安全代码见解

在全球各地，公司正在转型。由于高度关注数字优先业务，可以公平地说，大多数组织实际上是软件公司。大型企业的员工中有庞大的开发团队，他们的任务是在敏捷的 DevOps 环境中持续开发和部署功能。这种功能的交付必须跟上创新的步伐和客户的期望，因此，安全性往往被视为障碍而不是必需品。但是，由于我们对软件的依赖达到了历史最高水平（随后我们面临潜在的网络安全漏洞和风险），这种情况不可能持续下去。

安全团队的规模没有扩大，即使可以，专业知识也供不应求。1:100 以上的比率根本不够；不能将专有安全专家视为应对网络威胁问题的唯一解决方案。

我们的网络研讨会由安全代码勇士总监（美洲）Stephen Allor和Capital One网络安全系主任拉斯·沃尔夫主持，深入探讨了DevOps当前面临的问题，以及像Capital One这样的金融机构正在采取哪些措施来吸引开发团队并提高其安全编码技能，有效培养积极的安全文化并成功 “向左移动”。

你会发现：

• 如果你是安全知识 “黑洞” 的受害者
• 为什么几十年前的安全性比现在更加强大
• 将 AppSec 视为合规性 “复选框” 的传统态度，以及为什么这充其量只能说是肤浅的
• 应用程序质量评估必须将安全性作为基准测试的一部分；不安全的应用程序无论其设计或功能如何，都不能被视为高质量的
• 为什么该行业尚未将软件安全纳入普通开发人员的思维方式和文化（以及为什么这种情况必须改变）
• 缺乏共享安全编码技能如何使相同的漏洞一次又一次地出现
• 为什么应用程序扫描工具无法发现所有漏洞，以及为什么通过使用经过充分培训的安全工程师/开发人员来避开这些漏洞是一种更可行的策略
• 软件漏洞不断增加的问题及其根本原因
• 为什么要真正降低风险，需要改变方法，而不是学生
• 为什么大多数安全教育无法发挥开发者的优势，以及他们需要接受的培训才能脱颖而出
• 软件工程合规性和建立期望落后于其他工程分支的原因，以及我们如何开创解决方案
• 拉斯·沃尔夫及其在 Capital One 的团队如何围绕有趣的游戏化培训设计一项认证计划，以保持开发人员的参与度、学习现实世界的源代码并达到安全最佳实践的基准
• 该认证计划如何促进参与、信息保留和持续学习
• 激励措施如何帮助开发人员完成培训等级、快速提升技能并符合关键安全政策
• 评估如何帮助识别安全卫士和提高培训参与度。

立即观看我们的网络研讨会，按需发掘向左移动的好处，从一开始就向开发人员提供安全编码的工具和知识，重点是积极的安全实践。

了解像 Capital One 这样的金融机构正在采取哪些措施来吸引开发团队并提高其安全编码技能，有效培养积极的安全文化并成功 “向左移动”

网络安全攻击数量的增加及其复杂性的提高推动了全球各个领域和行业的变革。每个人都在试图 “向左移动”，尽早将安全性纳入所有流程和程序。这种情况甚至引发了旨在改善网络防御的全新运动 像 DevSecOps 一样，其中安全性已融入创建新软件和应用程序的结构中。

其中许多转变都落在了开发者社区的脚下。因为他们是创建、编写和编写新软件和应用程序的人，所以要求他们采用更安全的编码做法似乎是个好主意。毕竟，与首次创建新应用程序时相比，你不能向左移动得更远。

但是开发者社区对这种责任有何看法？传统上，开发人员几乎完全根据他们编写代码的速度进行评估，现在他们如何看待他们作为安全捍卫者的新角色？他们是否觉得公司的管理层正在通过高质量的培训、更高的奖励以及他们承担这一关键新责任应得的认可来支持这些努力？

我们连续第二年与 Evans Data Corp. 合作，对全球开发者社区进行了全面调查，调查内容涉及安全编码实践的技能、认知和行为，以及它们在软件开发生命周期 (SDLC) 中的感知影响和相关性。结果在很多方面都令人惊讶。

《2022年开发者驱动的安全状况调查》

Evans Data Corp 于 2021 年 12 月进行了 “安全代码勇士” 开发者驱动的安全状况调查。向在亚太地区、欧洲和北美工作的1,200名活跃软件开发人员提出了有关软件编码、安全意识、培训、支持、动机和其他问题的问题。该调查以英文提供，并在需要时进行翻译，以获得准确的全球视角。受访者包括正在创建新应用程序的开发人员以及开发社区内部的经理。

一些令人惊讶的发现

详细的白皮书（提高软件安全性的挑战（和机遇））和报告（2022年开发者驱动的安全状况）将深入研究调查的各个方面，将于4月11日星期一发布。该白皮书包括我们对社区提出的有关安全编码实践的调查结果和担忧的分析，为各组织提供了增强开发团队提高软件安全性的建议。

其中一些挑战可能会让任何在组织中与开发人员合作的人以及开发社区内部的人们提出疑问——他们确实是这样做的。

例如，当今只有14％的受访者将应用程序安全列为重中之重。相反，应用程序性能以及特性和功能优先级等更传统的指标仍然是他们的总体重点。

安全的优先级如此之低，以至于67％的受访开发人员承认他们经常在代码中留下已知的漏洞和漏洞。他们之所以这样做，要么是因为最后期限很紧，将功能置于安全之上，要么是因为他们根本没有关于如何修复安全问题的必要培训或知识。

