开发人员如何定义 “安全编码”?
这篇文章的一个版本出现在 科技共和国。它已在此处更新和发布。
要创造一个让安全团队与开发人员目标保持一致的环境,这是一场艰苦但必不可少的战斗。我们还有很长的路要走,但是阻碍为软件安全共同责任打开大门所需的协同作用所面临的障碍越来越明显。聪明的公司希望制定战略以避免这些陷阱,找到富有成效的前进方向,并充分利用DevSecOps发挥其以人为本的潜力。
我没想到的是,对什么构成安全编码行为的看法还有待商榷。根据与Evans Data合作的全新研究,这种情绪以黑白形式展现出来。这个 《2022年开发者驱动的安全现状》调查 深入研究 1200 名活跃开发者的关键见解和经验,阐明他们在安全领域的态度和挑战。
主要发现之一是 只有14%的开发人员在编码时将安全性视为优先事项。尽管这表明还有很大的改进余地,但它证实了我们已经知道的:功能构建是开发者世界中的王道,他们仍然没有能力将安全性作为其DNA的一部分。但是,如果再加上有关开发人员定义安全编码对他们意味着什么的数据,就会令人担忧。
这些看法是由开发人员在工作日中的经验驱动的,它反映了许多组织的环境,即开发人员根本不是应对常见漏洞的焦点。它们的支持至关重要,但与此同时,我们必须迅速就 “安全编码” 的范围以及我们对安全技能熟练的开发人员应有的期望达成共识。
我们需要揭开开发者世界中安全的神秘面纱。
网络安全是一个多方面的、笨手笨脚的野兽,虽然安全编码只是整体格局的一部分,但它是系统中的一个复杂齿轮,需要专家的关注。
调查显示,对于普通开发人员来说,使用安全代码的概念非常孤立,他们的范围通常仅限于一个类别,而不是对基本原理及其他方面的整体看法。开发人员表示依赖于使用现有(或预先批准的)代码,而不是编写没有漏洞的新代码的做法。而有关第三方组件(尤其是补丁)的安全意识以及 Log4Shell 的崩溃就是一个很好的例子: 自 12 月以来,30% 的实例仍未打补丁) 非常重要,测试现有代码也非常重要,光靠这些代码还不能满足安全编码能力的功能级别。
代码级漏洞是由学习了不良编码模式的开发人员引入的,不重视在 KPI 中编写安全代码(再加上乏善可陈的安全文化)只会强化其作为可接受的标准。
安全领导者首先要确保向开发团队展示安全编码的全部内容,从而在提高初始意识和确定最紧迫的知识差距方面大有帮助。测试和扫描预先批准的代码是一项功能,但是要减少漏洞,就需要使用正在使用的语言和框架进行有关良好、安全的编码模式的动手培训。
情境对于开发人员技能提升至关重要,在实现业务安全目标时,需要让他们踏上旅程。
许多组织需要升级其安全程序。
在过去十年中,软件驱动技术的爆炸式增长为网络安全事件的快速增长铺平了道路,我们都在争先恐后地跟上威胁行为者的步伐,以发现宝贵系统中的漏洞。
DevSecOps 方法建立在每个人共同承担安全责任的理念之上,包括开发人员,这是 SDLC 成立之初的主要考虑因素。问题在于,尤其是在大公司中,它们可能是 正是 远未将 DevSecOps 作为标准来实施。在2017年, 项目管理协会的一项研究 显示 51% 的组织仍在使用 Waterfall 进行软件开发。这项研究现已进行了五年,但知道大型企业的变化是多么缓慢,因此不太可能急剧过渡到最新的安全导向方法。这些传统流程可能会给安全专业人员带来一场艰苦的战斗,他们试图通过全面的战略覆盖所有基础以防范网络威胁,而在这种环境中改造开发人员及其需求是一项挑战。
但是,我们不能以此为借口。业务中的安全专业人员可以利用开发人员制定更高的策略;他们只需要熟悉自己的需求,并将其视为防御策略的一部分即可。他们需要全面的培训,任何安全责任都需要根据他们的技术堆栈和工作流程来履行。
安全编码 = “太难了” 的篮子?
