静态 vs.动态网络安全培训:冲动合规,未来问题
感觉就像 “网络安全合规” 已经流行了多年,无休止的文章、举措和委员会都在讨论世界应如何最好地应对网络犯罪这一巨大的、多重威胁的野兽。
问题是,我们似乎没有做到 那个 取得了长足的进步。在全球范围内,数据泄露的成本一直在稳步上升,五年内增长了12%,稳定在大约 392 万美元 每次违规行为 在 2019 年。随着我们在短短几十年内互联网的使用激增,许多公司在迅速上线、开设商店并应对不安全软件、有限的AppSec资源以及在某些情况下滥用客户信任所带来的后果,只能在没有盔甲的情况下奋斗。
如今,我们无可辩驳地变得更加成熟。我们了解并详细讨论了威胁的范围,各公司都非常清楚网络攻击可能对客户情绪、声誉和利润产生的影响,许多地方都在积极寻求通过合规培训、熟练招聘以及越来越多的DevSecOps计划来改善软件安全性。尽管取得了巨大的飞跃,但我们并没有赢得这场战斗——甚至还差得很远。至少有 四十亿条记录被盗 仅在 2019 年的数据泄露中。
缺少的一个要素是网络安全标准、预期和违规后果方面的渗透有些缓慢(在政府层面)。的来临 GDPR 至少在欧洲,一些人已经开始迎头赶上,但许多政府机构直到现在才迎头赶上,突然需要迅速遵守新出台的合规举措可能会在未来产生一些不利影响。
傻瓜冲进来(参加错误的训练)
以下形式的强有力的指导方针 NIST,新规定 纽约州 以及形成 英国网络安全委员会 对于那些为保护我们的数据安全而奋斗的人来说,所有这些都是巨大的胜利。他们承认当前软件开发中的问题,并采取措施指导组织在安全最佳实践方面,他们现在必须达到的标准,才能被视为合乎道德和合规性。
不幸的是,在现阶段,一些最重要的内容有点难以解释。例如,英国网络安全委员会立法中的一项授权是:
“在已经开展的职业道路基础上,创建明确的认证清单和易于理解的框架,说明它们如何联系在一起以及它们传递了哪些能力”。
尽管随着时间的推移,他们的举措无疑将得到改善和发展,但如果组织现在已经按下紧急按钮并开始培训,他们可能会发现自己没有为未来做好准备。
组织的网络安全需求变化迅速,静态培训解决方案不太可能以所需的速度阻止不安全软件的流动。格局的变化速度比传统课程更新的速度快,这可能会使一些地方陷入 “按需计时” 的合规工作陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了袖手旁观的状态。
静态训练和静态工具也会遇到同样的问题
静态分析工具是 SDLC 不可或缺的一部分,它们是大多数大型组织中稀缺且劳累过度的 AppSec 专家的扫描工具。它们做得很好,但有一个缺陷:没有 “一个” 工具可以扫描每一个漏洞,支持现有的各种编程框架。这也是一个缓慢的过程,只需要一个安全漏洞就能为攻击者敞开大门。
在静态训练中,也存在类似的问题。如果开发人员接受严格的 “一劳永逸” 的课程进行安全培训,那么在这段时间内,他们就不太可能跟上最普遍的安全问题。它可以作为写作时间的快照,很少有人对其进行足够的重新审视,以学生的首选语言和框架提供,也与他们在日常工作中可能面临的漏洞无关。想象一下,试图回忆起你几个月前观看的视频中的一条相关信息,同时试图在交货截止日期之前发布代码... 这不太可能发生。
许多行业正在重新评估传统的教育方法,但是当涉及到开发人员的安全培训时,您只需要看看我们仍然经历的大量数据泄露事件(尤其是那些可以归咎于我们几十年来在编程中如何避免的漏洞的泄露事件), 像 SQL 注入一样)才能意识到我们必须尝试不同的方式。
我们需要的培训超越单一线性课程的局限,能够灵活适应网络安全最佳实践不断变化的需求。
动态训练:黄金标准
通过为开发人员提供动态培训解决方案,该解决方案可以根据业务、个人技能水平和一般行业动态进行快速调整,您可以为他们提供安全编程、将安全放在首位并以安全意识思维行事的最佳基础。
一刀切、从不重新审视、一开始就不参与的培训将完全是在浪费时间,不幸的是,这意味着你最终可能会为了合规而冲动购买一个无效的计划。它可能在你推出之前就已经过时了,或者与他们的日常工作需求几乎无关。
动态训练是一种活生生的呼吸工具,它会不断更新,符合日常需求,让用户进行批判性思维和 实际上是赋予他们学习技能和解决问题的能力。
那么,在安全背景下,动态培训计划是什么样子呢?
