安全代码见解

这篇文章的一个版本出现在 SC 杂志。此处已对其进行了修改和联合发布。


如果你曾经被盗贼侵入你的家，你就会明白最初沉没的感觉，即出了点问题，然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适，更不用说转向可与诺克斯堡相媲美的安全措施了。

现在想象一下你的房屋遭到入侵，因为盗贼给自己做了钥匙。它们四处爬行，随心所欲地来来去去，但要小心谨慎行事，以免被发现。然后，有一天，你发现你藏在冰箱里的珠宝不见了，保险箱被清空了，你的个人物品被洗劫一空，为时已晚。这与组织成为零日网络攻击的受害者时面临的现实相同。2020年，Ponemon 研究所的一项研究表明 80% 的成功数据泄露 是未修补漏洞利用的结果，遗憾的是，大多数公司仍然没有能力对这一统计数据做出重大改进。

顾名思义，零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞，因为威胁行为者首先进入。损害已经造成，然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势，尽可能缩小这一优势至关重要。

没人想要的节日礼物——Log4Shell——目前正在炸毁互联网，据说有超过十亿台设备受到这一灾难性Java漏洞的影响。这将是有记录以来最严重的0天攻击，而我们才刚刚开始。尽管 一些报道 表示漏洞利用是在公开披露前几天开始的， 在 2016 年黑帽大会上发表的演讲 这表明这是一个已知问题已有一段时间了。哎哟。更糟糕的是，它很容易被利用，而且这个星球上的每个剧本小伙子和威胁行为者都在用这个漏洞追逐利润。

那么，防范滑稽而险恶的威胁，更不用说软件开发过程中遗漏的漏洞了，最好的前进道路是什么？让我们来看看。

针对大型目标的零日攻击很少见（而且代价高昂）

暗网上的漏洞利用市场巨大，零日漏洞往往要花很多钱，举一个例子 在这篇文章中 在撰写本文时，上市价格为250万美元。据报道，这是苹果iOS的一个漏洞，安全研究人员的要价居高不下也就不足为奇了；毕竟，这确实可能是入侵数百万台设备、收集数十亿条敏感数据记录并在发现和修补之前尽可能长时间地进行攻击的门户。

但无论如何，谁有这样的钱？通常，如果认为现金值得，有组织的网络犯罪集团会拿出现金，尤其是对于广受欢迎的勒索软件攻击。但是，全球政府和国防部门是可以用于威胁情报的漏洞的客户群体，在更积极的情况下，这些公司本身可能会购买自己潜在的未修补漏洞，这样他们就可以减轻灾难。

2021 年打破了纪录 用于实时未修补漏洞的发现，而大型组织、政府部门和基础设施最有可能被调查任何漏洞。没有办法完全免受零日攻击的可能性，但是你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩游戏”。与其等到有人在暗网市场上提供软件城堡的钥匙，不如让合法的安全爱好者站在你这边，为他们提供道德披露和潜在修复的丰厚奖励。

而且，如果它恰好是一个令人毛骨悚然的新漏洞威胁，那么可以肯定地说，你需要的不仅仅是亚马逊礼品卡（而且值得你花点时间这样做）。

你的工具可能是你的安全人员的责任

繁琐的安全工具长期以来一直是个问题，普通首席信息安全官负责管理 从 55 到 75 个工具不等 在他们的安全武器库中。除了是世界上最令人困惑（隐喻）的瑞士军刀外，53％的企业甚至不确定自己的工作效率， 根据一项研究 由 Ponemon 研究所提供。 另一项研究 透露，只有17％的CISO认为他们的安全堆栈 “完全有效”。

在一个以精疲力尽、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域，迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是繁重的负担。这正是可能导致他们错过关键警报的那种情况，在正确评估 Log4j 的弱点时很可能就是这种情况。

预防性安全应包括开发者驱动的威胁建模

代码级漏洞通常由开发人员引入，他们需要精确的指导和定期的学习途径来培养安全的编码技能。但是，作为软件创建过程的一部分，下一级安全开发人员有机会学习和练习威胁建模。
‍
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能，以及何时具有足够的安全意识，以及它可能被破坏或被利用的潜在场景拥有丰富的知识。

如果我们把这个问题带回到 Log4Shell 漏洞中，不幸的是，我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测，但是，如果将库配置为对用户输入进行消毒，则可能根本不会发生这种情况。反对这样做的决定 为了增加便利性，似乎是一个不起眼的功能，但它非常容易被利用（想想 SQL 注入级别，当然不是天才的东西）。如果威胁建模是由一群敏锐、精通安全的开发人员完成的，那么这种情景很可能会得到理论和考虑。

一个好的安全计划具有情感成分，人为干预和细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效，软件和应用程序架构层面的安全编码和配置也是如此。这不是开发人员应该在一夜之间陷入的困境，但这是一种明确的途径，可以将他们的技能提高到可以减轻安全团队完成这项重要任务的压力，这是理想的方式（也是建立两个团队之间融洽关系的好方法）。

零日导致 n 天

处理未修补漏洞的下一部分是尽快发布补丁，他非常希望易受攻击软件的每个用户尽快应用补丁，当然是在攻击者首先到达那里之前。使用 Log4Shell， 它可能会让 Heartbleed 黯然失色 面对它嵌入到数百万台设备中，并在整个软件版本中产生复杂的依赖关系，它的耐久性和效力都很强。