Evans Data的研究表明,有惊人的86%的开发人员认为实践安全编码具有挑战性,92%的开发人员经理也承认他们的团队需要更多的安全框架培训。令人担忧的是,48%的受访者承认他们故意在代码中留下漏洞。
这描绘了一幅非常令人担忧的画面。总体而言,开发人员似乎没有得到频繁和充分的培训,也没有足够的机会接触到良好的安全实践和卫生习惯。从字里行间看,它强化了问题的症结所在:开发人员在工作中考虑安全性根本不是优先事项。这以及他们接受的培训并不能建立他们的信心或实践技能,也无助于他们了解发布易受攻击代码的决定所产生的影响。
Colonial Pipeline勒索软件攻击是过去一年中最具破坏性的供应链安全事件之一,引发了人们对美国东海岸一半天然气供应将被无限期切断的担忧。值得庆幸的是,它们很快就恢复了运行状态,但社区中并非没有严重的担忧。那是关键时刻之一,公众面临着网络事件的可能性,该事件严重影响了物理世界中不一定被视为软件驱动的元素,也不一定是网络攻击的风险。而所有这些混乱都是由两个未修补的旧漏洞造成的,其中一个是阴险但广为人知的 SQL 注入。如果开发人员知道在选择发布易受攻击的代码时真正危在旦夕,他们很快就会发现这种情况是不可接受的业务风险。
功能 “P-P-T” 不由开发人员决定。
如果没有经过深思熟虑的策略,就无法实现著名的 “人员、流程和工具” “金三角”,如果不考虑他们的需求和挑战,开发人员就无法融入有效的安全流程。
要提升开发人员驱动的安全性,需要进行大规模的文化转变,首先是教育途径,使工程师和安全团队都变得更加清晰。
对什么构成安全编码行为的看法尚有待商榷。根据与Evans Data合作的最新研究,这种情绪以黑白形式展现出来。2022年开发者驱动的安全状况调查深入研究了1200名活跃开发者的关键见解和经验,阐明了他们在安全领域的态度和挑战。
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本出现在 科技共和国。它已在此处更新和发布。
要创造一个让安全团队与开发人员目标保持一致的环境,这是一场艰苦但必不可少的战斗。我们还有很长的路要走,但是阻碍为软件安全共同责任打开大门所需的协同作用所面临的障碍越来越明显。聪明的公司希望制定战略以避免这些陷阱,找到富有成效的前进方向,并充分利用DevSecOps发挥其以人为本的潜力。
我没想到的是,对什么构成安全编码行为的看法还有待商榷。根据与Evans Data合作的全新研究,这种情绪以黑白形式展现出来。这个 《2022年开发者驱动的安全现状》调查 深入研究 1200 名活跃开发者的关键见解和经验,阐明他们在安全领域的态度和挑战。
主要发现之一是 只有14%的开发人员在编码时将安全性视为优先事项。尽管这表明还有很大的改进余地,但它证实了我们已经知道的:功能构建是开发者世界中的王道,他们仍然没有能力将安全性作为其DNA的一部分。但是,如果再加上有关开发人员定义安全编码对他们意味着什么的数据,就会令人担忧。
这些看法是由开发人员在工作日中的经验驱动的,它反映了许多组织的环境,即开发人员根本不是应对常见漏洞的焦点。它们的支持至关重要,但与此同时,我们必须迅速就 “安全编码” 的范围以及我们对安全技能熟练的开发人员应有的期望达成共识。
我们需要揭开开发者世界中安全的神秘面纱。
网络安全是一个多方面的、笨手笨脚的野兽,虽然安全编码只是整体格局的一部分,但它是系统中的一个复杂齿轮,需要专家的关注。