它将是:
- 一口大小:开发者可以用可管理的部分学习技能,这些技能比冗长的训练套牌和视频更容易记住(更重要的是应用)
- 相关: 当开发人员主要使用Java编写代码时,如果示例以(比如)C#编写,则通用安全培训有什么用?任何培训都应直接适用于他们的角色,让他们在编程时能够看到需要发现和修复什么(最好是首先要避免)。
- 当前: 这似乎很明显,但通常不是。网络安全格局一直在变化,代码越多,责任就越大。要让开发人员成为您的第一道防线,他们需要接受与现代安全最佳实践保持同步。
- 引人入胜: 开发人员会觉得 “安全” 是一件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程时。正确的培训将向他们展示他们在解决可能演变为巨大风险的日常安全问题、建立责任文化和安全意识方面的能力。
- 乐趣: 动态训练很少是无聊的;从设计上讲,它至少应该有些令人兴奋。想想开发人员喜欢什么:解决问题、与同行竞争,以及像我们许多员工一样,奖励和认可。发挥自己的优势,专注于取得最佳成绩。
对于成为一名软件工程师来说,这是一个激动人心的时刻;他们在数字创新中发挥着不可或缺的作用,帮助打造出色的公司,甚至用自己的创作席卷全球。但是,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效、动态的培训解决方案来支持他们,培养对安全编码的热爱,而不是官僚主义的勾选活动。
尽管监管举措无疑将随着时间的推移而得到改善和发展,但如果各组织现在已经按下了紧急按钮并开始接受培训,他们可能会发现自己没有为未来做好准备。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
感觉就像 “网络安全合规” 已经流行了多年,无休止的文章、举措和委员会都在讨论世界应如何最好地应对网络犯罪这一巨大的、多重威胁的野兽。
问题是,我们似乎没有做到 那个 取得了长足的进步。在全球范围内,数据泄露的成本一直在稳步上升,五年内增长了12%,稳定在大约 392 万美元 每次违规行为 在 2019 年。随着我们在短短几十年内互联网的使用激增,许多公司在迅速上线、开设商店并应对不安全软件、有限的AppSec资源以及在某些情况下滥用客户信任所带来的后果,只能在没有盔甲的情况下奋斗。
如今,我们无可辩驳地变得更加成熟。我们了解并详细讨论了威胁的范围,各公司都非常清楚网络攻击可能对客户情绪、声誉和利润产生的影响,许多地方都在积极寻求通过合规培训、熟练招聘以及越来越多的DevSecOps计划来改善软件安全性。尽管取得了巨大的飞跃,但我们并没有赢得这场战斗——甚至还差得很远。至少有 四十亿条记录被盗 仅在 2019 年的数据泄露中。
缺少的一个要素是网络安全标准、预期和违规后果方面的渗透有些缓慢(在政府层面)。的来临 GDPR 至少在欧洲,一些人已经开始迎头赶上,但许多政府机构直到现在才迎头赶上,突然需要迅速遵守新出台的合规举措可能会在未来产生一些不利影响。
傻瓜冲进来(参加错误的训练)
以下形式的强有力的指导方针 NIST,新规定 纽约州 以及形成 英国网络安全委员会 对于那些为保护我们的数据安全而奋斗的人来说,所有这些都是巨大的胜利。他们承认当前软件开发中的问题,并采取措施指导组织在安全最佳实践方面,他们现在必须达到的标准,才能被视为合乎道德和合规性。
不幸的是,在现阶段,一些最重要的内容有点难以解释。例如,英国网络安全委员会立法中的一项授权是:
“在已经开展的职业道路基础上,创建明确的认证清单和易于理解的框架,说明它们如何联系在一起以及它们传递了哪些能力”。
尽管随着时间的推移,他们的举措无疑将得到改善和发展,但如果组织现在已经按下紧急按钮并开始培训,他们可能会发现自己没有为未来做好准备。