在许多情况下，开发人员表示，他们的组织没有定义什么构成安全代码，也没有提供足够的培训或支持来改变这种情况。

但是，尽管有一些负面发现，但很明显，态度正在改变。绝大多数开发人员（66％）预计，在未来12到18个月中，安全性将成为更重要的优先事项，而参与调查的招聘经理中有82％表示有兴趣雇用知道安全的开发人员，而不是不了解安全的开发人员。

尽管从调查结果中可以明显看出，开发者社区和与他们合作的组织正面临着巨大的变化，但值得庆幸的是，近期和长期的计划也在迅速形成。

请继续关注详细介绍完整调查结果的白皮书和报告，以及专家对当前安全编码实践面临的挑战的评论，以及组织在提高开发人员安全技能乃至软件安全性方面可以抓住的机会。

来看看 安全代码勇士 博客页面提供有关网络安全、日益危险的威胁格局的更多见解，并了解如何利用创新技术和培训来更好地保护您的组织和客户。

‍

在过去的几年中，在快速上市的祭坛上牺牲了许多东西，例如网络安全、数兆兆字节的敏感客户数据和无价的品牌声誉。 加速发布新特性和功能的巨大压力导致复杂而分散的团队专注于快速开发，对他们可能造成的漏洞或巨大的风险知之甚少。比以往任何时候都更需要一种新的工作方式。因此，在2020年，Secure Code Warrior与埃文斯数据公司合作，对开发人员及其经理对安全编码、安全代码实践和安全运营的态度进行了初步研究*（下载您的白皮书副本） 这里）。

项目成功的绩效指标——安全性在哪里？

开发人员和经理认为拥有安全代码很重要，但不像其他因素那么重要。当我们向开发人员和经理询问软件开发过程中最关键的优先事项时：

• 76% 的提名应用程序性能
• 62% 选择了特性和功能
• 还有略高于50％的选定安全码
  

与衡量项目成功的其他绩效指标相比，安全编码目前仅排在三分之一。

目前（也许不足为奇）开发人员根据性能指标来判断项目的成功，这些指标只能在项目完成后评估代码。

但是，当被问及未来会如何变化时，情况发生了翻天覆地的变化。组织如何将安全作为衡量成功的标准正在发生变化。安全编码已成为当务之急。

当被问及衡量未来项目成功率的最关键优先事项时，79％的受访者认为安全编码的重要性将增加。令人惊讶的是，与任何其他绩效指标相比，有更大比例的人认为安全在未来的重要性会增加。人们对安全编码的认识正在提高，“向左移动” 的运动也在不断提高。就其本质而言，安全编码的实践意味着在SDLC的早期就考虑安全性。这意味着从一开始就积极构建软件中的安全性，而不是将其留到以后再做。

随着首席信息官努力提高组织灵活性，安全编码能力将成为重要的创新武器。首席信息官和首席信息安全官应仔细考虑他们的开发团队是第一道风险线还是第一道防线。

这种见解对组织如何培训开发人员具有至关重要的影响。团队需要了解最近发现的漏洞，并使用自己的语言/框架进行学习。简而言之，他们需要了解如何在日常工作环境中定位、识别和修复代码中的已知漏洞。

作为安全编码变革的拥护者，Secure Code Warrior采用以人为本的方法，积极让开发人员学习和培养他们的安全编码技能。如果你想了解对你的团队在不影响安全性的情况下向左启动和更快地交付安全代码的能力的潜在影响， 立即预订演示。

‍

‍*从反应转向预防：应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020

At Secure Code Warrior, we are constantly innovating to improve our customer experience and add value through the platform.

This month, we have released new updates to the Courses admin experience, the ability to get early access to new features with less wait time, and SAP:ABAP content.

Now administrators can more easily manage Courses with a better end-user experience, thanks to a powerful tabular view with the ability to perform bulk actions across languages and vulnerability categories. Plus, you can now get early access to new features with the help of a simple on-off toggle.

Let's dive in and find out more!

Create and manage courses more easily with our new Courses creation experience

Now you can easily design and deploy Courses across multiple learning paths and languages through bulk actions. Instead of taking time to replicate the process, you can place more focus on the content and strategy to help your developers learn more effectively.

Currently, Courses creation flow updates are available for company admins to use.

Save time designing Courses with a powerful tabular view and search experience

Course information across all languages and vulnerability categories is now accessible in a single view, making it easier for you to create courses for different development teams quickly.

Thanks to the new tabular view, you can easily see an overview of content at a glance or drill down into the details. Course content is also easier to navigate now, as it is grouped by language and vulnerability categories with additional details, such as activity types, difficulty, and more at each group level.

You can even narrow it down to the details you want to focus on by using the search function, or by applying filters. Plus, table data can be exported into another application or analyzed further by exporting all or filtered rows into a CSV file.

‍

Do more with fewer clicks with bulk actions

You can make bulk changes to the course from one place instead of applying changes across every language. Bulk actions will save admins time and let them focus on what matters—designing the right course experience for developers.

New bulk actions include:

• Add a course focus, such as OWASP Top 10 or specific vulnerability categories for all languages
• Add languages to a course and update content quickly
• Copy, lock or unlock modules for selected or all rows
• Remove languages or modules from the course
• Set up a welcome and end-of-course message in one go for all languages

‍

End-of-course assessment pathways

Now you can tailor end-of-course assessment for each language and manage it from a single view.

You can easily create tailored assessment pathways, based on language and course types, to measure and evaluate skills upon course completion.

Get early access to new features

‍

In the past, if you wanted to know what new features are coming and try them out before general availability, you would need to talk to your Customer Success Managers and wait for our team to turn features on for you.