调查显示,对于普通开发人员来说,使用安全代码的概念非常孤立,他们的范围通常仅限于一个类别,而不是对基本原理及其他方面的整体看法。开发人员表示依赖于使用现有(或预先批准的)代码,而不是编写没有漏洞的新代码的做法。而有关第三方组件(尤其是补丁)的安全意识以及 Log4Shell 的崩溃就是一个很好的例子: 自 12 月以来,30% 的实例仍未打补丁) 非常重要,测试现有代码也非常重要,光靠这些代码还不能满足安全编码能力的功能级别。
代码级漏洞是由学习了不良编码模式的开发人员引入的,不重视在 KPI 中编写安全代码(再加上乏善可陈的安全文化)只会强化其作为可接受的标准。
安全领导者首先要确保向开发团队展示安全编码的全部内容,从而在提高初始意识和确定最紧迫的知识差距方面大有帮助。测试和扫描预先批准的代码是一项功能,但是要减少漏洞,就需要使用正在使用的语言和框架进行有关良好、安全的编码模式的动手培训。
情境对于开发人员技能提升至关重要,在实现业务安全目标时,需要让他们踏上旅程。
许多组织需要升级其安全程序。
在过去十年中,软件驱动技术的爆炸式增长为网络安全事件的快速增长铺平了道路,我们都在争先恐后地跟上威胁行为者的步伐,以发现宝贵系统中的漏洞。
DevSecOps 方法建立在每个人共同承担安全责任的理念之上,包括开发人员,这是 SDLC 成立之初的主要考虑因素。问题在于,尤其是在大公司中,它们可能是 正是 远未将 DevSecOps 作为标准来实施。在2017年, 项目管理协会的一项研究 显示 51% 的组织仍在使用 Waterfall 进行软件开发。这项研究现已进行了五年,但知道大型企业的变化是多么缓慢,因此不太可能急剧过渡到最新的安全导向方法。这些传统流程可能会给安全专业人员带来一场艰苦的战斗,他们试图通过全面的战略覆盖所有基础以防范网络威胁,而在这种环境中改造开发人员及其需求是一项挑战。
但是,我们不能以此为借口。业务中的安全专业人员可以利用开发人员制定更高的策略;他们只需要熟悉自己的需求,并将其视为防御策略的一部分即可。他们需要全面的培训,任何安全责任都需要根据他们的技术堆栈和工作流程来履行。
安全编码 = “太难了” 的篮子?
Evans Data的研究表明,有惊人的86%的开发人员认为实践安全编码具有挑战性,92%的开发人员经理也承认他们的团队需要更多的安全框架培训。令人担忧的是,48%的受访者承认他们故意在代码中留下漏洞。
这描绘了一幅非常令人担忧的画面。总体而言,开发人员似乎没有得到频繁和充分的培训,也没有足够的机会接触到良好的安全实践和卫生习惯。从字里行间看,它强化了问题的症结所在:开发人员在工作中考虑安全性根本不是优先事项。这以及他们接受的培训并不能建立他们的信心或实践技能,也无助于他们了解发布易受攻击代码的决定所产生的影响。
Colonial Pipeline勒索软件攻击是过去一年中最具破坏性的供应链安全事件之一,引发了人们对美国东海岸一半天然气供应将被无限期切断的担忧。值得庆幸的是,它们很快就恢复了运行状态,但社区中并非没有严重的担忧。那是关键时刻之一,公众面临着网络事件的可能性,该事件严重影响了物理世界中不一定被视为软件驱动的元素,也不一定是网络攻击的风险。而所有这些混乱都是由两个未修补的旧漏洞造成的,其中一个是阴险但广为人知的 SQL 注入。如果开发人员知道在选择发布易受攻击的代码时真正危在旦夕,他们很快就会发现这种情况是不可接受的业务风险。
功能 “P-P-T” 不由开发人员决定。
如果没有经过深思熟虑的策略,就无法实现著名的 “人员、流程和工具” “金三角”,如果不考虑他们的需求和挑战,开发人员就无法融入有效的安全流程。
要提升开发人员驱动的安全性,需要进行大规模的文化转变,首先是教育途径,使工程师和安全团队都变得更加清晰。
这篇文章的一个版本出现在 科技共和国。它已在此处更新和发布。