组织的网络安全需求变化迅速,静态培训解决方案不太可能以所需的速度阻止不安全软件的流动。格局的变化速度比传统课程更新的速度快,这可能会使一些地方陷入 “按需计时” 的合规工作陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了袖手旁观的状态。
静态训练和静态工具也会遇到同样的问题
静态分析工具是 SDLC 不可或缺的一部分,它们是大多数大型组织中稀缺且劳累过度的 AppSec 专家的扫描工具。它们做得很好,但有一个缺陷:没有 “一个” 工具可以扫描每一个漏洞,支持现有的各种编程框架。这也是一个缓慢的过程,只需要一个安全漏洞就能为攻击者敞开大门。
在静态训练中,也存在类似的问题。如果开发人员接受严格的 “一劳永逸” 的课程进行安全培训,那么在这段时间内,他们就不太可能跟上最普遍的安全问题。它可以作为写作时间的快照,很少有人对其进行足够的重新审视,以学生的首选语言和框架提供,也与他们在日常工作中可能面临的漏洞无关。想象一下,试图回忆起你几个月前观看的视频中的一条相关信息,同时试图在交货截止日期之前发布代码... 这不太可能发生。
许多行业正在重新评估传统的教育方法,但是当涉及到开发人员的安全培训时,您只需要看看我们仍然经历的大量数据泄露事件(尤其是那些可以归咎于我们几十年来在编程中如何避免的漏洞的泄露事件), 像 SQL 注入一样)才能意识到我们必须尝试不同的方式。
我们需要的培训超越单一线性课程的局限,能够灵活适应网络安全最佳实践不断变化的需求。
动态训练:黄金标准
通过为开发人员提供动态培训解决方案,该解决方案可以根据业务、个人技能水平和一般行业动态进行快速调整,您可以为他们提供安全编程、将安全放在首位并以安全意识思维行事的最佳基础。
一刀切、从不重新审视、一开始就不参与的培训将完全是在浪费时间,不幸的是,这意味着你最终可能会为了合规而冲动购买一个无效的计划。它可能在你推出之前就已经过时了,或者与他们的日常工作需求几乎无关。
动态训练是一种活生生的呼吸工具,它会不断更新,符合日常需求,让用户进行批判性思维和 实际上是赋予他们学习技能和解决问题的能力。
那么,在安全背景下,动态培训计划是什么样子呢?
它将是:
- 一口大小:开发者可以用可管理的部分学习技能,这些技能比冗长的训练套牌和视频更容易记住(更重要的是应用)
- 相关: 当开发人员主要使用Java编写代码时,如果示例以(比如)C#编写,则通用安全培训有什么用?任何培训都应直接适用于他们的角色,让他们在编程时能够看到需要发现和修复什么(最好是首先要避免)。
- 当前: 这似乎很明显,但通常不是。网络安全格局一直在变化,代码越多,责任就越大。要让开发人员成为您的第一道防线,他们需要接受与现代安全最佳实践保持同步。
- 引人入胜: 开发人员会觉得 “安全” 是一件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程时。正确的培训将向他们展示他们在解决可能演变为巨大风险的日常安全问题、建立责任文化和安全意识方面的能力。
- 乐趣: 动态训练很少是无聊的;从设计上讲,它至少应该有些令人兴奋。想想开发人员喜欢什么:解决问题、与同行竞争,以及像我们许多员工一样,奖励和认可。发挥自己的优势,专注于取得最佳成绩。
对于成为一名软件工程师来说,这是一个激动人心的时刻;他们在数字创新中发挥着不可或缺的作用,帮助打造出色的公司,甚至用自己的创作席卷全球。但是,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效、动态的培训解决方案来支持他们,培养对安全编码的热爱,而不是官僚主义的勾选活动。
感觉就像 “网络安全合规” 已经流行了多年,无休止的文章、举措和委员会都在讨论世界应如何最好地应对网络犯罪这一巨大的、多重威胁的野兽。
