“安全” 不是一个脏话:积极的方法将如何改变你的安全计划
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。但是,有更好的方法。
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