要创造一个让安全团队与开发人员目标保持一致的环境,这是一场艰苦但必不可少的战斗。我们还有很长的路要走,但是阻碍为软件安全共同责任打开大门所需的协同作用所面临的障碍越来越明显。聪明的公司希望制定战略以避免这些陷阱,找到富有成效的前进方向,并充分利用DevSecOps发挥其以人为本的潜力。
我没想到的是,对什么构成安全编码行为的看法还有待商榷。根据与Evans Data合作的全新研究,这种情绪以黑白形式展现出来。这个 《2022年开发者驱动的安全现状》调查 深入研究 1200 名活跃开发者的关键见解和经验,阐明他们在安全领域的态度和挑战。
主要发现之一是 只有14%的开发人员在编码时将安全性视为优先事项。尽管这表明还有很大的改进余地,但它证实了我们已经知道的:功能构建是开发者世界中的王道,他们仍然没有能力将安全性作为其DNA的一部分。但是,如果再加上有关开发人员定义安全编码对他们意味着什么的数据,就会令人担忧。
这些看法是由开发人员在工作日中的经验驱动的,它反映了许多组织的环境,即开发人员根本不是应对常见漏洞的焦点。它们的支持至关重要,但与此同时,我们必须迅速就 “安全编码” 的范围以及我们对安全技能熟练的开发人员应有的期望达成共识。
我们需要揭开开发者世界中安全的神秘面纱。
网络安全是一个多方面的、笨手笨脚的野兽,虽然安全编码只是整体格局的一部分,但它是系统中的一个复杂齿轮,需要专家的关注。
调查显示,对于普通开发人员来说,使用安全代码的概念非常孤立,他们的范围通常仅限于一个类别,而不是对基本原理及其他方面的整体看法。开发人员表示依赖于使用现有(或预先批准的)代码,而不是编写没有漏洞的新代码的做法。而有关第三方组件(尤其是补丁)的安全意识以及 Log4Shell 的崩溃就是一个很好的例子: 自 12 月以来,30% 的实例仍未打补丁) 非常重要,测试现有代码也非常重要,光靠这些代码还不能满足安全编码能力的功能级别。
代码级漏洞是由学习了不良编码模式的开发人员引入的,不重视在 KPI 中编写安全代码(再加上乏善可陈的安全文化)只会强化其作为可接受的标准。
安全领导者首先要确保向开发团队展示安全编码的全部内容,从而在提高初始意识和确定最紧迫的知识差距方面大有帮助。测试和扫描预先批准的代码是一项功能,但是要减少漏洞,就需要使用正在使用的语言和框架进行有关良好、安全的编码模式的动手培训。
情境对于开发人员技能提升至关重要,在实现业务安全目标时,需要让他们踏上旅程。
许多组织需要升级其安全程序。
在过去十年中,软件驱动技术的爆炸式增长为网络安全事件的快速增长铺平了道路,我们都在争先恐后地跟上威胁行为者的步伐,以发现宝贵系统中的漏洞。
DevSecOps 方法建立在每个人共同承担安全责任的理念之上,包括开发人员,这是 SDLC 成立之初的主要考虑因素。问题在于,尤其是在大公司中,它们可能是 正是 远未将 DevSecOps 作为标准来实施。在2017年, 项目管理协会的一项研究 显示 51% 的组织仍在使用 Waterfall 进行软件开发。这项研究现已进行了五年,但知道大型企业的变化是多么缓慢,因此不太可能急剧过渡到最新的安全导向方法。这些传统流程可能会给安全专业人员带来一场艰苦的战斗,他们试图通过全面的战略覆盖所有基础以防范网络威胁,而在这种环境中改造开发人员及其需求是一项挑战。
但是,我们不能以此为借口。业务中的安全专业人员可以利用开发人员制定更高的策略;他们只需要熟悉自己的需求,并将其视为防御策略的一部分即可。他们需要全面的培训,任何安全责任都需要根据他们的技术堆栈和工作流程来履行。
安全编码 = “太难了” 的篮子?