实际上，没有办法完全阻止这种阴险的攻击。但是，只要我们承诺使用各种途径来创建高质量、安全的软件，并以与关键基础设施相同的心态进行开发，我们所有人都有机会与之抗争。

人工智能辅助开发（或更流行的版本，“氛围编码”）正在对代码创建产生巨大的变革性影响。成熟的开发人员正在成群结队地采用这些工具，而我们当中那些一直想创建自己的软件但缺乏相关经验的人也在利用它们来构建以前成本和时间都过高的资产。尽管这项技术有望开创一个新的创新时代，但它引入了一系列新的漏洞和风险概况，安全领导者正在努力缓解这些漏洞和风险状况。

一个 最近的发现 InvariantLabs在模型上下文协议（MCP）中发现了一个关键漏洞，该协议是一个类似API的框架，允许强大的人工智能工具与其他软件和数据库自主交互，允许进行所谓的 “工具中毒攻击”，这是一个新的漏洞类别，可能对企业造成特别大的损害。主要的人工智能工具，例如Windsurf和Cursor，也无法幸免，对于数百万用户，管理这一新出现的安全问题的意识和技能至关重要。

就目前而言，这些工具的输出是 不 始终足够安全，足以将它们标记为企业就绪，如上所述 最近的研究论文 来自 AWS 和 Intuit 安全研究人员 Vineeth Sai Narajala 和 Idan Habler：”随着人工智能系统变得更加自主并开始通过诸如MCP之类的东西直接与外部工具和实时数据进行交互，确保这些交互的安全变得绝对必不可少。”

代理人工智能系统和模型上下文协议的风险概况

模型上下文协议是一款方便的软件 由 Anthropic 建造 这允许在大型语言模型 (LLM) AI 代理和其他工具之间实现更好、更无缝的集成。这是一个强大的用例，在专有应用程序和GitHub等关键业务SaaS工具之间开辟了一个充满可能性的世界，可与尖端的人工智能解决方案进行交互。只需编写一个 MCP 服务器，然后开始就你希望它如何运行以及达到什么目的制定指导方针。

事实上，MCP 技术对安全的影响大多是积极的。LLM 与安全专业人员使用的技术堆栈之间实现更直接集成的承诺太诱人了，不容忽视，这代表了在以前不可能实现的级别上实现精确安全任务自动化的可能性，至少在没有为每项任务编写和部署自定义代码的情况下是如此。鉴于数据、工具和人员之间的深远可见性和连通性是有效的安全防御和规划的基础，MCP增强了LLM的互操作性，为企业安全带来了令人兴奋的前景。

但是，使用 MCP 可能会引入其他可能的威胁载体，除非谨慎管理，否则会显著扩大企业攻击面。正如所指出的 不变实验室，工具中毒攻击代表了一个新的漏洞类别，它可能导致 AI 模型泄露敏感数据和未经授权的操作，从那以后，安全隐患很快就会变得非常暗淡。

InvariantLabs 指出，当恶意指令嵌入在 MCP 工具描述中时，用户无法看到，但可以完全被 AI 模型读取（和执行），则工具中毒攻击成为可能。这会诱使该工具在用户不知情的情况下执行未经授权的不良操作。问题在于 MCP 的假设，即所有工具描述都值得信赖，这对威胁行为者来说简直是天作之合。

他们注意到受损工具可能产生的以下结果：

• 指示 AI 模型访问敏感文件（如 SSH 密钥、配置文件、数据库等）；
• 指示 AI 在对不知情的用户隐瞒这些恶意行为的环境中提取和传输这些数据；
• 通过隐藏在看似简单的工具参数和输出的用户界面表示形式后面，在用户看到的内容与 AI 模型的操作之间建立脱节。

这是一个令人担忧的紧急漏洞类别，随着 MCP 使用量的不可避免地持续增长，我们几乎肯定会更频繁地看到这个漏洞类别。随着企业安全计划的发展，它将采取谨慎的行动来发现和缓解这种威胁，而让开发人员做好充分准备以参与解决方案是关键。

为什么只有具备安全技能的开发人员才能利用代理人工智能工具

Agentic AI 编码工具被认为是人工智能辅助编码的下一次演变，增加了它们在软件开发中提高效率、生产力和灵活性的能力。它们理解背景和意图的能力得到增强，因此特别有用，但它们无法免受攻击者的即时注入、幻觉或行为操纵等威胁。

开发人员是代码提交好坏之间的防线，保持敏锐的安全和批判性思维能力将是未来安全软件开发的基础。

决不能盲目信任地实现人工智能输出，只有具备安全技能的开发人员运用情境的批判性思维，才能安全地利用这项技术带来的生产力提高。尽管如此，它必须处于配对编程环境中，人类专家能够评估、威胁建模并最终批准该工具所做的工作。

详细了解开发人员如何通过 AI 提高技能和提高工作效率 这里。

实用的缓解技术，以及我们最新的研究论文中的更多内容

人工智能编码工具和 MCP 技术必将成为未来网络安全的重要因素，但至关重要的是，我们在检查水域之前不要潜水。

Narajala 和 Habler's 纸 详细说明了在企业层面实施MCP的全面缓解策略及其风险的持续管理。最终，它以深度防御和零信任原则为中心，明确针对这一新生态系统为企业环境带来的独特风险状况。特别是对于开发人员而言，填补以下领域的知识空白至关重要：

