推动企业安全设计计划取得有意义的成功
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
我们最新的研究论文《基准安全技能:简化企业中的安全设计》是对企业层面真正的安全设计计划进行深入分析的结果,并根据数据驱动的发现得出最佳实践方法。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
