对开发人员进行安全技能基准测试的好处
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
Conclusion
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
人们越来越关注安全代码和安全设计原则,这要求开发人员从SDLC一开始就接受网络安全培训,Secure Code Warrior的信任评分等工具可以帮助衡量和改善他们的进度。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
Conclusion
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
Conclusion
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
Conclusion
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