• 身份验证和访问控制：Agentic AI 工具的功能是解决问题并做出自主决策，以实现为他们制定的目标，这与人类处理工程任务的方式大致相同。但是，正如我们已经确定的那样，对这些流程进行熟练的人工监督不容忽视，在工作流程中使用这些工具的开发人员必须确切地了解他们拥有哪些访问权限、他们检索或可能暴露的数据，以及可以在哪里共享这些数据。
• 一般威胁检测和缓解：与大多数人工智能流程一样，要发现工具输出中的潜在缺陷和不准确之处，用户必须自己精通任务。开发人员必须接受持续的技能提升和对这些技能的验证，才能有效地审查安全流程 和 以安全精度和权威性审查 AI 生成的代码。
• 与安全政策和 AI 治理保持一致：应让开发人员了解经批准的工具，并有机会提高技能并获得使用权限。在信任提交之前，开发人员和工具都应接受安全基准测试。

我们最近发布了一个 研究论文 关于氛围编码和人工智能辅助编码的出现，以及企业为提升下一代人工智能驱动的软件工程师而必须采取的措施。立即查看并联系我们，强化您的开发队伍。

这篇文章的一个版本最初出现在 DZone。它已在此处更新和发布。

支付卡行业数据安全标准 (PCI DSS) 4.0 版将 几乎改变一切 关于接受电子支付（占绝大多数）的任何企业或组织的安全。毫无疑问，此次更新对大多数企业来说将是变革性的，要求他们升级许多安全流程，并有可能在加密、身份验证、访问控制、密钥管理和其他领域推出新的保护措施，而这些领域以前可能进展缓慢。

由于新要求的复杂性，各组织只能在2025年3月之前完全合规。但是这个截止日期将比大多数人意识到的要早到来。实际上，许多具有前瞻性的公司目前正在采取措施，使他们的开发人员能够驾驭悬而未决的合规格局。

超越开箱即用的训练

组织的开发人员编写其大部分基础架构所依赖的代码，因此，在实施新的 PCI DSS 4.0 要求时，他们是一个不错的起点。但是，作为更新的安全意识计划的一部分，大多数开发人员将需要战略支持来提高技能。这是为了确保他们具备实施和维护新标准所要求的更高安全级别所需的经验。

实际上，PCI DSS 4.0的要求12.6.2指导组织实施正式的安全计划，并使用最新的威胁信息和防御技术对其进行更新。使用较旧的标准，基本安全计划甚至 “复选框” 式的年度合规培训都达到了目标。这项新标准的要求远不止于此，甚至要求安全培训计划应对公司环境中的特定威胁和漏洞。例如，如果身份被盗对组织来说是一个大问题，那么培训就需要解决这个问题。

很明显，无论从实际角度还是从遵守新标准的角度来看，最低限度的培训都不再足够。相反，组织需要为开发人员提供全面、敏捷的学习途径，教会他们如何将安全最佳实践应用到实际的日常工作中。通过超越最低限度的合规性工作，为开发人员提供真正了解安全性所需的资源，组织可以帮助其开发人员做出更好的总体安全决策，同时遵守 PCI DSS 4.0。

好消息是，PCI DSS 4.0中的许多新要求都针对大多数开发人员已经熟悉的领域，例如身份验证、加密、访问控制、密钥管理等。当为开发人员提供合适的、相关的和熟悉的资源来提高他们的技能时，组织可以更轻松地为他们做好准备，以应对 PCI DSS 4.0 要求的新标准和更大的责任。

使用 PCI DSS 4.0 作为跑道来提高整体安全性

虽然通过良好的安全教育满足开发者的需求将是成功遵守新的 PCI DSS 4.0 标准的关键，但推动组织走向更好的网络安全的努力并不一定就此结束。是的，这些要求很严格，但是由于大多数组织都需要努力遵守这些要求，因此没有理由不利用这种努力作为启动更好的总体安全意识和培训的跳板。这不仅可以帮助组织满足合规要求，还可以开始培养一种积极的安全文化，这种文化将最佳实践列为优先事项，并确保组织中的每个人都朝着相同的 “安全第一” 目标努力。

当然，有一段学习曲线，但开发人员很可能会付出这样的努力。在埃文斯的数据中 调查 在全球活跃的1,200多名专业开发人员中，绝大多数表示支持创建安全代码并在组织中建立更好的安全文化的概念。显然，大多数开发人员欢迎在开发过程中从战略角度转向安全编码，并重新确定安全优先级。

PCI DSS 4.0规定的安全升级为公司投资改进安全最佳实践和培训，并在组织内接受更好的整体安全文化提供了一个完美的借口。

如果开发人员公司投资一项计划，使他们能够将安全编码技能与相关工具和培训相结合，则开发人员可以更轻松地实现更高的安全成熟度。这反过来有助于营造一种安全文化，在这种文化中，开发人员可以进一步做出更好的决策，从而改善组织的整体安全状况，甚至远远超过严格的新PCI DSS 4.0标准。
‍

