目录
安全代码培训如何支持金融服务的数字化转型
金融服务机构面临着一系列挑战,这些挑战取决于它们在快速变化的金融世界中高效、有效地使用技术的能力。
无论是内部还是整个行业,组织都在竞争激烈、基于云的业务环境中运营,正处于快速变化的时期。例如,在进行持续的数字化转型时,各组织正在努力避开 组织摩擦 这阻碍了对人工智能等新技术的投资,这些新技术可能会加快支付流程和其他程序。
当然,他们从来没有想过要遵守一系列监管要求,从《萨班斯-奥克利法案》关于财务记录管理的要求和支付卡行业数据安全标准 (PCI DSS) 关于保护持卡人数据的规定到《加州消费者隐私法》(CCPA) 和欧盟的《通用数据保护条例》(GDPR) 中包含的个人信息保护。
罚款和其他违规成本很快就会累积起来。IBM 的 2023 年数据泄露成本报告 发现 “违规程度高” 的组织的平均成本总计为505万美元,比实际数据泄露的平均成本高出50多万美元。
说到数据泄露,网络攻击仍然是金融机构的祸害,而金融机构是网络攻击的第二大目标行业。根据Sophos的数据,仅勒索软件攻击就急剧增加,从2021年的34%增加到2022年的55%,到2023年的64% 金融服务中勒索软件的现状 2023 年报告。据统计,美国金融服务行业的数据泄露(包括数据泄露和私人数据泄露)的数量从2020年的138起增加到2023年的744起 Statista。
这些领域的失败——无论是内部效率、合规性还是安全性——都会威胁组织的声誉,进而威胁到客户忠诚度,而客户忠诚度是金融服务的命脉。为了保持竞争力和成功,组织需要增进客户之间的信任,首先要确保其软件、系统和流程高效有效。所有这一切的核心是安全的软件代码。
开发人员面临着越来越大的压力,要求他们以前所未有的速度创建、更新和部署应用程序和服务。这意味着开发和使用更多的软件代码,无论这些代码是由内部开发人员自己编写,由人工智能制作,从开源存储库中收集的,还是由第三方交付的。
该代码的质量和安全性对于确保有效运营至关重要,但这是组织经常不足的领域之一。随着代码量的增加,错误、缺陷和漏洞的数量只会增加,除非在软件开发生命周期 (SDLC) 的早期得到纠正。
组织需要从左边开始,创建更安全的代码并尽早纠正错误。安全编码最佳实践方面的敏捷培训可以为安全、可信的应用程序奠定基础,这不仅可以降低组织的风险,而且有助于促进业务成功。
趋势 1:人工智能开发工具
人工智能的创新依赖于安全代码
人工智能,尤其是生成式人工智能,正迅速渗透到商业、教育和日常生活中。在生成式人工智能已应用的众多用途中,一个值得注意的功能是编写代码。事实证明,这通常是有益的,但它也提出了另一个与人工智能使用密切相关的问题——安全性。作为新技术的早期采用者,金融机构需要确保生产率提高与安全和负责任地使用人工智能之间的平衡。
迄今为止,人工智能主要用于协助代码开发,而不是(比如)自动化修复过程,其影响主要是积极的。a 的受访者 GitHub 的调查,该报告发现,超过十分之九的美国开发人员正在使用人工智能编程工具。该公司表示,这些优势包括生产力的提高(53%),让开发人员可以自由地专注于创造性任务而不是重复性任务(51%),以及防止精疲力尽(41%)。
与其他行业的银行和其他金融服务组织相比,大型银行和其他金融服务组织更有可能成为人工智能的早期采用者。毕竟,金融机构本质上是科技公司,因为它们有足够的资金大规模投资新技术,并且一直在寻找竞争优势。
