通过人为主导的安全编码,将重点从被动转移到主动
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
在过去的20多年中,同样的10个软件漏洞造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
同样的 10 个软件漏洞 在过去的20多年中,造成的安全漏洞比其他任何漏洞都多。但是,许多企业仍然选择违规后、事后补救措施;混淆这一切的人力和业务后果。但是现在,一项新的研究指出了一个由人类主导的新方向。
以下内容讨论了Secure Code Warrior与Evans Data Corp共同进行的一项名为 “从反应转向预防:应用程序安全面貌的变化”(2021 年)的研究得出的见解,该研究探讨了开发人员对安全编码、安全代码实践和安全运营的态度。下载白皮书 这里。
在这份即将发布的研究中,向开发人员和开发经理询问了他们与安全编码相关的活动。排名前三的回复是:
- 在已部署的应用程序上使用扫描工具。
- 手动检查代码中是否存在漏洞。
- 编写防范漏洞的软件的积极而持续的做法。
那么这告诉我们什么呢?前三名答复中有两个仍然集中在反应式方法上,第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人工)执行手动检查——在这两种情况下 之后 代码已经写好了。使用这些方法检测到的漏洞必须返回给开发团队进行返工,这会对项目时间表和项目成本产生连锁反应。
同时,所提名的三项活动中有两项依赖于人为因素——这表明越来越多的人将安全视为人的问题。但是,在所有提名的活动中,最有说服力的是第3项,它确定了人为因素 在编写一开始就保护免受漏洞侵害的软件中。这凸显了向左起步的转变,这是一种积极主动的预防性方法,从软件开发生命周期一开始就为软件提供安全保障。
被动可能等于昂贵
根据IBM的一项研究*,修复发布后代码中的漏洞的成本是最初发现并修复漏洞的成本的三十倍。这是一种强有力的激励措施,促使开发人员从一开始就采取更主动和更人性化的方法来捍卫软件安全,使开发人员能够更安全地进行编码。
这就是你可以称之为 人为主导的防御。但是,要让开发人员开始关注安全性,它必须成为他们每天思考和编码方式的一部分。这要求采用与开发人员日常工作高度相关的全新培训方法,激发他们的学习欲望,这两种方法在当前的训练模式中都无法说出来。
为了创建主动的安全文化,需要进行新的培训,以便:
- 在开发人员提高软件安全技能的同时,使安全编码成为积极而引人入胜的体验
- 鼓励开发人员通过安全思维来查看他们的日常编码任务
- 使安全编码成为他们日常工作流程的固有组成部分
当这些线索汇集在一起时,首先可以防止漏洞发生,从而允许团队发货 质量代码 更快,更有信心。好消息是,已经存在一个在软件开发过程中 “从左开始” 的学习平台——该平台已经为开发人员提供了从一开始就创建高质量代码的技能和工具。
*IBM 软件集团;最大限度地减少代码缺陷以提高软件质量并降低开发成本
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Verzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