Evans Data的研究表明,有惊人的86%的开发人员认为实践安全编码具有挑战性,92%的开发人员经理也承认他们的团队需要更多的安全框架培训。令人担忧的是,48%的受访者承认他们故意在代码中留下漏洞。
这描绘了一幅非常令人担忧的画面。总体而言,开发人员似乎没有得到频繁和充分的培训,也没有足够的机会接触到良好的安全实践和卫生习惯。从字里行间看,它强化了问题的症结所在:开发人员在工作中考虑安全性根本不是优先事项。这以及他们接受的培训并不能建立他们的信心或实践技能,也无助于他们了解发布易受攻击代码的决定所产生的影响。
Colonial Pipeline勒索软件攻击是过去一年中最具破坏性的供应链安全事件之一,引发了人们对美国东海岸一半天然气供应将被无限期切断的担忧。值得庆幸的是,它们很快就恢复了运行状态,但社区中并非没有严重的担忧。那是关键时刻之一,公众面临着网络事件的可能性,该事件严重影响了物理世界中不一定被视为软件驱动的元素,也不一定是网络攻击的风险。而所有这些混乱都是由两个未修补的旧漏洞造成的,其中一个是阴险但广为人知的 SQL 注入。如果开发人员知道在选择发布易受攻击的代码时真正危在旦夕,他们很快就会发现这种情况是不可接受的业务风险。
功能 “P-P-T” 不由开发人员决定。
如果没有经过深思熟虑的策略,就无法实现著名的 “人员、流程和工具” “金三角”,如果不考虑他们的需求和挑战,开发人员就无法融入有效的安全流程。
要提升开发人员驱动的安全性,需要进行大规模的文化转变,首先是教育途径,使工程师和安全团队都变得更加清晰。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本出现在 科技共和国。它已在此处更新和发布。
要创造一个让安全团队与开发人员目标保持一致的环境,这是一场艰苦但必不可少的战斗。我们还有很长的路要走,但是阻碍为软件安全共同责任打开大门所需的协同作用所面临的障碍越来越明显。聪明的公司希望制定战略以避免这些陷阱,找到富有成效的前进方向,并充分利用DevSecOps发挥其以人为本的潜力。
我没想到的是,对什么构成安全编码行为的看法还有待商榷。根据与Evans Data合作的全新研究,这种情绪以黑白形式展现出来。这个 《2022年开发者驱动的安全现状》调查 深入研究 1200 名活跃开发者的关键见解和经验,阐明他们在安全领域的态度和挑战。
主要发现之一是 只有14%的开发人员在编码时将安全性视为优先事项。尽管这表明还有很大的改进余地,但它证实了我们已经知道的:功能构建是开发者世界中的王道,他们仍然没有能力将安全性作为其DNA的一部分。但是,如果再加上有关开发人员定义安全编码对他们意味着什么的数据,就会令人担忧。
这些看法是由开发人员在工作日中的经验驱动的,它反映了许多组织的环境,即开发人员根本不是应对常见漏洞的焦点。它们的支持至关重要,但与此同时,我们必须迅速就 “安全编码” 的范围以及我们对安全技能熟练的开发人员应有的期望达成共识。
我们需要揭开开发者世界中安全的神秘面纱。
网络安全是一个多方面的、笨手笨脚的野兽,虽然安全编码只是整体格局的一部分,但它是系统中的一个复杂齿轮,需要专家的关注。
调查显示,对于普通开发人员来说,使用安全代码的概念非常孤立,他们的范围通常仅限于一个类别,而不是对基本原理及其他方面的整体看法。开发人员表示依赖于使用现有(或预先批准的)代码,而不是编写没有漏洞的新代码的做法。而有关第三方组件(尤其是补丁)的安全意识以及 Log4Shell 的崩溃就是一个很好的例子: 自 12 月以来,30% 的实例仍未打补丁) 非常重要,测试现有代码也非常重要,光靠这些代码还不能满足安全编码能力的功能级别。