尽管有些人表示担心人工智能会取代人类工作者,但该技术实际上与人类同类技术配合使用时效果最好。但是,开发人员需要的不仅仅是最低限度的复选框方法来学习如何使用它。他们需要 精准训练 真正掌握现实环境中的安全最佳实践,这样他们不仅可以自己编写安全代码,还可以有能力地监督代码编写 AI 助手的工作。
例如,一项练习是 SCW 的训练 提示 LLM 模型更改真实代码片段的内容以修改代码的功能。AI 通过生成代码块来做出响应,但该代码块容易受到跨站脚本 (XXS) 的影响。培训确保开发人员能够识别该漏洞。
人工智能和开发人员可以非常高效地合作,但前提是开发人员接受了足够的培训,以确保人工智能生成安全的代码。
人工智能的编码错误会迅速蔓延
在接受代码编写训练时,AI 模型将摄取数千个代码写作示例,就像另一个模型在为用户写故事或诗歌之前会摄取成千上万的散文或诗歌示例一样。但是无法保证 AI 模型不会借鉴包含错误的示例。由于人工智能模型的流程不透明,因此错误要等到事后才会出现。人工智能会重复这些错误,直到它们得到纠正。
很早 人工智能研究人员的研究 发现 AI 生成的代码引入了重大缺陷,包括跨站脚本 (XSS) 漏洞、易受代码注入攻击以及特定于 AI 生成代码的新漏洞,例如与即时注入相关的漏洞。如果不加检查地使用人工智能工具来编写代码,不良代码可能会迅速传播,从而形成一个已经存在的软件世界 很多漏洞,将比以往任何时候都不那么安全。
人类开发人员和人工智能模型必须共同开发代码,确保遵循安全编码最佳实践,使金融机构能够从提高速度和效率中受益,同时限制在没有人类参与的情况下可能造成灾难性的风险。
金融机构可以引领安全发展
人工智能的快速发展,尤其是那些使用诸如ChatGPT等大型语言模型(LLM)的AI以及许多其他能够创建自己的内容的生成式人工智能实现,都有其失误。人工智能模型产生了错误、有偏见的发现以及 AI 幻觉,导致要求监管的呼声越来越高。例如,白宫发布了一份 行政命令 关于人工智能的开发和使用。它还提出了一个 AI 人权法案 旨在帮助保护公众免受人工智能相关风险的侵害。但是,任何政府举措都将依赖于与开发人工智能的科技公司的合作与协作,其中许多公司已承诺 坚持道德标准。
金融服务行业也可能实施强有力的内部控制。企业可能一直在寻找竞争优势,但他们知道信息(包括内部数据和客户数据)的安全性至关重要。它们还必须确保满足监管要求,例如美国货币审计长办公室(OCC)或欧洲中央银行(ECB)对欧洲业务的要求。
作为人工智能的早期采用者,银行和金融机构将有兴趣了解人工智能可以做些什么来提高效率,赞助创新中心以及其他探索人工智能能力的努力。但是组织也需要控制措施来确保安全。早期采用总是会带来固有的风险,随着人工智能的使用,需要平衡风险和回报。例如,组织将受益于在使用人工智能的早期阶段进行优势、劣势、机会和威胁 (SWOT) 分析。
AI 的有效使用始于安全代码
金融行业有效利用人工智能的能力将取决于安全性,这取决于确保人工智能创建的代码从一开始就是安全的。组织需要确保他们拥有训练有素的工程师,他们将密切监督人工智能代码的编写,识别错误并快速纠正错误。与提供敏捷培训和其他确保安全性和合规性的服务的公司合作,是朝着建立强大安全态势迈出的良好第一步。
风险格局在不断变化,尤其是在软件开发周期中。作为人工智能的早期采用者,金融机构必须在安全、负责任地使用人工智能方面发挥领导作用。一些金融机构规模足够大,可以影响政府的政策。通过采取措施通过支持 AI 模型和开发人员协同工作来确保代码安全,机构可以建立最佳实践供其他行业效仿。
You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.