问题是,我们似乎没有做到 那个 取得了长足的进步。在全球范围内,数据泄露的成本一直在稳步上升,五年内增长了12%,稳定在大约 392 万美元 每次违规行为 在 2019 年。随着我们在短短几十年内互联网的使用激增,许多公司在迅速上线、开设商店并应对不安全软件、有限的AppSec资源以及在某些情况下滥用客户信任所带来的后果,只能在没有盔甲的情况下奋斗。
如今,我们无可辩驳地变得更加成熟。我们了解并详细讨论了威胁的范围,各公司都非常清楚网络攻击可能对客户情绪、声誉和利润产生的影响,许多地方都在积极寻求通过合规培训、熟练招聘以及越来越多的DevSecOps计划来改善软件安全性。尽管取得了巨大的飞跃,但我们并没有赢得这场战斗——甚至还差得很远。至少有 四十亿条记录被盗 仅在 2019 年的数据泄露中。
缺少的一个要素是网络安全标准、预期和违规后果方面的渗透有些缓慢(在政府层面)。的来临 GDPR 至少在欧洲,一些人已经开始迎头赶上,但许多政府机构直到现在才迎头赶上,突然需要迅速遵守新出台的合规举措可能会在未来产生一些不利影响。
傻瓜冲进来(参加错误的训练)
以下形式的强有力的指导方针 NIST,新规定 纽约州 以及形成 英国网络安全委员会 对于那些为保护我们的数据安全而奋斗的人来说,所有这些都是巨大的胜利。他们承认当前软件开发中的问题,并采取措施指导组织在安全最佳实践方面,他们现在必须达到的标准,才能被视为合乎道德和合规性。
不幸的是,在现阶段,一些最重要的内容有点难以解释。例如,英国网络安全委员会立法中的一项授权是:
“在已经开展的职业道路基础上,创建明确的认证清单和易于理解的框架,说明它们如何联系在一起以及它们传递了哪些能力”。
尽管随着时间的推移,他们的举措无疑将得到改善和发展,但如果组织现在已经按下紧急按钮并开始培训,他们可能会发现自己没有为未来做好准备。
组织的网络安全需求变化迅速,静态培训解决方案不太可能以所需的速度阻止不安全软件的流动。格局的变化速度比传统课程更新的速度快,这可能会使一些地方陷入 “按需计时” 的合规工作陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了袖手旁观的状态。
静态训练和静态工具也会遇到同样的问题
静态分析工具是 SDLC 不可或缺的一部分,它们是大多数大型组织中稀缺且劳累过度的 AppSec 专家的扫描工具。它们做得很好,但有一个缺陷:没有 “一个” 工具可以扫描每一个漏洞,支持现有的各种编程框架。这也是一个缓慢的过程,只需要一个安全漏洞就能为攻击者敞开大门。
在静态训练中,也存在类似的问题。如果开发人员接受严格的 “一劳永逸” 的课程进行安全培训,那么在这段时间内,他们就不太可能跟上最普遍的安全问题。它可以作为写作时间的快照,很少有人对其进行足够的重新审视,以学生的首选语言和框架提供,也与他们在日常工作中可能面临的漏洞无关。想象一下,试图回忆起你几个月前观看的视频中的一条相关信息,同时试图在交货截止日期之前发布代码... 这不太可能发生。
许多行业正在重新评估传统的教育方法,但是当涉及到开发人员的安全培训时,您只需要看看我们仍然经历的大量数据泄露事件(尤其是那些可以归咎于我们几十年来在编程中如何避免的漏洞的泄露事件), 像 SQL 注入一样)才能意识到我们必须尝试不同的方式。
我们需要的培训超越单一线性课程的局限,能够灵活适应网络安全最佳实践不断变化的需求。
动态训练:黄金标准
通过为开发人员提供动态培训解决方案,该解决方案可以根据业务、个人技能水平和一般行业动态进行快速调整,您可以为他们提供安全编程、将安全放在首位并以安全意识思维行事的最佳基础。
一刀切、从不重新审视、一开始就不参与的培训将完全是在浪费时间,不幸的是,这意味着你最终可能会为了合规而冲动购买一个无效的计划。它可能在你推出之前就已经过时了,或者与他们的日常工作需求几乎无关。
动态训练是一种活生生的呼吸工具,它会不断更新,符合日常需求,让用户进行批判性思维和 实际上是赋予他们学习技能和解决问题的能力。
那么,在安全背景下,动态培训计划是什么样子呢?
