人为因素在未来的安全编码中起什么作用?
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
.avif)
.avif)
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
随着网络威胁数量的持续增长,组织每天都在安全性、实用性和速度之间做出权衡——在此过程中面临风险。需要新的安全编码方法,因此安全 Code Warrior 与 Evans Data Corp. 合作,对开发人员对安全编码、安全代码实践和安全运营的态度进行了初步研究(下载白皮书) 这里)。
这份报告显示,尽管 “老派” 的反应性思维仍然占主导地位,但人们越来越意识到需要更积极的解决方案,这使开发人员本身成为第一道防线。
对采用安全编码实践的任何探索都需要从了解参与实施的人员、他们对安全的看法以及实施能力开始。然后,这就引出了难题中最重要的部分——如何让他们能够从一开始就更安全地进行编码,并更快、更自信地交付高质量的代码?
安全编码 — 我们现在在哪里,需要改变什么? 下载 现在是信息图 “人类元素”。
当前观点——被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,排名前三的回答是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
正如我们所看到的,前三名答复中有两个仍然侧重于反应式方法——第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)进行手动检查。
同时,提名的三项活动中有两项依赖于人为因素。这表明越来越多的人将安全视为人类问题。但是,在所有提名的活动中,最能说明问题的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起点的转变,这是一种主动的预防性方法,从 SDLC 一开始就将安全性融入到软件中。
安全性在 SDLC 中占据什么位置?
当开发人员和开发经理被问及他们在哪里看到集成到SDLC中的安全代码实践时,意见不一。55%的经理认为安全编码已集成到整个开发过程中,而开发人员的这一比例仅为43%。这种差异可能反映了这两个群体在SDLC中的不同角色。管理层通常较少参与实际的编码工作,往往有更高层次的视角,而开发人员可能更关心基本要素。
但是从整体安全和代码质量的角度来看,令人震惊的是,在SDLC开始时,只有13%的开发人员和10%的管理人员表示应将安全代码实践集成到设计阶段。这是一个巨大的、尚未实现的机会。根据IBM的一项研究,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。1 这是采取新的主动和人为主导的软件安全防御的强大动力,使开发人员能够从一开始就更安全地进行编码。仅仅依靠工具是无法解决软件安全问题的,它必须考虑到人为因素。
人为因素准备好了吗?
97% 的受访开发人员认为他们已经接受过足够的安全编码培训,95% 的人认为安全编码培训对他们的职业生涯很有价值。但是,在按面值接受这些说法之前,我们需要问一下:为什么代码漏洞仍然如此普遍?开发人员声称的安全代码专业知识只是人类自我的例子吗?证据无疑指向了这个方向。更温和的承认是,超过88%的受访开发人员承认安全编码很难学习,91%的开发经理承认安全编码实践很难实施。当被要求确定他们对安全代码实现的主要个人担忧时,28%的开发人员认为学习过程具有挑战性,而24%的开发人员认为学习过程很无聊。这表明开发人员培训需要改进。
人为元素需要什么?
克服 “挑战” 因素,值得进行安全培训需要一个 “脚手架” 流程,以支持开发人员逐步培养安全编码技能。为了最大限度地提高相关性和即时适用性,培训应使用他们每天使用的特定语言:框架进行。
克服 “无聊” 因素,安全代码培训需要以实际操作的方式进行——事实证明,与过时的课堂或 “观看此视频” 模式相比,对开发人员而言,这种培训更具吸引力。其中应包括实时模拟,使开发人员能够在安全的环境中应对有时存在风险的安全挑战。目标应该是教会开发人员如何在代码工作时发现和修复代码中的漏洞,并使安全编码成为他们日常工作流程的一部分。另一个关键的推动因素是内部培训和指导,这可以帮助开发人员在编写代码时不断学习和提高技能,从而随时预防和消除漏洞。
如果您想了解如何为开发人员提供这种以开发人员为中心的新级别的工具和培训, 预订演示 现在。
你也可以 下载你的副本 白皮书的 从反应转向预防:应用程序安全性不断变化的面貌。
Verzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