Download Whitepaper趋势 2:加强监管
守则是监管合规的核心
实施安全编码实践的一个重要驱动因素是金融机构需要确保遵守其业务管理法规。各机构有一系列适用的法规,这些法规因其处理的交易类型而异。
例如, PCI DSS 4.0是支付行业数据安全标准的最新版本,是一项旨在保护信用卡和支付卡数据和交易的全球标准。它旨在防止欺诈和其他滥用,适用于存储、处理或传输持卡人数据的任何组织。该标准不是法律,但它是通过合同执行的,它可以帮助防止数据泄露,这是违反其他法规(例如GDPR)的行为。
另一项规定, 《数字运营弹性法案》 (DORA) 是针对金融服务行业的具有约束力的欧盟风险管理框架,涵盖金融机构及其第三方提供商。DORA制定了技术标准,旨在统一与欧盟的风险管理实践,从而创建通用标准。
这个 环球银行间金融电信协会,即Swift,是一项合作项目,为全球金融领域的资金转移设定了标准。Swift 的客户安全计划 (CSP) 开发了 客户安全控制框架 (CSCF),每年更新一次。Swift 在 200 多个国家的 11,000 多名会员使用 CSCF 来规划自己的安全控制措施并证明其合规水平。
这些法规的共同点是,它们试图为保护金融服务行业的数据和交易设定高标准。合规性不仅可以保护客户的数据和资金,还有助于保护机构免受安全不足的后果的影响,这可能包括对违规行为的罚款和处罚、声誉受损以及在发生违规行为时失去投资者的信任。
开发商必须跟上不断变化的监管格局的步伐
安全编码为希望满足适用法规的期望和美国货币审计长办公室(OCC)或欧洲的欧洲中央银行(ECB)要求的组织提供了坚实的基础。采用Secure Code Warrior平台或其他提供商平台的基本驱动因素之一是在实用、引人入胜的环境中向开发人员传授安全编码。
在处理有时复杂的监管要求时,这种培训会有所作为,特别是因为它们不是一成不变的。法规总是在变化,增加了新的、通常更复杂的要求。视要求而定,法规在任何一年中都可能不会发生重大变化,但组织可以预计,至少每隔几年就会发生一次重大变化。
例如,自2024年4月1日起强制执行的PCI DSS 4.0以多种重要方式更新了PCI DSS 3.2.1(2022年发布)。它采用了一种定制的方法,使组织在满足要求方面有更大的灵活性,比复选框程序更注重结果。但它还增加了对身份验证控制、密码长度和共享帐户的新要求,仅举几例。它还要求各组织明确定义满足每项要求的角色和责任。
值得注意的是,4.0版还要求开发定制和定制软件的开发人员至少每12个月接受一次软件安全培训,包括安全设计和编码技术,如果使用测试工具,还要接受有关如何使用这些工具检测漏洞的培训。它还规定,在渗透测试中发现的每个漏洞,无论其严重程度如何,都要进行补救,并且团队将进行第二次渗透测试以确认成功修复。
尽管变更通常是逐步做出的,但法规也是由事件驱动的——重大违规行为可能会引发突然的大规模变化。例如,20世纪90年代中期,摩根大通的8700万个账户遭到泄露,这动摇了监管格局,监管机构提高了对开发商/科技界的期望,并要求银行提供证据,证明他们正在采取的措施以及如何运用从违规行为中吸取的教训。
合规性取决于底层代码的质量
用于满足这些要求的代码质量会对新功能的性能产生重大影响,当公司完成每年都需要的冗长而详细的PCI DSS合规报告时,新功能可能会发挥作用。随着法规变得越来越复杂,安全编码的影响也相应地变大,这在降低风险和加强对组织软件的控制方面产生了重大影响。
合规对金融机构至关重要,因为与客户建立信任非常重要。安全编码还有助于改善客户体验,因为这在很大程度上取决于与可靠软件的无缝交互,这有助于建立客户忠诚度。
用于创建新应用程序和服务的编码会对整个企业产生影响。它对于在快速变化的业务环境中提高效率、管理云迁移和启用其他功能至关重要。但是该代码绝对必须是安全的,并且必须满足合规性要求才能使企业取得成功。
Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.