Now you have control over when and which feature to turn on for your team with just a simple toggle in the Administration tab. No more wait time is needed.

Simply go to Administration > More > Early Access to try it out.

This functionality will be utilized for more features, especially those that involve significant changes to user experiences—allowing you to better control your experience.

Curious what features are available for early access? Check out some of the current options:

> An improved home page view for a more unified experience

> Courses updates:

1. Preview Status mode
2. Bulk actions on course content
3. Global welcome message
4. End-of-course activity improvements

Currently, the Early Access options are available for company admins to use.

Secure ABAP applications with newly released training content

Now developers coding in ABAP can join in on the fun of highly engaging and relevant secure coding training! The new training will help developers improve their secure coding skills and reduce vulnerabilities in ABAP code.

With Secure Code Warrior coding challenges and Missions (hands-on labs), you can provide a program that covers:

1. Self-paced training that developers can enjoy at the time they need it
2. Targeted learning pathways that align with compliance, security frameworks, or developer skill levels
3. Fun coding competitions
4. Secure coding competency assessments

Read more about our ABAP training content here.

------

Interested in trying out Secure Code Warrior but don’t have an account yet? Sign up for a free trial account today to get started.

That’s a wrap on this month’s new capabilities! Follow Secure Code Warrior on Twitter to get updates about the latest releases and improvements.

当软件漏洞被视为事后考虑或创新的障碍时，组织就会为数据泄露、声誉损害和昂贵的法律责任打开大门。网络攻击通常利用代码中的漏洞，而这些漏洞本来可以通过更强的开发实践来避免。

安全编码通过将安全原则嵌入到开发的每个阶段来应对这些挑战。开发人员编写的代码不是在发现漏洞后实施修复，而是使用内置保护措施来抵御注入攻击和跨站脚本 (XSS) 等常见威胁。让我们仔细看看安全编码如何帮助您的公司降低风险、维护用户信任并遵守监管要求，同时提供可靠、高质量的软件。

什么是安全编码？

安全编码是在编写软件以解决潜在漏洞时遵循安全最佳实践的原则。安全编码没有将安全性视为一个单独的开发阶段，而是集成了从最早阶段开始就经过验证的保障措施，确保开发人员掌握代码安全的所有权并具备有效应用代码安全的技能。

对于希望避开攻击者利用的常见陷阱的开发人员来说，由开放全球应用程序安全项目（OWASP）或软件工程研究所的CERT部门等组织制定的公认安全编码标准可以充当北极星。在当今的网络安全环境中，持续建立基本的实践安全编码技能以将这些策略安全地实施到现有工作流程中是不可谈判的。例如，验证尽可能多的用户输入可以防止 SQL 注入攻击，而输出编码有助于阻止 XSS。这些和其他安全编码实践降低了泄露风险，并使应用程序更具弹性，可以抵御不断变化的网络威胁。

为什么安全编码如此重要？

安全编码很重要 因为许多成功的网络攻击都利用了开发过程中本来可以预防的漏洞。通过从一开始就优先考虑安全做法，可以降低引入漏洞的可能性，攻击者可以利用这些漏洞破坏数据或破坏运营。将安全性纳入软件开发生命周期 (SDLC) 的每个阶段，可确保在设计每项功能、更新和集成时都考虑到保护。

开发期间主动解决风险的成本远低于部署后修复风险的成本，在部署后修复可能需要紧急补丁、停机和事件响应资源。它还提高了对数据保护法规的合规性，避开了潜在的罚款和法律挑战。 安全编码实践 还可以培养消费者对贵公司的信任，并将强大的安全性作为品牌声誉的一部分。

常见的代码安全漏洞

安全编码旨在防止攻击者利用的最常见和最危险的漏洞，以及新出现的威胁载体，例如使用人工智能编码工具时出现的威胁载体。以下概述了几种常见漏洞、它们可能造成的损害，以及安全编码如何帮助缓解这些漏洞。

反序列化缺陷

反序列化缺陷 当应用程序未经适当验证就接受和处理来自外部来源的数据时发生。序列化将对象转换为可以存储或传输的格式，而反序列化则重建这些对象以供使用。反序列化缺陷的影响可能很严重，导致执行任意代码或权限升级。安全编码通过确保仅对可信的、经过验证的数据进行反序列化以及尽可能避免对不可信输入进行原生反序列化来解决这个问题。

注射攻击

注射攻击 当攻击者提供的输入被应用程序解释为命令或查询的一部分时发生。最著名的类型是 SQL 注入，在查询中插入恶意 SQL 语句以访问或更改数据库内容。其他类型包括命令注入，即攻击者执行任意命令，以及轻量级目录访问协议 (LDAP) 注入。注入攻击的后果是广泛的，从未经授权的数据访问和删除到整个系统的入侵。包含敏感的个人、财务或专有信息的数据库是主要目标。安全编码通过使用参数化查询或预处理语句、在处理不可信数据之前对其进行转义以及强制执行严格的输入验证来帮助防止注入漏洞。这些和其他安全编码做法可以阻止攻击者改变应用程序的预期行为。

跨站点脚本 (XSS)

跨站点脚本 (XSS) 是一种针对 Web 应用程序的注入攻击，通过在其他用户查看的页面中插入恶意脚本。当应用程序在其输出中包含未经验证的用户输入时，通常会发生这种情况。当其他用户的浏览器呈现该页面时，恶意脚本就会运行，这可能会窃取 Cookie、捕获击键或将其重定向到恶意站点。