它将是:
- 一口大小:开发者可以用可管理的部分学习技能,这些技能比冗长的训练套牌和视频更容易记住(更重要的是应用)
- 相关: 当开发人员主要使用Java编写代码时,如果示例以(比如)C#编写,则通用安全培训有什么用?任何培训都应直接适用于他们的角色,让他们在编程时能够看到需要发现和修复什么(最好是首先要避免)。
- 当前: 这似乎很明显,但通常不是。网络安全格局一直在变化,代码越多,责任就越大。要让开发人员成为您的第一道防线,他们需要接受与现代安全最佳实践保持同步。
- 引人入胜: 开发人员会觉得 “安全” 是一件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程时。正确的培训将向他们展示他们在解决可能演变为巨大风险的日常安全问题、建立责任文化和安全意识方面的能力。
- 乐趣: 动态训练很少是无聊的;从设计上讲,它至少应该有些令人兴奋。想想开发人员喜欢什么:解决问题、与同行竞争,以及像我们许多员工一样,奖励和认可。发挥自己的优势,专注于取得最佳成绩。
对于成为一名软件工程师来说,这是一个激动人心的时刻;他们在数字创新中发挥着不可或缺的作用,帮助打造出色的公司,甚至用自己的创作席卷全球。但是,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效、动态的培训解决方案来支持他们,培养对安全编码的热爱,而不是官僚主义的勾选活动。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
感觉就像 “网络安全合规” 已经流行了多年,无休止的文章、举措和委员会都在讨论世界应如何最好地应对网络犯罪这一巨大的、多重威胁的野兽。
问题是,我们似乎没有做到 那个 取得了长足的进步。在全球范围内,数据泄露的成本一直在稳步上升,五年内增长了12%,稳定在大约 392 万美元 每次违规行为 在 2019 年。随着我们在短短几十年内互联网的使用激增,许多公司在迅速上线、开设商店并应对不安全软件、有限的AppSec资源以及在某些情况下滥用客户信任所带来的后果,只能在没有盔甲的情况下奋斗。
如今,我们无可辩驳地变得更加成熟。我们了解并详细讨论了威胁的范围,各公司都非常清楚网络攻击可能对客户情绪、声誉和利润产生的影响,许多地方都在积极寻求通过合规培训、熟练招聘以及越来越多的DevSecOps计划来改善软件安全性。尽管取得了巨大的飞跃,但我们并没有赢得这场战斗——甚至还差得很远。至少有 四十亿条记录被盗 仅在 2019 年的数据泄露中。
缺少的一个要素是网络安全标准、预期和违规后果方面的渗透有些缓慢(在政府层面)。的来临 GDPR 至少在欧洲,一些人已经开始迎头赶上,但许多政府机构直到现在才迎头赶上,突然需要迅速遵守新出台的合规举措可能会在未来产生一些不利影响。
傻瓜冲进来(参加错误的训练)
以下形式的强有力的指导方针 NIST,新规定 纽约州 以及形成 英国网络安全委员会 对于那些为保护我们的数据安全而奋斗的人来说,所有这些都是巨大的胜利。他们承认当前软件开发中的问题,并采取措施指导组织在安全最佳实践方面,他们现在必须达到的标准,才能被视为合乎道德和合规性。
不幸的是,在现阶段,一些最重要的内容有点难以解释。例如,英国网络安全委员会立法中的一项授权是:
“在已经开展的职业道路基础上,创建明确的认证清单和易于理解的框架,说明它们如何联系在一起以及它们传递了哪些能力”。
尽管随着时间的推移,他们的举措无疑将得到改善和发展,但如果组织现在已经按下紧急按钮并开始培训,他们可能会发现自己没有为未来做好准备。