Read Guide趋势 3:敏捷学习
敏捷培训和人工 AI 团队确保代码安全
人工智能模型的激增再次引发了人们对人工智能将夺走人们大量工作机会的担忧。尽管从事某些职业的人可能有理由担心,从簿记和客户服务到法律文员和内容创作者,但软件开发人员更有可能欢迎人工智能作为有用的助手,他们不会抢走工作,但会把一些耗时或重复的任务(例如编写代码)从盘子里移开。
实际上,编写代码只是开发人员工作的一部分。在 GitLab 中 2023 年全球 DevSecOps 报告,大多数开发人员表示,他们花了大约四分之一的时间来编写代码。其余部分分为其他任务,例如改进代码(17%)、测试(11%)以及开会或执行其他管理任务(也为17%)。
改进代码是这项工作的一个方面,当人工智能模型生成代码时,这个方面可能会变得更加突出。人工智能提高了创建代码的速度和效率,但是这些代码不能完全值得信任。人工智能模型生成的错误、偏见和脆弱代码的例子不胜枚举。具有安全技能的开发人员必须密切参与检查人工智能生成的代码,以修复漏洞并确保其软件符合开发标准。
开发人员需要动手操作的敏捷培训
对于开发人员本身而言,使用人工智能生成的代码需要他们在安全最佳实践和发现不良编码模式的能力方面提高现有技能,并获得一些新技能。经过适当培训的开发人员将能够在部署之前发现人工智能模型的失误,并增强使用人工智能加速开发的优势。
但是,所需的技能很复杂,不能仅通过使用标准的静态训练方法来学习或加强。开发人员并不以空闲时间工作而闻名——他们比以往任何时候都承受着更大的压力,需要快速开发和部署代码。他们需要能够以适合他们已经在做的工作的方式提高技能。
组织需要为开发人员提供完整的计划 基于敏捷的训练 这采用了亲身实践的方法来进行安全编码,并且已被证明可以显著减少软件中的漏洞数量。
敏捷训练可以量身定制,使其包括开发人员将要遇到的编程语言,从古老但仍在使用的COBOL到用Google Go编写的高级新工具。它可以设计为以适合开发者首选学习方法的格式(例如视觉、听觉或口头以及直接动手交流)提供高级内容,并以最适合个人开发人员及其工作计划的速度进行交付。
也可以根据员工的特定角色和需求量身定制培训。平台可以利用反馈回路来改进内容,并识别开发人员在某个领域的弱点,因此可以自动将内容定位到该领域。
而且,Secure Code Warrior采用的学习计划(例如Secure Code Warrior采用的学习计划)不是在旷日持久的枯燥课堂式培训课程中提供安全培训,而是通过将其分解为交互式微爆训练,让开发人员参与现实世界问题的背景下,来提供最佳的定制培训。员工还可以在需要时完全使用微学习。
敏捷方法取得成果
事实证明,基于敏捷的训练可以有效减少编码错误。根据 研究 由 Secure Code Warrior 撰写,开发人员在代码投入生产之前已经对其进行了大约 26% 的修改。这加起来相当于每位开发者每周花费约13.5小时(每年约700小时)来清理技术债务。花在修复代码上的时间会阻碍生产力并减慢开发周期。
而且,并非所有这些错误都被发现,67%的开发人员承认发布了带有漏洞的代码。组织还使用来自其他来源的代码,例如人工智能、开源存储库和第三方。在组织需要比以往更多的代码量时,这些来源有助于提高生产力,但它们也增加了代码库中出现漏洞和错误的风险。
基于敏捷的培训可以帮助遏制这种趋势。它巩固了第一道防线,开发人员在发现代码缺陷方面更加熟练,无论这些缺陷是由他们自己、人工智能还是第三方创建的。作为研究的一部分,Secure Code Warrior检查了来自75,000名开发人员(约占其基础的30%)的数据,发现使用敏捷培训研究安全的开发人员引入的漏洞比同行减少了53%。应用这些技能来检查人工智能生成的代码的开发人员可以在任何软件投入生产之前更快地清理人工智能合作伙伴的错误。
通过Secure Code Warrior的敏捷培训,提供财务、人力资源和学生/教师生命周期管理云应用程序的Workday的开发人员对培训的设计目标有了清晰的认识,并迅速学会了如何识别代码库和软件生命周期中的问题并采取行动。
Workday 的经验为敏捷的动手培训可以做什么提供了一个清晰的例子。在与Secure Code Warrior合作之前,Workday看到他们的开发人员对该公司基于幻灯片的安全培训感到失望。但是整个开发者社区对Secure Code Warrior培训反应良好,该培训是根据他们的需求和学习偏好量身定制的。结果不言自明。仅举一个例子,都柏林的一个团队从每年遇到4,662个安全问题变成了在短短18个月内根本没有遇到任何安全问题。
在充斥着日益复杂的攻击的威胁环境中,金融服务公司需要尽其所能确保数据和应用程序的安全。在软件开发生命周期 (SDLC) 之初创建安全代码是安全的关键组成部分。接受过正确敏捷培训的开发人员可以做很多事情来确保软件的安全性,同时降低公司的整体风险。
Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.
