳入评估开发人员和供应商自身安全实践的标准,并确定创新工具或方法来证明其符合安全惯例” 的必要性。但是,尽管工具必不可少,但这还不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装的系统和工具的能力。为了最大限度地提高公司的安全性,首席信息安全官必须利用人为因素,鼓励开发人员成为自愿的安全支持者和实践者。
目录
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