在浏览科技新闻短短几分钟后，很快就会清楚威胁格局变得多么危险。似乎每天都有关于重大漏洞、新漏洞或网络攻击者和犯罪分子积极利用的严重威胁的报告。而且几乎所有行业指标和报告都显示 越来越危险 网络威胁的数量，大多数专家预测这种趋势 会继续 在未来的几年里。

面对这些新威胁的是一线的IT安全工作者精疲力尽，人手不足。尽管薪水很高，而且几乎是任何企业或组织不可或缺的，但从来没有足够的安全人员可以四处走动。在一个 最近的调查 由战略与国际研究中心进行的，82% 的 IT 决策者表示他们的组织存在网络安全技能短缺问题，71% 的决策者表示，这种短缺对他们的组织造成了直接和可衡量的损害。该报告指出，仅在美国，在仅雇用约94万人的领域，就有超过52万个网络安全职位空缺。

在世界范围内，目前大约有 350 万个网络安全工作岗位 空缺职位，这意味着即使是愿意支付巨额资金来雇用和留住顶尖专业人员的组织也难以找到合适的候选人。平均而言，需要大约 21% 的时间 填补网络安全 如果可以填补的话，这个职位比任何其他职位都要多。

开发者支持被忽视的时间太长了

我们注意到了 以前的许多博客 可以利用开发人员来填补网络安全防御中的一些关键空白。只是传统上开发人员从未接受过网络安全培训。他们的工作绩效几乎完全取决于部署速度和时间。安全性是未来的 AppSec 团队的工作。

不幸的是，这不仅仅是换档并要求开发人员突然开始为其应用程序和程序增加安全性的问题。即使他们愿意做出这些改变，而且调查显示其中许多人愿意做出改变，但他们仍然需要培训才能实现这一目标。他们还需要高层管理人员的鼓励和支持，但获得有意义的学习是第一个，也是最大的绊脚石。

全球数百万高薪、高度安全的IT安全职位空缺是有原因的。如果工作很容易，那么每个人都会跳入这个领域。学习如何对抗威胁和消除代码中的漏洞很困难，而且威胁格局在不断变化。尝试教授网络安全，即使是相对精通技术的开发人员，也无法高效地使用静态培训来完成，因为静态培训的日期很快，不会令人难忘，而且产生的积极影响微乎其微，特别是如果将这些要求加到他们本已超负荷的时间表中。

建造一个脚手架来到达更高的地方

使用传统方法教授网络安全技能就像尝试在不动手的情况下建造摩天大楼一样。这是不可能的，因为学生没有掌握网络安全等复杂领域的许多更高层次的概念所需的基础。为了补偿，这个概念 脚手架式学习 可以就业。

当使用脚手架或 “分层” 方法来提升技能时，较大的主题通常会分解为离散的学习体验或概念。这样可以确保学生能够通过适当的练习和指导来掌握每个概念，从而为每个组成部分提供所需的所有支持。在已经掌握的概念的基础上，会有更新、更高级的概念，就像随着建筑物升高而建造物理脚手架一样。通过这种方式，学生能够获得比在没有帮助的情况下能够掌握的更高的理解和技能习得水平。

就像物理脚手架一样，当不再需要时，这种支撑会逐渐移除，随着学生变得越来越熟练，他们将承担更多的责任。

脚手架式学习主要用于减少学生在没有帮助的情况下尝试艰巨任务时感到沮丧、恐吓或灰心时可能出现的负面情绪和自我认知。但是，当试图解决现代网络安全等极其困难的概念时，它也可以具有很大的价值。这绝不是像对待孩子一样对待开发人员的一种方式，当他们在安全团队中的经历能够产生同样的令人沮丧和沮丧的效果时，尤其是当他们的辛勤工作因错误修复和新的批评而被撤回时，这将非常有用。

当为开发人员提供了解安全编码基础知识的工具时（通常从 OWASP 前 10 名），他们可以亲眼看到安全漏洞是如何发生的，它们为何危险，以及如何在它们最终投入生产之前对其进行补救。从那以后，他们可以通过解决更复杂的漏洞来扩展知识，并获得应用良好修复程序的实践经验。这些层次逐点增长，然后当涉及到高级安全问题（例如不安全的软件架构或参与威胁建模）时，这些飞跃似乎并不那么令人生畏，可以精确地解决。

作为一个行业，我们永远不应该指望开发人员成为安全专家，但是组织可以采用新的开发人员支持标准，这样他们就可以生产出更高质量的软件。作为提高技能的工程组织的额外好处，每一步或每层脚手架都将在学习过程中直接转化为更好的网络安全。无需等到课程结束才能看到结果。

学习网络安全很困难，如果没有正确的帮助和指导，几乎不可能掌握网络安全。将安全计划与脚手架学习相结合，可以帮助充分发挥其潜力，好处几乎立即显现出来。改进几乎将立即开始，并随着时间的推移不断改善。

开始和我们一起打造安全性强的开发人员；查看：

课程
任务
开发人员培训

... 还有更多！

我们最近很高兴看到第一个 福布斯科技委员会帖子 作者：我们的董事长兼首席执行官彼得·丹希克斯上线。这篇文章详细介绍了如何提高开发人员的技能以创建更安全的代码是防止网络攻击和数据泄露的关键。不仅如此，它还揭示了这些具有安全意识的开发人员如何帮助交付比许多 IT 部门意识到的更好、更安全的代码。对这种方法的需求无疑是迫切的。最近的一项研究发现 现在每 39 秒就会发生一次网络攻击，而且我们都看到了仅一次成功的勒索软件攻击所造成的中断 殖民地管道，从更大的角度来看，它的破坏性不如 SolarWinds 黑客攻击。