组织的网络安全需求变化迅速,静态培训解决方案不太可能以所需的速度阻止不安全软件的流动。格局的变化速度比传统课程更新的速度快,这可能会使一些地方陷入 “按需计时” 的合规工作陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了袖手旁观的状态。
静态训练和静态工具也会遇到同样的问题
静态分析工具是 SDLC 不可或缺的一部分,它们是大多数大型组织中稀缺且劳累过度的 AppSec 专家的扫描工具。它们做得很好,但有一个缺陷:没有 “一个” 工具可以扫描每一个漏洞,支持现有的各种编程框架。这也是一个缓慢的过程,只需要一个安全漏洞就能为攻击者敞开大门。
在静态训练中,也存在类似的问题。如果开发人员接受严格的 “一劳永逸” 的课程进行安全培训,那么在这段时间内,他们就不太可能跟上最普遍的安全问题。它可以作为写作时间的快照,很少有人对其进行足够的重新审视,以学生的首选语言和框架提供,也与他们在日常工作中可能面临的漏洞无关。想象一下,试图回忆起你几个月前观看的视频中的一条相关信息,同时试图在交货截止日期之前发布代码... 这不太可能发生。
许多行业正在重新评估传统的教育方法,但是当涉及到开发人员的安全培训时,您只需要看看我们仍然经历的大量数据泄露事件(尤其是那些可以归咎于我们几十年来在编程中如何避免的漏洞的泄露事件), 像 SQL 注入一样)才能意识到我们必须尝试不同的方式。
我们需要的培训超越单一线性课程的局限,能够灵活适应网络安全最佳实践不断变化的需求。
动态训练:黄金标准
通过为开发人员提供动态培训解决方案,该解决方案可以根据业务、个人技能水平和一般行业动态进行快速调整,您可以为他们提供安全编程、将安全放在首位并以安全意识思维行事的最佳基础。
一刀切、从不重新审视、一开始就不参与的培训将完全是在浪费时间,不幸的是,这意味着你最终可能会为了合规而冲动购买一个无效的计划。它可能在你推出之前就已经过时了,或者与他们的日常工作需求几乎无关。
动态训练是一种活生生的呼吸工具,它会不断更新,符合日常需求,让用户进行批判性思维和 实际上是赋予他们学习技能和解决问题的能力。
那么,在安全背景下,动态培训计划是什么样子呢?
它将是:
- 一口大小:开发者可以用可管理的部分学习技能,这些技能比冗长的训练套牌和视频更容易记住(更重要的是应用)
- 相关: 当开发人员主要使用Java编写代码时,如果示例以(比如)C#编写,则通用安全培训有什么用?任何培训都应直接适用于他们的角色,让他们在编程时能够看到需要发现和修复什么(最好是首先要避免)。
- 当前: 这似乎很明显,但通常不是。网络安全格局一直在变化,代码越多,责任就越大。要让开发人员成为您的第一道防线,他们需要接受与现代安全最佳实践保持同步。
- 引人入胜: 开发人员会觉得 “安全” 是一件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程时。正确的培训将向他们展示他们在解决可能演变为巨大风险的日常安全问题、建立责任文化和安全意识方面的能力。
- 乐趣: 动态训练很少是无聊的;从设计上讲,它至少应该有些令人兴奋。想想开发人员喜欢什么:解决问题、与同行竞争,以及像我们许多员工一样,奖励和认可。发挥自己的优势,专注于取得最佳成绩。
对于成为一名软件工程师来说,这是一个激动人心的时刻;他们在数字创新中发挥着不可或缺的作用,帮助打造出色的公司,甚至用自己的创作席卷全球。但是,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效、动态的培训解决方案来支持他们,培养对安全编码的热爱,而不是官僚主义的勾选活动。
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