Learn More趋势 4:第三方应用程序和 API 的增长
安全责任也适用于第三方应用程序
在当今高度互联的商业环境中,没有一家公司在真空中运营。金融机构与其他公司建立合作伙伴关系,提供某些服务,在日常通信和交易中使用第三方应用程序,在许多情况下,还会让外部承包商编写软件代码。公司内部的开发人员还使用开源软件存储库以及越来越多的人工智能生成的代码来开发应用程序。
无论软件来源如何,与金融服务公司合作的人都期望他们使用的每个应用程序都具有相同的高度安全性。在任何交易或信息交换中,托管公司仍对客户的数据负责。而且,监管机构不允许机构将违规行为的责任推卸给第三方。
金融机构如何确保每个应用程序的安全可靠?它从安全代码开始,为开发人员提供在开发过程开始时创建安全软件代码所需的技能,同时还要确定他们使用的第三方代码何时不足。
向承包商团队提供培训
企业将受益于实施敏捷的动手培训计划,向开发人员传授安全代码知识。此类培训的结果显而易见:接受过安全编码培训的开发人员生成的代码的漏洞比未受过培训的开发人员少53%。而且他们还将在第三方生成的代码中发现更多的编码错误。
即使公司自己的开发人员接受过编写安全代码的培训,也需要解决第三方代码中的潜在缺陷。许多开发团队由全职员工 (FTE) 和承包商组成,尤其是在分支机构遍布全国或世界各地(包括一级、二级和三级地点)的大型机构中。
几十年前,该行业大力推动外包软件开发,以便公司能够满足对新应用程序的需求。这种趋势持续了五到十年才开始逆转,但由全职员工和承包商组成的联合团队仍留在金融机构的某些地点。随着如此多的应用程序不断开发,其中一些将外包。
但是,无论代码是由全职员工还是第三方制定的,客户和监管机构的期望仍然存在。公司使用的所有软件代码必须符合相同的标准,这意味着所有开发人员都具有相同的能力水平。
尽管至少提供培训很重要,但公司可能对要求承包商进行培训有合同限制。一些金融公司已经创建了自己的培训计划,例如Capital One,它推出了其 科技学院 在 2016 年。其他一些银行和金融公司,例如Synchrony Bank和北美Bancard,也在接受敏捷的想法 持续学习 以提高他们拥有的人才水平。
公司甚至可能采取 “代码许可” 的方法,在允许开发人员访问特定系统之前要求某些认证。
在持续的IT技能短缺中,各公司选择尝试提高现有员工的技能,而不是在供不应求的市场中竞争人才。提供培训既有益于员工,他们可以进一步发展自己的职业生涯,也使公司受益,后者使员工掌握公司所需的技能。培训计划还可以通过改善员工体验来提高留存率。
在当前的环境中,持续学习很重要。网络安全格局在不断发展并变得越来越复杂。监管机构的要求也每年都在变化,这增加了保持合规所涉及的复杂性。未能满足这些要求可能会导致罚款、其他费用和声誉损失,从而对公司产生重大影响。
关键是要吸引开发者
各公司正在从每年一次的培训课程的繁琐复选框式培训转向旨在提高开发人员和其他员工对安全的参与度的全年培训。关键在于拥有一个敏捷平台,在员工需要时以适合其工作环境的形式为他们提供所需的培训。
例如,这家总部位于英国的软件解决方案公司 鼠尾草,它采用了Secure Code Warrior的平台,每季度进行一次针对开发人员当时正在使用的技术的培训。