XSS 的影响可能包括会话劫持和身份盗用。对于企业而言，这会削弱客户的信任，如果敏感数据遭到泄露，可能会导致监管后果。安全编码通过在显示用户提供的所有输入之前对其进行消毒和编码，使用自动转义输出的框架，以及实施内容安全策略 (CSP) 来限制脚本可以运行的内容，从而解决 XSS 问题。

访问控制

访问控制漏洞 当有关用户可以看到或执行的内容的规则未得到正确定义或执行时，就会发生。访问控制中断允许攻击者绕过预期的用户角色限制，有可能读取敏感数据、修改记录或执行仅针对特权用户的操作。

访问控制问题构成了重大挑战，尤其是人工智能编码工具， 一直在挣扎 有效解决这一漏洞类别，强调对开发人员技能和意识的需求。访问控制中断的影响是巨大的。例如，如果攻击者可以访问仅限管理员的功能，他们可以禁用安全设置、提取私人信息或冒充其他用户。

安全编码实践通过对每个请求强制执行服务器端授权检查来应对这些风险，遵循最小权限原则，避免完全依赖隐藏（例如隐藏链接）作为安全措施。此外，进行严格的访问控制测试有助于确保这些保护措施长期保持强有力。

跨站请求伪造 (CSRF)

跨站请求伪造 (CSRF) 攻击 强制用户在经过身份验证的另一个站点上执行不必要的操作。这可能是转移资金、更改电子邮件地址或修改账户设置。该攻击之所以奏效，是因为浏览器会在伪造的请求中自动包含有效的身份验证令牌，例如cookie。

安全编码通过实现每个用户会话所独有的反 CSRF 令牌并在每次状态更改请求中对其进行验证来防御 CSRF。其他防御措施包括要求对关键操作进行重新身份验证，以及在 cookie 上设置 SameSite 属性以防止它们通过跨站点请求发送。通过将这些保护措施嵌入到开发生命周期中，可以使您的系统更有可能仅处理合法的故意操作。

不安全的身份验证

不安全的身份验证 当验证用户身份的过程薄弱、可预测或存在其他缺陷时发生。这可能是由于密码策略不佳、凭据存储不安全或缺少多因素身份验证 (MFA) 造成的。攻击者可以通过多种方法利用这些漏洞，包括暴力攻击、凭据填充或截获传输中的未加密凭证。不安全的身份验证的影响非常严重，因为它可以让攻击者直接访问用户帐户、管理控制和敏感数据。一旦进入内部，他们可能会进一步危害系统或窃取有价值的信息。

安全编码通过强制执行严格的密码要求、对存储的凭证进行哈希处理和加盐、对所有身份验证交换使用 HTTPS 等安全协议以及集成 MFA 以提供额外的验证层来解决此漏洞。开发人员还应设计登录机制来限制失败的尝试并尽早发现可疑活动，因此身份验证系统可以充当强有力的防线，而不是薄弱环节。

需要遵循的 6 种安全编码惯例

构建安全软件 所涉及的不仅仅是知道存在哪些威胁。它需要学习并整合经过验证的安全编码实践和模式。以下技术为开发人员提供了切实可行的步骤，使安全性成为每个项目不可或缺的一部分。

1。实现用户访问控制

如上所述，用户访问控制意味着为系统中的每个用户角色定义和强制执行权限。强大的访问控制可防止未经授权的用户查看敏感数据、修改记录或执行管理操作。它还限制了用户帐户遭到入侵时的损失，因为攻击者只能拥有该帐户的权限。

有效的用户访问控制需要强大的身份验证来验证身份，然后进行授权检查以确认经过身份验证的用户是否有权执行所请求的操作。您应定期审查您的访问控制做法，以符合最小权限原则，为用户提供完成工作所需的最低访问权限。访问控制还依赖于定期监控来保持系统中的策略和用户处于最新状态，还依赖审计来快速标记任何异常活动。

2。验证和清理数据

验证和清理数据包括在处理之前检查所有传入的输入以确保它们符合预期的格式、类型和模式，然后清理数据以删除潜在的危险内容。这些做法应适用于来自任何外部来源的传入数据，因为即使是可信来源也可能受到损害，因此在验证之前，应将所有输入视为不可信数据。通过将验证和清理纳入开发流程，您可以保持应用程序抵御注入攻击等常见威胁的弹性。

3.用现代语言写作

安全编码不仅仅是你如何编写代码。它还涉及选择能够更轻松地避免引入安全漏洞的工具和环境。尽管对于许多企业来说，完全迁移到现代语言通常不是一个现实或有效的选择，但至少在某种程度上使用现代编程语言，并使用所有所选语言的最新版本，可以提高软件安全性。现代语言和框架通常提供更好的内存安全性、更强的类型检查以及针对常见漏洞的内置保护。例如，像 Rust 和 Go 这样的语言在设计时就考虑到了安全性，这有助于防止旧语言更容易出现的缓冲区溢出等问题。

诸如 Java 或 Python 之类的既定语言可能难以实现现代化和安全，但与最新版本保持同步可确保您获得最新的安全功能和性能改进。许多更新修补了已知漏洞，弃用了不安全的功能，并提供了更安全的默认设置。

4。练习守则混淆

代码混淆是使攻击者更难理解、逆向工程或操纵源代码或编译后的代码的过程。虽然它不能取代其他安全措施，但它通过隐藏应用程序的逻辑和敏感例程不被窥探，增加了另一层防御。混淆可能涉及诸如将变量和函数重命名为无意义的标识符或以更难理解的方式重组代码之类的技术。