‍

许多常见的漏洞仍然存在，因为从来没有人愿意向开发人员展示如何以更安全、更有保障的方式更好地完成相同功能的方法来取代不良的编码模式。而且，在软件开发后期修复软件所产生的影响是极其昂贵的，无论是花费的时间还是部署的延迟。在部署代码之后对其进行修复，尤其是在攻击者利用了以前未发现的漏洞之后，有时可能要花费数百万美元。这甚至没有考虑到重大违规行为后公司声誉受到的损害。

受过安全培训的开发人员自然会成为更好的程序员。当然，首席信息安全官不应在短期内放弃其安全工具，但是通过从上层领导包容性的预防性安全方法，首席信息安全官可以利用其公司最大的资源，即人为因素，尤其是在软件开发生命周期一开始就涉及到安全编码时。

为此，请记住以下三种最重要的高级策略。

1。积极主动，而不是被动

企业往往陷入被动反应的陷阱，例如，对竞争对手的行为做出回应，而不是制定和追求独特的愿景。当涉及到代码中的安全漏洞时，许多人也会默认使用这种方法，只有在成功的漏洞被迫时才认真对待网络安全。不幸的是，到那时，损害已经造成，罚款、追回成本、客户流失和品牌恢复都达到了利润。另一种反应而不是行动，是依靠自动或手动扫描代码来发现现有代码中的漏洞，而不是一开始就专注于创建安全代码。不幸的是，代码扫描并不是一个完美的解决方案，这意味着代码中的漏洞越多，某些漏洞漏掉的可能性就越大。

只有采取积极主动的方法并与开发人员合作，帮助他们从一开始就创建安全代码，才能建立软件开发生命周期，从而显著降低向用户发布编码漏洞的可能性。

2。提高技能，不要矫正过分

一旦决定为开发人员提供创建安全代码所需的知识，请明智地选择您的方法。使编程陷入停顿的内部培训研讨会让开发人员和经理都感到沮丧。需要晚间或周末参加的场外课程甚至不那么受欢迎。最好的方法是逐步培养编程技能， 在编码过程中逐步提供相关信息 — 本质上是在不显著分散开发人员注意力或减缓开发过程的情况下提高技能。

3. 激励，不要假设

开发人员不应将提高安全技能视为惩罚或完全是苦差事。经理们必须通过传达安全代码在公司成功中所起的重要作用来激励开发人员。同样重要的是要传达安全编码人员对公司更有价值，并且将来将享受更多的职业机会。

拜登政府对此表示欢迎 行政命令 加大了对网络安全的关注，以及 “纳入评估开发人员和供应商自身安全实践的标准，并确定创新工具或方法来证明其符合安全惯例” 的必要性。但是，尽管工具必不可少，但这还不够。任何工具都无法完全消除个人以某种方式忽视、误解、滥用或以其他方式绕过已安装的系统和工具的能力。为了最大限度地提高公司的安全性，首席信息安全官必须利用人为因素，鼓励开发人员成为自愿的安全支持者和实践者。

在我自己的软件开发和安全职业生涯中，AppSec经理、首席信息安全官、首席信息官、网络安全专家——我曾与他们中的许多人交谈，他们在世界各地的各种公司工作。

在这个不断变化的数字世界中，无论他们的处境多么不同，团队的经验有多么丰富，或者经历了多少时间，都有一个问题始终保持不变：他们很少能够在安全问题上积极参与开发团队。安全仍然是脏话，是团队之间冲突的根源，也是行业背面的彻头彻尾的痛苦。

但是，软件安全对于我们的总体思维方式来说太重要了，无法继续走这条路。我们必须努力改变对话方式，使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力，并与他们互动。

当前的格局

开发人员离开大学时几乎没有交付安全代码的实践知识，他们从事的工作岗位很少将安全培训列为优先事项（如果是的话，它通常是有关健康和安全的强制性合规视频的一部分，这些视频太乏味了，没有人会关心安全编码）。通常，他们在安全方面的第一次体验是审计或测试错误报告，该报告突然中断了未来的发布，立即成为他们创造性思维的重中之重。他们发现自己与负责安全报告的人员发生争执，因此，在他们心中，“安全” 成了 “批评” 的代名词。哈哈哈。

老实说，这种对软件安全的负面看法如此普遍，真是太可惜了。毕竟，我职业生涯中最美好的回忆与学习软件安全有关。我早期的黑客时代都在参加会议，在这些会议上，我不仅可以与同行测试自己的技能（说实话，可以稍微炫耀一下），而且还能与和我一样喜欢破坏软件的志同道合的人会面玩得很开心。

BruCon、DefCon、BlackHat... 这些活动为像我一样的人提供了在友谊赛中发挥我们的技能的能力。虽然我从来不承认参与过这样的反社会活动，但有些人甚至会通过侵入其他与会者的手机，在演示屏幕上显示他们的信息让所有人看到来展示自己的黑客实力。它变成了一款游戏，它发现了这些缺陷——利用并修复它们——以改善软件。几年前，我有幸与数百名中东孩子面对面，向他们传授网络安全知识。我还记得我的学生中有一个八岁的女孩，她在玩游戏时正在学习密码暴力和base64编码。