Sage的安全专家马兹·霍华德在最近的一次培训中说,培训尽可能个性化,还要根据开发人员喜欢的工作方式量身定制 网络研讨会 和 SCW 在一起。Sage还鼓励通过反馈回路进行双向沟通。该培训更多地侧重于参与度而不是复选框合规性,定期举办锦标赛,并努力将培训计划与旨在提高员工在安全问题上的参与度的其他公司举措相结合。
结果之一:霍华德说,在过去的一年中,Sage修复软件问题的平均时间减少了82%。该公司的员工参与度也有所提高。
霍华德说,编程是建立安全文化的一部分,最终目标是与客户建立信任。安全文化围绕着人们的态度、看法和信念展开,它还涉及整个公司的人员,包括高管领导层。灵活的安全代码培训计划可以成为该文化的重要组成部分,该计划可以针对易于使用的微爆进行有针对性的培训。
Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.
Discover趋势 5:团队/供应商更加关注投资回报率
安全编码如何直接提高投资回报率
金融服务行业涵盖了广泛的领域,从银行和财务管理到信用卡和数字支付服务。甚至保险也常常属于这个旗帜。每个行业的公司面临不同的合规要求,尽管通常是重叠的,但这取决于它们处理的交易以及它们是国内公司还是跨国公司。
但是,无论公司在哪个领域工作,经济考虑都会影响业务战略。股票市场表现良好,但股市并不总是预示着未来的成功。同时,金融部门对经济衰退和其他关键挑战的可能性有些担忧。
结果,许多组织都在收紧腰带,寻求更高的效率,并强调为任何新支出提供良好的投资回报率(ROI)的重要性。提高投资回报率的一种方法是投资安全代码学习。在工程和安全交汇的软件开发生命周期 (SDLC) 中,确保在流程之初创建安全代码并尽早修复缺陷,将为业务带来明显、可量化的收益。
不安全软件的高昂成本
数据是任何金融服务机构的核心,使用不安全、低效的软件处理这些数据的成本可能会迅速增加。安全代码勇士 研究 发现,到2022年,软件质量问题使美国企业总共损失了2.41万亿美元。而且成本一直延伸到开发人员,他们花在维护和修复技术债务上的时间越来越多。开发人员目前将大约三分之一的时间用于维持技术债务,但预计到2025年这一数字将达到40%。
基于敏捷的安全编码实践培训可以显著减少这些负数。研究发现,使用Secure Code Warrior进行培训的开发人员引入的漏洞比未接受过培训的同事少了53%,修复时间也缩短了一半。一家大型全球银行发现,通过SCW培训,漏洞减少了50%,这实际上消除了SQL注入缺陷和跨站点脚本(XSS)。
组织向左转移得越远,敏捷安全代码培训的好处也要大得多。例如,在测试期间解决技术债务的成本可以减少一半,但如果在编码阶段解决,则可以减少14倍。
一个很好的例子:Envestnet如何吸引其开发人员
安全编码的影响可以带来可观的投资回报率收益。在 一个例子,大型金融科技公司Envestnet希望超越其被动的 “PowerPoint死亡” 安全与合规培训,该培训主要侧重于开放全球应用程序安全项目(OWASP)十大网络应用程序风险。
Envestnet采取了左移策略,重点是编写安全代码并在SDLC的早期解决任何问题,但首先需要解决开发人员缺乏参与公司现有安全培训的问题。他们通过 SCW 实施了一项四级实践计划,其中包括有关真实场景的培训,并为每个成就级别的开发人员颁发证书,这不仅可以提高应用程序安全性,还可以帮助开发人员发展自己的职业生涯。
前两个级别侧重于安全意识,三级和四级是公认的安全卫士。培训计划包括锦标赛,这也提高了开发者的参与度。在相隔约六个月的前两场锦标赛之间,参赛人数翻了一番。