目标是提高攻击者发现和利用漏洞所需的成本和精力。在安全编码中，模糊处理与其他强大的安全措施一起使用，使您的应用程序成为不那么有吸引力的目标。

5。扫描并监控您的代码

安全编码实践还包括主动扫描和监控您的代码。静态应用程序安全测试 (SAST) 工具在部署之前分析源代码中是否存在已知漏洞，而动态应用程序安全测试 (DAST) 工具则实时测试正在运行的应用程序中是否存在可利用的漏洞。结合这两种方法可以帮助您及早持续发现问题。

除了在开发期间进行扫描外，在生产环境中实施持续监控也至关重要。这包括为异常活动设置警报、记录安全事件以及利用运行时应用程序自我保护 (RASP) 工具实时检测和阻止攻击。定期扫描和监控可确保即使漏洞在开发过程中漏洞，您也可以在造成重大损害之前快速解决这些漏洞。

6。记录和实施安全编码标准

记录安全编码标准包括创建一套明确的指导方针，以定义团队的方式 编写安全、可维护且合规的代码。这些标准应涵盖输入验证、错误处理、加密实践和会话管理等主题，以及如何解决特定于您的技术堆栈的常见漏洞。

制定这些标准可确保所有开发人员，从初级工程师到高级架构师，都遵循相同的安全原则。当与培训和定期更新相结合时，这些标准将成为一种活生生的资源，使您的开发过程与最新的安全要求保持一致。

安全编码标准和框架

如果您在制定自己的编码标准方面寻求帮助，以下常用指南可以提供帮助。它们涵盖了一系列解决常见漏洞的实践，可以帮助阐明如何使您的编码工作与行业最佳实践保持一致。

OWASP 安全编码实践

对于想要从头到尾在代码中嵌入安全性的开发人员来说，OWASP 是最广泛认可的来源之一。它生成关键的安全编码资源，例如 OWASP 开发人员指南 还有 OWASP 前 10 名。OWASP 的方法具有很强的可操作性，提供了 清单 以及开发人员可以在开发过程中应用的编码技巧。

遵守 OWASP 指导方针可以为项目间的安全编码创建通用基准，从而使团队受益。由于OWASP会定期更新以反映新的威胁载体和攻击技术，因此组织可以使用它来领先于新出现的风险。通过将 OWASP 的原则构建到您的工作流程中，您可以提高代码质量、减少漏洞，并与广泛接受的行业指南保持一致。

NIST 安全软件开发框架

美国国家标准与技术研究所（NIST）发布了全面的安全编码指南 更广泛的网络安全框架。除了提供有关高级安全软件开发实践的信息外， NIST 安全软件开发框架 (SSDF) 提供通用词汇，可改善公司团队之间和团队之间在关键问题上的沟通。它侧重于结果而不是特定技术，因此最好作为OWASP或SEI CERT编码标准等其他标准的补充。

SEI CERT 编码标准

由软件工程研究所（SEI）的CERT部门开发， SEI CERT 编码标准 重点防范特定编程语言中的安全漏洞，包括 C、C++、Java 和 Perl。每种特定语言的标准均包含安全编码规则、详细说明以及合规和不合规代码示例。由于 CERT 编码标准涉及特定编程语言的细微差别和怪异，因此它们对于在这些环境中工作的开发人员来说非常有价值且可操作。

微软安全开发生命周期

微软的安全开发生命周期 (SDL) 是一组旨在使安全性成为软件开发过程不可分割的一部分的做法。它包括以下方面的建议 10 个重要话题，包括威胁建模、开发人员安全培训和保护软件供应链。微软自己也使用这种方法，因此组织可以从协调开发人员、测试人员和安全团队的经过测试的流程中受益。

ISO/IEC 27001

ISO/IEC 27001 最著名的是信息安全管理系统 (ISMS) 的标准，但它对安全编码也有很大的影响。虽然它侧重于建立全组织范围的ISMS，但它包括 安全编码原则。这些建议提供了组织在实施安全编码实践时可以遵循的高级指导。

AI 安全规则

人工智能编码工具比以往任何时候都更方便，但如果使用它们不能生成安全、准确的代码，则弊大于利。安全代码勇士 AI 安全规则 — 同类产品中的第一个 — 提供指导 介绍与 GitHub Copilot、Cline、Cursor 和 Windsurf 等人工智能工具一起使用的安全编码最佳实践。这些规则使您的AI编程助手步入正轨，并设置了护栏，将不安全代码的风险降至最低。

从一开始就学习如何创建安全代码

安全编码不仅仅是一项技术要求——它是一项关键的业务优势。当您的团队从一开始就编写安全代码时，您可以防止代价高昂的漏洞，降低数据泄露的风险，并提供客户可以信赖的软件。但是，如果没有结构化指导，掌握安全编码实践可能尤其具有挑战性。开发人员需要现实世界的实践、对不断变化的威胁的最新知识，以及一种在每行代码中自信地应用安全原则的方法。

安全代码勇士通过了 ISO 27001 认证，符合 SOC 2 标准 敏捷学习平台 这正是你的团队所需要的。通过有关特定语言的安全最佳实践、现实的编码挑战以及为各种角色精心策划的内容的培训，它将安全从事后的想法变成了开发过程的自然组成部分。开发人员培养了尽早识别和修复漏洞、符合行业标准并在整个软件开发生命周期中完全掌握代码安全所有权的技能。使用Secure Code Warrior的公司将软件漏洞减少了53％，实现了高达1400万美元的成本节约，并且92％的开发人员希望接受更多培训也就不足为奇了。

如果你想看看你的团队如何从第一天起就能编写出更安全、更强大的代码， 立即预订 Secure Code Warrior 演示。

在 Secure Code Warrior，我们不断创新，帮助开发人员和组织掌握正确的技能，以应对当今不断变化的安全挑战。我们通过敏捷安全编码学习平台来做到这一点，该平台使开发人员能够通过当今业内最完整、最可靠的漏洞内容来学习他们想要的方式。

在过去的一个季度中，除了通过更简单的 SCIM 配置管理用户外，Secure Code Warrior还采用了新的方式，让公司管理员将锦标赛扩展到多个品牌和实体。我们还很高兴地宣布，Jira 中提供了新的编码指南，预览版中还提供了性能概述报告和新的程序工作流程。

让我们深入了解更多！

扩展 SCW 平台的广度和深度

Secure Code Warrior对新内容的持续扩展有助于保持我们的模块的相关性、及时性，并根据您在当今网络安全环境中需要了解的内容量身定制。凭借业界领先的 60 多种语言的广度和深度，可以轻松地使用多种语言和框架为开发人员构建和扩展敏捷学习计划。

现已推出：Jira 中的编码指南

在我们的 Jira 集成中增加了指南，为开发人员提供了涵盖安全缓解措施的情境学习。指南比视频更深入，侧重于特定的语言或框架，并提供代码片段以帮助开发人员更快地解决问题。除了访问视频和挑战之外，开发人员现在还可以直接在 Jira 问题中阅读编码指南，以获取深入的补救建议。

现已推出：新的前端开发者内容

前端开发人员也需要安全的代码支持！这就是为什么我们在任务和演练中发布了额外的前端漏洞。前端开发者还可以通过课程访问前端特定任务。

这些更新力求全面涵盖前端特定的漏洞——从基于 DOM 的 XSS 等常见漏洞到 CSS 注入等不太常见的漏洞。分步演练为前端开发者提供了有关如何利用漏洞的可信指导，而更高级的开发人员还可以在锦标赛的前端任务中测试自己的技能。

扩展安全文化的激动人心的新方法

现已推出：多公司锦标赛

‍

可以创建多公司锦标赛，以实现来自多个业务实体、公司子公司、合作伙伴和其他公司的开发人员之间的友好竞争。这确保了安全的编码文化可以扩展到整个组织及其多个品牌。

有兴趣参加终极多公司锦标赛吗？ 报名参加第三届年度 Devlympics -SCW 的网络安全宣传月全球锦标赛！如果你已经是客户，你可以 通过平台注册。

简化管理员和开发人员体验

现已推出：课程筛选

在课程管理页面上应用其他筛选条件的功能使管理员可以更轻松地向下筛选他们想要学习的课程。课程可以按多个属性进行筛选，例如状态、结束日期和注册的团队。

现已推出：使用 SCIM 管理您的 SCW 许可证

现在，程序所有者和公司管理员可以通过编程方式大规模管理开发人员，并且可以放心地知道访问控制始终是最新的。

SCIM 配置使用您的身份提供商来同步对安全代码勇士的访问权限。自动执行这些任务可确保准确性、安全性和合规性，从而在配置用户时节省时间和资源。目前，SCW 仅支持用户级别的 SCIM 配置，尚不支持 SCIM 群组。

提供预览版：程序工作流程

 现在，通过对平台的关键可用性进行了改进，配置可扩展且引人入胜的安全代码教育计划比以往任何时候都更加容易。创建课程的目的是通过将课程和评估排列为多级课程来为学习者提供更多指导。现在，已在平台中启用预览功能的客户可以使用自动化程序工作流程。程序工作流程可确保开发人员知道从哪里开始，可以导航到下一步，并在安全的代码学习程序中轻松完成不同级别。它还使公司管理员能够减少花在设置、管理程序和推动开发人员完成下一次学习活动上的时间。

需要一些有关如何在组织中启动安全代码学习的小贴士吗？阅读我们的 手册 关于如何构建程序以实现安全目标。

报告和项目见解

提供预览版：性能概述

作为公司管理员，监控整个组织的活动对于了解开发人员参与情况和衡量安全代码学习计划的成功与否至关重要。我们构建了增强的报告界面，可确保公司管理员从报告中收集最具可操作性的见解。

性能概述可深入了解开发人员课程和评估的完成情况，以及一段时间内的平均准确性。该报告还生成了有见地的行业基准，以查看您的计划与所选评估的行业平均评估分数相比如何。

这份简单而强大的报告标志着Secure Code Warrior计划于2024年发布的一系列见解和指标的开始。

有兴趣试用 Secure Code Warrior 但还没有账号吗？立即预订演示以了解更多信息。

这是本季度新功能的总结！开启关注安全代码勇士 领英 和 X（前身为 Twitter）) 获取有关最新版本和改进的更新。

‍

‍

世界正在迅速变化，无论是公司还是产品，都越来越依赖数字化和软件。开发人员发布代码的速度比以往任何时候都快，但仍有75％的代码由AppSec团队检查和标记，以发现常见且易于预防的漏洞。

如果不将安全代码和安全性作为软件开发过程的关键部分，则存在巨大的风险。实际上，去年，全球数据泄露的平均成本已增加到435万美元（IBM 2022年数据泄露成本报告）。开发人员需要引人入胜的创新培训来应对新的威胁，也需要进行文化变革，以转变与安全团队合作留下的以安全为导向的思维方式。

在 Secure Code Warrior，我们不断创新，帮助开发人员和组织掌握正确的技能，以应对当今不断变化的安全挑战。我们通过高度参与性、灵活且易于管理的培训计划来实现这一目标。

在过去的一个季度中，我们一直致力于通过 Coding Labs（新增预览版）构建新的学习方式，启用了 LMS SCORM 集成，创造了更易于访问和更具包容性的用户体验，同时简化了管理员体验以帮助节省时间。

让我们深入了解更多！

宣布编程实验室 — 更高级别的学习

在最近的一项行业调查中（《2022年开发者驱动的安全状况报告》），40% 的开发人员表示他们的培训还不够实际操作。Coding Labs 通过动手培训、真实的编码和直观的反馈，帮助开发人员提高安全编码技能，所有这些都在熟悉而强大的浏览器内部 IDE 中完成，使从学习到实践变得比以往任何时候都更容易。

开发人员不必得到不明确和令人沮丧的 “对与错” 指导，他们还可以确信他们正在以正确的方式学习，并通过实时和情境反馈提高理解能力。Coding Labs 支持开发人员实现防止安全漏洞和改善组织安全态势的目标。

作为 SCW 平台的一部分，这种新体验为开发者赋能带来了全新的视角。领导者可以制定培训计划，让开发人员为成功做好准备，通过平易近人的学习方式，满足开发人员的现状。通过平易近人的指导性培训，指导人们克服新漏洞，逐步获得更具挑战性的实践体验，例如编程实验室。领导者可以确信，开发人员会发现培训更具吸引力，更易于保留，并最终应用于代码库以减少漏洞和返工。

Coding Labs 现已提供预览版，如果您是 SCW 客户，请联系您的客户经理，了解有关获取访问权限的更多信息。

不是 SCW 客户，但想随时了解 Coding Labs 的可用性吗？填写表格 这里。

加入 SCW，了解我们的产品创新并观看编程实验室演示。注册参加网络研讨会 这里。

将安全代码培训与您首选的 SCORM LMS 集成在一起

即将推出，SCW 管理员可以更轻松地管理他们的安全代码培训计划以及其他培训平台，而无需手动开发。这将节省时间，并帮助管理员专注于更有影响力的方法来改进他们的培训计划。

如果你不熟悉，SCORM 表示可共享的内容对象参考模型 并且是电子课程的国际标准。如果你的课程以 SCORM 格式发布，你可以确定几乎所有的学习管理系统 (LMS) 都能识别它。

通过新的 SCORM LMS 集成，您可以：

• 将安全代码培训直接整合到您的首选 LMS 中，以便在一个地方管理参与者和作业
• 跟踪组织的进度和完成情况

‍

确保您的 SCW 程序直接内置到您首选的开发人员工作流程中，以增强用户体验。可以下载用于课程和评估的SCORM压缩包，从而实现LMS与SAP SuccessFactors、Workday、Cornerstone等热门平台的无缝集成。

LMS SCORM 集成将于 10 月向客户提供预览版，请联系您的客户经理了解更多信息。

扩展 SCW 平台的广度和深度

Secure Code Warrior对新内容的持续扩展有助于保持我们的模块的相关性、及时性，并根据您在当今网络安全环境中需要了解的内容量身定制。凭借超过 55 种语言的业界领先的广度和深度，可以轻松构建和扩展用于培训开发人员使用多种语言和框架的程序。

使用新发布的培训内容保护 ABAP 应用程序

在我们的基础上再接再厉 发布 在春季，我们很高兴推出新的训练方式，通过6个全新的演练和14个任务，为使用ABAP进行编程的开发人员提供训练。

通过新的挑战和内容获得灵活多样的教育

Secure Code Warrior 致力于不断发布符合不同技能水平的内容，同时保持我们的培训模块的相关性和挑战性。本季度，SCW为流行的编程语言发布了更多内容，例如：

• 33 个额外的 RPG 挑战，这是客户的最高要求
• 能够在 RPG 中创建锦标赛
• 10 个额外 Python Django 挑战

所有新内容现在都可以在挑战池中使用，可以在平台上玩。

简化管理员和用户体验

现在，通过对平台的关键可用性进行了改进，配置可扩展且引人入胜的安全代码培训计划比以往任何时候都更加容易。

轻松编辑已发布的课程

使用编辑现有计划的新方法，跟上组织和培训计划不断变化的需求。课程版本控制允许管理员编辑其现有课程，而无需创建全新的课程。这是客户最需要的功能之一。

更新包括：

• 向已发布的课程添加新语言
• 在课程中添加/更新/删除模块和活动内容
• 添加/更新/删除课程结束活动
• 该平台将保存课程的主要版本以创建基本版本控制

从主屏幕访问课程

在新主页上添加 “继续” 按钮可显示活动卡列表，以帮助用户快速恢复之前启动的模块。用户现在还可以在主屏幕上看到一个窗口，以查看所有未完成的模块

这使用户在必须暂停课程或评估时可以有效地从上次停下来的地方继续学习，而不会丢失任何进度。

‍

这两个功能都适用于在平台上启用了抢先体验的账户。如有任何有关访问权限的问题，请联系您的客户经理。

包容性和可访问性的设计

在 Secure Code Warrior，我们相信语言和设计有能力搭建桥梁和增进理解，在我们倡导安全编码的使命下，将不同的用户群体联系在一起。我们的目标是创造和提供包容性和无障碍的体验，我们很高兴在无障碍设计方面取得持续进展。

繁体中文现已推出

通过在平台上的语言中添加繁体中文，我们将继续建立一个真正的全球开发人员社区，他们可以访问成为安全卫士所需的工具。

您可以从设置的下拉菜单访问语言。我们的资源部分还提供繁体中文和视频字幕。

参加 2022 年 10 月 5 日的 ProductTalk 网络研讨会。

想了解更多？参加我们于 2022 年 10 月 5 日举办的 ProductTalk 网络研讨会，听取我们产品团队成员对激动人心的更新和新功能的看法，并了解不断变化的开发者驱动的安全格局。

注册参加网络研讨会 这里。

有兴趣试用 Secure Code Warrior 但还没有账号吗？注册参加 免费试用账户 今天就开始吧。

这是本季度新功能的总结！关注 推特上的安全代码勇士 获取有关最新版本和改进的更新。

不安全的代码使公司损失了数百万美元——那么是什么阻碍了采用安全编码做法呢？

在一个几乎所有事情都依赖软件的世界里， 确保代码安全至关重要。品牌声誉和财务可行性取决于此。话虽如此，人们对安全编码存在许多担忧，还有许多阻碍其全面有效采用的障碍。比以往任何时候都更需要一种新的工作方式。因此，在2020年，Secure Code Warrior与埃文斯数据公司合作，对开发人员及其经理对安全编码、安全代码实践和安全运营的态度进行了初步研究*（下载白皮书） 这里）。

‍目前，组织发现很难实施安全的代码实践。 开发人员和经理都发现处理漏洞和对代码负责尤其令人担忧。

显然，需要更好的培训和支持安全代码实践的计划。当我们向开发人员及其经理询问他们对安全编码的担忧时，这种需求就显而易见了。我们的研究*表明，这两个群体有着相同的基本关注点。但是，由于他们的角色不同，他们在哪些问题中最紧迫的问题上存在分歧。

开发人员最关心的是 “包括复制先前漏洞的代码”。当根据他们的代码质量来评判开发人员时，这并不奇怪。任何开发人员都不想成为不安全代码的来源，或者需要返工并拖慢团队速度的代码。

开发人员关注的第二大问题是处理同事引入的错误。遵守最后期限和对代码负责也是重中之重——学习安全代码具有挑战性这一事实也同样如此，这再次反映了对安全代码培训新方法的需求。

另一方面，经理们更多地采取自上而下的视角。

作为团队经理和领导者，他们最关心的是对代码负责。如果一个团队生成了糟糕的代码，那么责任就不在它的经理身上。

其次是复制先前漏洞的代码。学习过程具有挑战性这一事实排在第三位。如当前 安全代码培训 方法没有奏效，管理人员意识到需要一种新的方法。‍

采用安全编码做法的障碍

当我们向经理询问组织中采用安全编码做法的障碍时，有两件事显而易见：沟通和培训。

45％的人认为利益相关者与管理层之间缺乏沟通是重大障碍。42％的人哀叹新员工缺乏安全的编程技能。 同时，40％的人表示培训时间和资源不足。

在整个组织中成功采用安全代码实践存在与流程和人力资源相关的障碍。

但是，尽管存在这些棘手的问题，你仍然可以取得进展。新员工缺乏安全编程技能以及培训和资源不足的问题更容易解决。

在阻止漏洞方面，开发人员处于战斗的第一线。但是，他们是否获得了支持、工具和培训，以支持他们在安全协议中的作用？

根据他们的担忧，简短的答案是 “不”。

事实是，正确的培训不应该像一场讲座。

作为安全编码变革的拥护者，Secure Code Warrior采用以人为本的方法，积极让开发人员学习和培养他们的安全编码技能。我们久经考验的学习平台为开发和安全团队提供在其首选工作流程中的情境和高度相关的学习。它使他们不仅能够发现漏洞，而且可以从一开始就防止漏洞的发生。

这种实践培训是一种提升技能的机会——这种职业转变只会对认真对待阻止漏洞并与团队其他成员合作制定更高标准代码的开发人员产生积极影响。

如果您想了解更多信息，并了解对团队在不影响安全性的情况下更快 “从左开始” 和更快地发布安全代码的能力的潜在影响， 立即预订演示。

‍*从反应转向预防：应用程序安全性面貌的变化。 安全代码勇士和埃文斯数据公司 2020

BSIMM 8 出来了！太棒了。这是唯一一项关于大型组织为生产安全软件而采取了哪些安全措施的大规模研究。

该研究由应用程序安全专业人员在 Gary McGraw 的监督下进行，确保收集的数据一致、准确，并深入了解了 300,000 名开发人员的日常工作。在我最新的演示中，我引用了 BSIMM 的数字，其中提到平均每100名开发人员中有2名应用程序安全专业人员。

但是，自 BSIMM4 以来，情况并非如此。BSIMM8 报告说，这个数字甚至更少，目前为每 100 名开发者 1.6 人。由于人才短缺，雇用更多的应用程序安全专业人员根本行不通。我们比以往任何时候都更需要为开发人员提供工具和培训，让他们能够编写可供组织动手操作、随时可用且可扩展的安全代码。

该报告还显示，培训实践中最常见的活动是向所有员工提供意识培训，占67％。我开始绘制我们在Secure Code Warrior（SCW）的培训实践中所做的事情，并意识到我们的解决方案可以勾选培训实践中的所有 12 项活动，从级别 1（大多数公司都这样做）到 3 级（很少有公司这样做）。

一个可以用来涵盖整个练习的单一解决方案！在 12 种培训实践中，Secure Code Warrior 解决方案中最有趣的实践是：

• 级别 1：提供意识培训
• 级别 1：按需提供个人培训
• 级别 2：通过训练增强卫星（SCW 指标）
• 第 3 级：通过课程奖励进度（SCW 徽章）
• 级别 3：为供应商或外包员工提供培训（SCW 评估）
• 级别 3：举办外部软件安全活动（SCW 锦标赛模式）
• 级别 3：通过训练识别卫星（SCW 指标）

你有信心你当前的解决方案可以解决这些问题吗？