游戏化也用于教授编程技能。世界各地的教育机构都在利用这种方法向年幼的孩子教授编程，甚至直到高中年龄。现在，年仅四岁的孩子经常参加节日活动，例如 CodeCamp，还有很多很棒的在线程序可以教孩子们如何用 Python 和其他语言编程。我甚至买了神奇的无屏编码工具， 库贝托，送给我四岁的女儿。

但是，尽管有所有这些乐趣和进步，但还是存在差距。没有人想过利用游戏化来培训开发人员如何编写安全代码的可能性。

好吧... 几乎没有人。几年前，我意识到我们需要再次激发安全灵感，真正激励开发者参与进来并开始游戏。

游戏化：简单的前进方向。

我内心深处有提升和增强开发人员安全知识的动力，正是这种激情促使我创立了 Secure Code Warrior。软件安全非常重要，而且确实令人兴奋。

我并不孤单。

游戏化可以让即使是最平凡的任务变得更有趣，也能让人们保持足够的参与度，让他们想要继续游戏、获胜和取得进步——看看神奇宝贝走的路就知道了！甚至让最懒散的人离开沙发、户外寻找虚构的生物，或者 FitBit 如何将达到步数作为许多人的每日目标... 如果这些目标没有实现，如果连胜纪录结束，徽章没有获得，就会产生一种非常真实的失望感。

所以，回到安全培训上。我们已经向许多客户证明，游戏化是真正改变其组织中的安全文化、在AppSec和开发团队之间架设桥梁以及总体上帮助他们构建更高标准的软件的关键。

目前，安全性不是开发人员的首要任务。通过在训练方法中添加友好、有竞争力和引人入胜的元素，你激励他们不仅 “玩”，还要继续回来赚取更多积分，打破高分，变得更准确，挑战队友。

我们已经知道成功的培训是这样的：

• 开发人员能够使用真实代码和自己的语言/框架工作
• 挑战很短，涵盖了所有常见的安全漏洞
• 挑战不断扩展和更新，因此开发人员可以随着时间的推移继续培养技能
• 挑战的复杂程度各不相同，因此无论是资深开发人员还是经验不足的开发人员都会参与其中
• 开发人员及其经理能够查看进度，包括他们完成了哪些挑战、他们的长处和短处、花在培训上的时间及其总体准确性。

我们的一位最大客户在推出游戏化平台时展现了游戏化平台的真正魔力，为开发者提供主题团队装备，为游戏获胜者提供惊人的奖品，并真正让他们的锦标赛成为值得纪念的一天。此后，他们举办了国际比赛，直到今天，他们的整个团队仍在进行严格的训练。

你自己的软件革命从这里开始。澳大利亚银行业在采用游戏化培训来对抗不良代码方面处于领先地位，采用一种真正创新的方法，可以颠覆传统（或无聊）的培训——看看我们的客户对他们做了什么 下一级锦标赛。你准备好了吗 提升你的队伍等级 和我们在一起？

我们必须努力改变对话方式，使安全成为每个开发人员工作生活中不可或缺的一部分。我认为做到这一点的最佳方法之一是通过游戏化等在安全方面赋予开发人员权力，并与他们互动。

9月3日，我和团队的一些成员参加了一场精彩的安全颁奖大会，该会议由主办 澳大利亚CSO。澳大利亚首批此类产品之一， 2019 年安全领域女性奖 是业内一些最受尊敬的安全专家的不可思议的结晶。这是对女性在网络安全领域做出的贡献的庆祝活动，也是展示女性所带来的不可思议的才华和创新的急需的平台，这些女性往往不在聚光灯下，努力做得很出色。

我非常自豪地说，Secure Code Warrior的客户成功副总裁（又名Chief Awesome）Fatemah Beydoun是当天不可或缺的一部分。她发表了演讲， 未来指导：我们如何才能在培养女性网络安全人才方面做得更好 致非常乐于接受的观众。尽管十二分钟还不足以揭示她对我们和整个网络安全行业的长期影响，但她已经看到（更不用说推动了）关键的积极变化。

更具包容性的方法。

“当我第一次在这个行业开始我的职业生涯时，” 法特玛说，“我是我加入的团队中为数不多的女性之一。许多社交机会也以男性为中心，这使我很难加入，难以结识合适的人并向企业展示关键价值。我试图改变这种动态，尽可能创造一个更具包容性的空间。

例如，我经常参加行业活动，发现许多公司的展位会采用促销模式来吸引人们对展位的关注。理论上没关系，但我经常会被忽视，因为我显然不是目标市场。在我职业生涯的早期，我曾负责举办赛事，并发誓我们可以想出更具包容性和更有趣的方式来吸引人们对我们自己的活动的关注，” 她说。

我和Fatemah已经合作了很长时间，她一直倡导我们经营的企业内部的包容性和多元化。这始终为女性加入团队提供了更多途径，使关键贡献得到认可，不同的方法、观点和各行各业使队伍得到加强。