代码级漏洞是由学习了不良编码模式的开发人员引入的,不重视在 KPI 中编写安全代码(再加上乏善可陈的安全文化)只会强化其作为可接受的标准。
安全领导者首先要确保向开发团队展示安全编码的全部内容,从而在提高初始意识和确定最紧迫的知识差距方面大有帮助。测试和扫描预先批准的代码是一项功能,但是要减少漏洞,就需要使用正在使用的语言和框架进行有关良好、安全的编码模式的动手培训。
情境对于开发人员技能提升至关重要,在实现业务安全目标时,需要让他们踏上旅程。
许多组织需要升级其安全程序。
在过去十年中,软件驱动技术的爆炸式增长为网络安全事件的快速增长铺平了道路,我们都在争先恐后地跟上威胁行为者的步伐,以发现宝贵系统中的漏洞。
DevSecOps 方法建立在每个人共同承担安全责任的理念之上,包括开发人员,这是 SDLC 成立之初的主要考虑因素。问题在于,尤其是在大公司中,它们可能是 正是 远未将 DevSecOps 作为标准来实施。在2017年, 项目管理协会的一项研究 显示 51% 的组织仍在使用 Waterfall 进行软件开发。这项研究现已进行了五年,但知道大型企业的变化是多么缓慢,因此不太可能急剧过渡到最新的安全导向方法。这些传统流程可能会给安全专业人员带来一场艰苦的战斗,他们试图通过全面的战略覆盖所有基础以防范网络威胁,而在这种环境中改造开发人员及其需求是一项挑战。
但是,我们不能以此为借口。业务中的安全专业人员可以利用开发人员制定更高的策略;他们只需要熟悉自己的需求,并将其视为防御策略的一部分即可。他们需要全面的培训,任何安全责任都需要根据他们的技术堆栈和工作流程来履行。
安全编码 = “太难了” 的篮子?
Evans Data的研究表明,有惊人的86%的开发人员认为实践安全编码具有挑战性,92%的开发人员经理也承认他们的团队需要更多的安全框架培训。令人担忧的是,48%的受访者承认他们故意在代码中留下漏洞。
这描绘了一幅非常令人担忧的画面。总体而言,开发人员似乎没有得到频繁和充分的培训,也没有足够的机会接触到良好的安全实践和卫生习惯。从字里行间看,它强化了问题的症结所在:开发人员在工作中考虑安全性根本不是优先事项。这以及他们接受的培训并不能建立他们的信心或实践技能,也无助于他们了解发布易受攻击代码的决定所产生的影响。
Colonial Pipeline勒索软件攻击是过去一年中最具破坏性的供应链安全事件之一,引发了人们对美国东海岸一半天然气供应将被无限期切断的担忧。值得庆幸的是,它们很快就恢复了运行状态,但社区中并非没有严重的担忧。那是关键时刻之一,公众面临着网络事件的可能性,该事件严重影响了物理世界中不一定被视为软件驱动的元素,也不一定是网络攻击的风险。而所有这些混乱都是由两个未修补的旧漏洞造成的,其中一个是阴险但广为人知的 SQL 注入。如果开发人员知道在选择发布易受攻击的代码时真正危在旦夕,他们很快就会发现这种情况是不可接受的业务风险。
功能 “P-P-T” 不由开发人员决定。
如果没有经过深思熟虑的策略,就无法实现著名的 “人员、流程和工具” “金三角”,如果不考虑他们的需求和挑战,开发人员就无法融入有效的安全流程。
要提升开发人员驱动的安全性,需要进行大规模的文化转变,首先是教育途径,使工程师和安全团队都变得更加清晰。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
