如何推出有效的开发人员安全培训:5 个重要课程
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
为什么一个开发者应用程序安全培训计划比另一个项目产生更好的结果?
在我作为 SANS 培训师的 10 年多时间里,以及创立和构建 Secure Code Warrior (SCW) 的最后三年中,我看到了投入时间和资源使培训计划产生最佳效果的价值。
在我们销售的第一年,我们公司雇用了超过10,000名开发人员 安全代码培训,我注意到那些推广效果最高的公司有许多趋势。他们的结果令人心动:通过在安全漏洞变得昂贵之前及早发现安全漏洞,提高了参与度,提高了安全意识,提高了该计划的投资回报率。
我不想承认,但也有一些人采取了 “不费吹灰之力” 的方法,试图通过发送一封包含培训链接的电子邮件来推出一项计划。毫不奇怪,它的表现不佳,我们必须纠正这些推出情况。
下面,我将分享我认为是五个重要的课程,它们将显著提高任何开发人员安全培训计划(包括我们的计划)的参与度、影响力和成功率。
1。如果你想让你的项目产生影响,那么在开场时玩得开心
举办特别的开幕日活动,或为您的节目设定电影/极客/游戏主题,可以从一开始就对兴奋程度和参与度产生很大的影响。我们的一位大客户围绕一部热门电视连续剧创作了一个完整的幻想节目,包括 T 恤、徽章和贴纸,使整个培训计划成为开发者不容错过的体验。另一场以《星球大战》为主题的活动,于5月4日方便地举行。一点乐趣可以大大帮助员工入职,让短暂的重要开发人员安全代码技能培训感觉就像下班休息一样,而不是另一项需要完成的任务。里程碑 #1 实现了,我们吸引了他们的注意力,他们也知道这个计划。
2。寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
能够在每个 Scrum 团队中找到合适的安全支持者对于项目的持续成功至关重要,尤其是在大型组织中。根据我的经验,并非所有高技能的安全或开发人员专家都具有高度发达的人才和/或沟通能力。那些对安全充满热情、拥有强大人才、影响力和沟通能力的人才是最好的安全倡导者,他们将为你的项目带来持续的积极影响。明智地选择,并考虑个性和沟通技巧。
3.拥有可识别技能的炫酷奖励
总的来说,每个计算机极客 “包括开发人员” 都喜欢因其智力和技能而获得认可。当你用特定状态贴纸、极客小工具、特殊徽章或可识别他们技能的定制印花 T 恤来奖励他们时,他们会自豪地佩戴或展示它们。如果某人在培训计划中取得了重大成就,那么重要的是要想办法给予他们认可和曝光度。我看到了一个很棒的举措,一位客户定期为他们的 Secure Code Warrior 拥护者拍照,并将这些照片与公司首席信息安全官的照片和信息一起发布在员工通讯中。
4。不要试图让你的开发人员成为安全专家
虽然你希望通过帮助开发人员安全地编写代码,让他们成为安全程序中的 “第一道防线”,但这并不意味着他们需要成为企业中最深入的安全专家;也不意味着你应该不断向他们推送新的安全漏洞和数据泄露示例。虽然安全很重要,但他们的主要目标通常是开发出色的产品或服务并跟上业务的步伐。如果你为某人提供过多的安全保障,你就会冒着与他们脱离接触的风险。吸取的关键经验是,他们需要了解基本的安全卫生并使用安全编码工具为他们提供支持,但他们不必成为公司的安全专家。
5。不要衡量训练,要衡量影响
不要衡量开发人员接受了多少小时的培训,也不要衡量他们观看了多少视频,而是在每个团队启动项目之前,通过代码分析、错误赏金或经典漏洞测试来衡量开发生命周期中发现的弱点数量。如果您的培训计划有效,则发现的漏洞数量将减少。要衡量的第二件事是修复漏洞所需的时间。如果开发人员需要一个月的时间来修复它,这清楚地表明他们不明白该怎么做,但是如果他们能在一小时内修复它,你就知道他们掌握了这些技能。这是聪明的公司用来衡量其开发人员安全编码培训影响的两个指标。
关于如何推出有效的开发人员安全培训的 5 个重要课程:
- 如果你想让你的项目产生影响,那么在开场时玩得开心
- 寻找合适的开发人员安全培训冠军(提示:他们需要的不仅仅是安全技能!)
- 拥有可识别技能的炫酷奖励
- 不要试图让你的开发人员成为安全专家
- 不要衡量训练,要衡量影响
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