结果:接受过SCW培训的开发人员修复的漏洞是同行的2.7倍,他们的修复率提高了120%。受过SCW教育的开发人员还以每位开发人员4.5的比率解决漏洞问题,而没有受过培训的同行的每位开发者的解决率为1.82美元。
从左开始可以提高利润
可以为每家公司量身定制敏捷安全编码程序,具体取决于他们提供的金融服务的类型、系统的规模和个人需求。
例如,无论是支付卡行业数据安全标准 (PCI DSS)、OWASP 应用程序安全验证标准 (ASVS) 还是其他要求,公司都需要保持合规性。而且他们需要确保他们一直在编写安全的代码。但是,他们需要的不仅仅是一个只勾选一个方框的培训计划,这不足以教授安全编码方法或达到培养训练有素、具有安全意识的开发人员所带来的更高的效率水平。
支持在 SDLC 早期引入安全代码并在整个产品生命周期中对其进行维护的策略的实践培训将降低风险并缩短上市时间,从而不可避免地提高投资回报率。随着系统、流程甚至网络攻击变得越来越复杂,迫切需要安全编码。它不仅有能力在安全性方面发挥关键作用,而且有能力使任何组织的利润受益。
Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.
Explore结论
安全编码可增强安全性和生产力,同时建立信任
金融服务机构使用非常有价值的商品,即人们的钱和高度敏感的个人信息,但在某些方面,组织所能拥有的最宝贵的东西就是信任。这对于吸引和留住忠实客户至关重要。而且,由于许多金融交易都是以数字方式处理的,因此软件的可靠性和安全性取决于安全的软件代码。
在复杂的混合云环境中,金融组织必须向左移动,在软件开发生命周期 (SDLC) 开始时引入安全性。这意味着培训开发人员编写安全代码,并能够识别人工智能生成的代码或第三方代码中的漏洞。
对于许多公司来说,这是一种文化转变,开发人员习惯于每分钟工作一英里,开发新的应用程序和服务以满足不断增长的需求。关键是在公司内部建立安全文化,并让开发人员参与敏捷的、亲身实践的安全代码培训。这种方法的好处显而易见。
促进双赢的文化变革
安全代码勇士的研究 发现,使用 SCW 学习安全编码实践的开发人员产生的漏洞比未经培训的开发人员少 53%,这总共节省了大量时间和金钱。
开发人员目前浪费了大约三分之一的时间来修改软件代码,其中67%的人承认发布了他们知道存在漏洞的代码。由于敏捷学习,SCW 客户在降低风险和开发人员生产力方面均提高了 2 到 3 倍。
而且,组织从 SDLC 开始向左转移得越远,节省的费用就越大。如果在测试期间解决问题,成本可以减少一半,但如果在编码阶段解决,成本可以降低14倍。
敏捷培训平台对公司和开发人员都有好处。开发人员可以通过获得新技能来进一步发展自己的职业生涯,而公司将从中受益,因为熟练的开发人员更有可能留在提供有效培训和更有意义的工作经验的公司。
顺便说一句,92%的开发人员表示他们想要更多的培训。但这必须是正确的训练。传统的书面形式(或幻灯片形式)合规性培训可能会引起人们对满足要求的冷眼和勉强的接受,但事实证明,像SCW这样的敏捷平台可以吸引开发人员。培训可以根据他们正在研究的内容和正在使用的编程语言进行调整。而且,以易于使用的有针对性的微连发式培训来解决开发人员当前面临的现实问题,可以提高培训的价值和参与度。
安全代码培训可以成为向安全第一组织的文化转变的基石,从而提高金融服务机构的网络安全、绩效,最终提高盈利能力。