法特玛说：“看，当然，没有人愿意成为象征性的女性。”“但是，问题可能在于，一些不那么多元化的高管团队倾向于将领导力棒传递给与他们相似的人，他们可能会在个人层面上与之建立联系。同样的高管可以从女性以业绩和技能为基础的贡献中受益，但她们往往很难得到关注。她说，如果让执行管理团队意识到多元化可以带来的力量（这不仅限于性别），他们通常非常愿意开辟这些途径，开始提升那些准备、愿意和有能力为组织做出色工作的女性。”

工作场所的灵活性：成功的关键要素。

在创办自己的公司时，我很快就了解到，当团队成员有呼吸的空间时，最好的工作才能完成。灵活性对每个人都很重要，但是帮助工作家庭的政策可以帮助留住重要的人才。

这里引入的首批政策之一是《工作中的婴儿政策》，该政策允许新妈妈尽快重返工作岗位，同时具有预约所需的灵活性，并能够带婴儿上班而不必担心被判断。

法特玛说：“我不想在做妈妈和我的职业生涯之间做出选择，能够带我的小儿子去工作是一个非常积极的举动，让我感到受到支持和重视。”“我的技能不会在分娩后消失，作为一家初创公司的创始成员，好吧，你只想重返工作岗位！”

她甚至有 与美国广播公司新闻交谈 关于灵活工作的好处：

你有蓬勃发展的导师文化吗？

要让任何人开启良好的职业生涯轨迹并保持势头，找一位导师对他们来说是个好主意。在许多信息技术、网络安全和男性占主导地位的领域，女性高管级别的女性与男性相比存在相当大的不平衡，因此可能有点具有挑战性。

虽然女性在领导岗位上看到 “自己” 很重要，但男性也可以通过提拔团队中的聪明女性并尽可能介入指导她们来提供帮助。

“领导团队可以对组织的多元化产生巨大影响，并确保杰出的女性像其他人一样获得应有的认可和职业道路。我已经在捷星航空网络安全负责人伊薇特·莱金斯那里看到了这一点。她是女子冠军，通过自己的成功和辛勤工作，她付出了回报，并帮助其他女性树立了冲向榜首的信心，” 法特玛说。

就目前而言，Secure Code Warrior刚刚庆祝员工人数达到100人。我很自豪地说，我们在整个企业中有超过50％的女性代表，而Fatemah是所有人的杰出榜样和导师。

所有公司都可以在团队的多元化中找到巨大的力量。来自各行各业的各种意见可能是将好主意转化为好主意所需的秘密要素。一如既往，我们在一起会变得更强大。

有一种众所周知的理论认为，蟑螂基本上可以在任何情况下存活下来，即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的，但它们简单的身体构成使它们对自己的体型极其耐寒，在大多数条件下也很难消除。

我一直在想... 如果蟑螂在数字世界中有类似的漏洞，那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来，这一漏洞一直是众所周知的，但组织一次又一次地成为其受害者。广泛的， 对目标的攻击代价高昂 是 SQL 注入的结果，就像一个例子一样 选举黑客攻击 在伊利诺伊州，有20万份选民记录被泄露，这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。

Imperva的 黑客情报倡议报告 透露，在2005年至2011年之间，在所有报告的数据泄露中，有83％使用了SQLi攻击。今天，注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单，但它们根本不会死。

在大量应用程序安全扫描中仍然出现同样的漏洞，这似乎很荒谬。我们知道它是如何运作的，我们知道如何阻止它。这怎么可能？事实是，我们的软件安全性还有很大的改进余地。

Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据：只有30％的应用程序通过了OWASP前十名政策。在过去五年中，这一直是一个始终如一的主题，近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据；我们没有从错误中吸取教训，首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常，AppSec 专家与开发人员的比例不足 1:100。

为什么软件安全是生命支持？

专业安全人才稀缺已经不是什么秘密了，但我们还必须注意这样一个事实，即开发人员没有在出现问题时修复问题，而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中，据透露，在所有开发漏洞中，仅有14.4％的缓解措施已记录在案。换句话说，大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭，42％的漏洞在开发期间从未关闭过。

我一直在与安全专业人员、首席信息安全官和首席执行官交谈，有趣的是，我意识到许多公司对发现的无法缓解的漏洞（还有被称为误报的祸害）感到非常沮丧，以至于他们完全停止扫描这些漏洞，交叉手画脚，希望得到最好的结果。

为什么 AppSec 专业人员让这种情况发生？

毫无疑问：AppSec 的人们痛苦地意识到代码中的问题。毕竟，这是他们的核心技能之一，使他们成为如此宝贵的团队资源。但是，它们往往受到多种因素的阻碍。

例如，AppSec 经理会发现问题并询问开发人员：“你能修复代码吗？”。这个重要问题的答案因组织而异，但总的来说，开发人员在满足严格的功能交付冲刺时非常紧张，以至于他们根本没有时间解决这些问题，也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞，但他们通常不具备现场修复漏洞的技能和/或权限。

我们还必须认识到，对于每个问题，都有一个过程，需要找到解决方案，实施它，然后进行测试。即使在代码中发现最轻微的问题，修复所需的时间也是巨大的，更不用说所需的资源了。软件中可以引入700多个漏洞，任何人根本不可能抵御所有这些漏洞。正是出于这个原因，大多数公司坚持只关注OWASP前十名。与此同时，开发人员一直在构建功能，反过来，他们不断在编写的代码中引入漏洞。

解决方案是什么？

简单的事实是，我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能，可悲的现实是，大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。

当有人想驾驶飞机时，有一个非常严格的流程，可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象，如果没有如此全面的准备和技能验证，他们会被放任自流，但这就是代码编写中每天发生的事情。

我们需要花时间教育开发人员如何编写安全代码。但是，在当今世界，软件开发节奏很快，优秀的开发人员和安全专业人员供不应求，这似乎从来都不是优先事项。现在是我们改变对话的时候了。

最近的头条新闻来自 世界经济论坛 尖叫：“没有安全就不可能有数字经济”，随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键，使他们能够创新，开发新产品和服务。除了防御作用外，安全还为企业提供了战略增长优势。”

提高安全编码技能和结果将为组织增加强大的网络保护层，帮助他们创建更好、更快的代码。开发人员不需要成为安全专家，但他们必须获得积极和实际的能力，才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人，他们是创造性的问题解决者，并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势，并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。

当有人想驾驶飞机时，有一个非常严格的流程，可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象，如果没有如此全面的准备和技能验证，他们会被放任自流，但这就是代码编写中每天发生的事情。

有许多流行文化提到了流氓 AI 和机器人，以及开启人类主机的电器。它充满了科幻乐趣和幻想，但是随着物联网和联网设备在我们家庭中变得越来越普遍，围绕网络安全和安全的讨论也应该如此。软件无处不在，很容易忘记我们在多大程度上依赖于几行代码来完成所有这些为我们带来巨大创新和便利的巧妙事情。就像基于 Web 的软件、API 和移动设备一样，如果攻击者在野外发现嵌入式系统中的易受攻击的代码，就会被利用。

尽管微波大军不太可能来奴役人类（但是 特斯拉机器人 有点令人担忧）由于网络攻击，恶意网络事件仍然是可能的。我们的一些汽车、飞机和医疗设备还依赖错综复杂的嵌入式系统代码来执行关键任务，这些物体遭到入侵的可能性不仅令人震惊，而且可能危及生命。

就像所有其他类型的软件一样，开发人员是最早接触代码的人，就在创建阶段的开始。就像所有其他类型的软件一样，这可能是潜在的常见漏洞的滋生地，这些漏洞可能在产品上线之前未被发现。

开发人员不是安全专家，任何公司都不应指望他们扮演这个角色，但他们可以拥有更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展，嵌入式系统（通常用 C 和 C++ 编写）将得到更频繁的使用，对于开发人员进行有关该环境中工具的专业安全培训至关重要。

爆炸的空气炸锅、盗贼车辆... 我们在坐视吗？

虽然有 一些 围绕所有安全开发的标准和法规为了确保我们的安全，我们需要在所有类型的软件安全方面取得更精确、更有意义的进展。想到一个可能由有人入侵空气炸锅引起的问题似乎牵强附会，但是 它发生了 以远程代码执行攻击（允许威胁行为者将温度提高到危险水平）的形式出现，导致车辆接管的漏洞也是如此。

特别是车辆，特别复杂，车载多个嵌入式系统，每个系统都负责微功能；从自动雨刮器到发动机和制动功能，应有尽有。联网车辆与不断增加的通信技术（如Wi-Fi、蓝牙和GPS）交织在一起，代表了面临多种攻击向量的复杂数字基础设施。并且 到2023年，全球预计将有7,630万辆联网汽车上路，这是为真正的安全奠定坚实的防御基础。

米斯拉 是积极应对嵌入式系统威胁的关键组织，已经制定了指导方针，以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中都必须努力实现的标准中的北极星。

但是，要创建和执行符合这一黄金标准的代码，需要对工具充满信心（更不用说安全意识了）的嵌入式系统工程师。

为什么嵌入式系统安全技能提升如此具体？

按照当今的标准，C 和 C++ 编程语言已经过时了，但仍被广泛使用。它们构成了嵌入式系统代码库的功能核心，嵌入式 C/C++ 作为联网设备世界的一部分享受着闪亮的现代生活。

尽管这些语言有着相当古老的根源，并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为，但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞，他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。

由于现代汽车中有十几个到一百多个嵌入式系统，因此必须对开发人员进行精确的培训，让他们知道要在 IDE 中寻找什么以及如何修复它。
‍

从底层保护嵌入式系统是每个人的责任

许多组织的现状是，开发速度胜过安全，至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估，但是快速开发出色的功能是黄金标准。对软件的需求只会增加，但这种文化使我们为防御漏洞及其随后允许的网络攻击做好了失败的准备。

如果开发人员没有接受过培训，那不是他们的错，AppSec团队中的某个人需要通过向整个开发社区推荐正确的、可访问的（更不用说可评估的）技能提升计划来帮助填补这个漏洞。在软件开发项目一开始，安全性就必须是头等大事，每个人——尤其是开发人员——都要考虑到他们需要发挥自己的作用。

亲身体验嵌入式系统的安全问题

缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫中时，从安全的角度来看，它可能意味着灾难。

缓冲区溢出尤其普遍，如果你想深入了解它如何危害我们之前谈过的空气炸锅（允许远程执行代码），请查看 这份报告 在 CVE-2020-28592 上。

现在，是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛，看看你能否找到、识别和修复导致这个阴险错误的不良编码模式：
‍

‍

你做得怎么样？参观 www.securecodewarrior.com 用于精确、有效的嵌入式系统安全培训。