Blog

为什么安全代码培训不起作用(以及你可以做些什么)

April 8, 2021
Secure Code Warrior

无聊,无聊,无聊!这是每当提到安全代码培训时,你都会从开发人员那里听到的主要回应之一。在 Secure Code Warrior,我们认为必须有更好的方法,因此我们与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载您的白皮书副本) 这里)。

在即将发布的版本中 从反应转向预防:应用程序安全性不断变化的面貌,开发人员被问及他们在当前安全代码培训中遇到的主要问题——答案很有启发性。

让开发人员失望的培训

Current secure code training, that companies provide does not stack up.
公司目前提供的安全代码培训被视为不切实际操作或与工作无关。

40% 的受访开发者 我觉得安全编码是在真空中教的。另有40%的人认为培训过于理论化,与他们的工作无关,不够 “动手”。30%的人认为他们每天使用的语言框架缺乏培训。这很严重,因为它告诉我们,当前的安全代码培训与上下文无关,与开发人员的日常工作没有任何有意义的关系。

对于许多开发人员来说,他们的主要挑战是在乏味、无动于衷的活动中保持清醒,这些活动既无效,也不能激励他们将安全放在首位。

在真空中进行培训会使开发人员无法在实验室和现实世界之间建立认知联系。

开发人员希望从安全代码培训中获得三件事:

  1. 绝大多数开发人员表示,他们想要的培训更加亲身实践,更符合他们的日常工作。
  2. 65% 的开发人员表示需要更多培训 特定语言的漏洞 还有 OWASP 前 10 名
  3. 75% 的受访开发人员更喜欢结构化的在职培训。

提高开发人员能力的培训

在职培训方面,开发人员会带来一定水平的经验和现有知识。这表明需要 “脚手架” 学习。这是一种结构化(或脚手架)的培训,旨在建立在开发人员已经知道的基础上。脚手架式教育既能激活和增强任何先前的经验,又能继续逐步培养新技能。这使其成为在职学习的完美手段。

传授坚持不懈的技能

在开发人员安全培训方面,我们知道开发人员更喜欢边做边学的方法,而不是基于理论的静态学习的繁琐工作。从这个意义上讲,学习在高度相关的上下文环境中安全地编程是关键。作为安全编码变革的拥护者,Secure Code Warrior以相关的编程语言和框架提供情境式的实践教育,其挑战模仿开发人员在现实世界中面临的挑战。学习内容包括超过5,500个挑战和任务,涵盖超过147种不同的漏洞类型,包括最重要的OWASP前10名、OWASP移动版前10名、OWASP API安全性前10名和CWE/SANS前25名。

如果您想了解对团队的潜在影响以及他们更快地交付安全代码的能力, 预订演示 现在。


标语

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
标语

Explore more blogs

Lorem Issum diam quis eim leboutis ein selerisque lobortis sepitis beelrisque lobortis sepitis celerisque lobortis celeriskue filmentis celeriskue filmentis celeriskue diam

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo