安全代码勇士研究：关键基础设施行业在安全设计开发人员就绪性方面取得进展

与Paladin Global Institute合作进行的新分析表明，迫切需要提高开发人员的技能，以正确衡量安全设计的进展 

‍

波士顿 — 2024 年 10 月 15 日 -今天， 安全代码勇士，由开发者驱动的全球安全领导者， 发布了新发现 关于开发人员技能提升及其对组织安全设计（SBD）计划的影响。自 2024 年 4 月以来，超过 200 家公司，包括 Secure Code Warrior，已经签署了 “通过设计确保安全” 的承诺。新的分析表明，金融服务、国防、医疗保健和信息技术等关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。Secure Code Warrior 发现，这些行业的开发团队的安全态势一般，衡量标准是 SCW 信任分数，一项量化开发团队安全能力的全球基准——高于其他行业的安全能力。

首席信息安全官 (CISO) 发现在SBD计划的早期阶段证明真正的投资回报率越来越困难。近年来，缺乏评估组织如何根据行业标准进行跟踪的基准一直是一个关键挑战。使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能，还要向行业和政府监管机构保证这些技能已经到位。

Paladin Capital Group高级战略顾问、前国家网络总监克里斯·英格利斯表示：“现在，我们比以往任何时候都更有国家责任确保SBD的技能提升计划到位。”“降低风险是这项最新分析的核心，Secure Code Warrior在加强开发人员安全学习、防止网络攻击和加强我们国家的关键基础设施方面处于领先地位。”

主要发现： Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现：

• 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4％。
• 根据SCW TrustScore的衡量，某些关键基础设施行业，例如金融服务行业，与非关键基础设施的平均水平相比，具有最高的安全态势。例如，金融服务的平均信任分数为 336。
• 但令人惊讶的是，即使有合规和监管要求，金融服务行业的安全态势与其他几个关键行业相似。
• 大规模和较小规模的 Secure-by-Design 技能提升计划可以取得成功，研究表明，规模较小的计划可以迅速加强，运行得更快。但是，研究表明，为了使这些计划取得成功并更快地实现可衡量的投资回报率（ROI），必须制定一项规定。
• 当技能提升计划稳步实施时，开发人员在应用程序中引入的风险就会大大降低。分析发现，参与大型技能提升计划（一家公司中有7000多名开发人员）的开发人员可以预见地将漏洞减少47-53％。

随着各国制定与更广泛的网络安全战略相似的指导方针，Secure-By-Design在全球范围内势头增强。但是，如果没有正确的数据点来指导开发人员技能基准，就很难为开发人员提供安全的默认值并培养一支了解安全性的软件开发人员队伍。敏捷技能提升计划建立在既定基线之上，通过动手实践课程解决开发人员面临的现实问题，可以引起开发人员的共鸣。

Paladin全球研究所所长、前代理国家网络主任肯巴·沃尔登说：“在全球网络威胁前所未有的时代，这些新发现表明，需要加强我们整个数字基础设施中的SBD计划，以减少关键漏洞。”“这项研究发出了明确的行动呼吁，要求提高人员技能并制定基准以实现关键的网络安全目标。”

Secure Code Warrior联合创始人兼首席技术官马蒂亚斯·马杜说：“通过使安全编码成为组织DNA的重要组成部分，基准和基准可以极大地优化组织的安全态势。”“要了解SBD计划是否正在取得实际进展，你需要定量证据，证明开发人员技能提升工作是有效的，并且他们将安全最佳实践纳入了工作习惯。你必须完全相信开发人员已经真正获得了编程许可。”

许多安全负责人一直强调扩展企业安全计划的大部分内容的难度，尤其是那些涉及持续提高技能和对个人进行评估的内容。这是一个合理的担忧，但在多项全球立法改革和指导方针要求开发人员具备经过验证的安全技能之后，必须克服这个问题。世界各地的许多组织都在采取行动，并实施了大规模的技能提升计划，这些举措正在产生重大影响。

要了解有关 Secure Code Warrior 的最新分析和 SCW 信任评分的更多信息， 点击这里。

‍

关于《安全代码勇士》：

Secure Code Warrior是一个安全的编码平台，它设定了确保我们数字世界安全的标准。我们通过提供世界领先的敏捷学习平台来实现这一目标，该平台为开发人员学习、应用和保留软件安全原则提供最有效的安全编码解决方案。超过600家企业信任Secure Code Warrior来实施敏捷学习安全计划，并确保他们发布的应用程序没有漏洞。

有关 Secure Code Warrior 的更多信息，请访问 www.securecodewarrior.com。