Ressources sur la gouvernance des logiciels d'IA

一级金融机构如何创造革命性的安全认证体验

在安全合规方面，游戏能否成为通往开发者心中的道路？

这家一级银行客户拥有数百万客户，拥有作为值得信赖的全球金融机构的悠久历史，并致力于创新和跟上数字化转型的步伐，他们将 Secure Code Warrior 用作其组织内部真正独特的教育体验的一部分。

他们创建了一项内部技术教育计划，旨在支持成千上万的员工学习包括机器学习和网络安全在内的多个学科的实用尖端技能。

金融服务行业目前正处于快速而根本的转型时期，许多公司正在改变其服务产品，以适应新兴技术的快节奏发展。从本质上讲，它们正在成为以财务为重点的成熟科技公司。我们的客户的方法不仅使他们能够跟上这一趋势，而且比大多数客户取得了更好（更聪明）的结果。他们对自己的员工进行了巨额投资，以掌握这些重要的新兴领域的最新动态，因此，他们站在金融科技创新和专业知识的最前沿。

为了成功执行该计划，我们的客户和更广泛的团队认为需要确保他们的开发人员完全精通安全编码，并具有很高的网络安全意识。安全意识经理力求与团队积极互动，让他们从一开始就对安全感到兴奋。

挑战

我们客户的安全意识经理在安全行业工作了很长时间，这使他在大大小小的公司采用在线应用程序的爆炸式增长以及以数字为重点的团队的迅速增加中处于领先地位。他亲眼目睹了这种超扩张所带来的专业知识不可避免的孤立，归根结底，这是许多安全和开发团队面临的问题：“在在线采用的早期阶段，开发人员确实考虑了安全性并将其应用到他们的软件版本中。但是，在日益孤立的环境中，一个团队将开发（比如）一个操作系统，然后将其发送给安全团队进行分析，并且通常会带有一堆红色标记和关于如何修复它的注释。它不可避免地是安全的，但是发现和知识会消失在黑洞中，只会一遍又一遍地发生，” 他说。

在谈到他在工作中经常看到的安全问题时，他提到 “人员挑战”：

软件工程师需要报酬来构建功能，安全性可以被视为敏捷开发的巨大障碍。他们忙于处理自己的优先事项，经常将安全方面视为他人的工作。在最极端的一端，有些人认为 “好吧，还什么都没发生。为什么我们如此担心这个软件的安全，为什么它会中断我的开发生命周期？”在日益数字化的世界中，这种态度必须改变。我们需要明确分担软件安全责任的重要性，而不是被视为麻烦。

随着越来越依赖发展来为我们的数字生活提供动力，他看到了墙上的文字：作为一个社会，我们在一个对好人来说越来越不公平的竞争环境中坐视黑客的目标。开发人员需要认真对待安全问题，培养浓厚的兴趣，成为其组织中的第一道防线（事实上，也是所有严肃的科技公司的第一道防线）。

因此，他开始颠覆传统训练。

实施情况

安全意识经理推动了客户设定软件质量新标准的总体理念。具体而言，认为软件固有的安全级别表明了其整体质量和产品可行性。就目前情况而言，在大多数情况下，安全性与质量衡量标准并不密切相关，在评估软件时考虑整体用户界面、速度和可维护性的方式肯定不一样。

他说：“安全性必须成为高软件质量的不可谈判的要求。”“它与可靠性相关，这是大多数公司非常关心的问题，尤其是那些业务模式快速转型、数字化的公司。”

修复已提交代码中漏洞的成本比从一开始就安全编写的成本高出三十倍，因此，将一种可行的安全文化融入他的开发团队已成为一个关键目标。毕竟，有些漏洞是扫描工具无法检测到的，而解决这些漏洞的最有效解决方案是具有安全意识的开发团队。

安全意识经理详细介绍了他在其他形式的培训方面的经验，其中许多培训仍然常用于 “赢得胜利”，让开发人员做好应对日益增长的安全问题的准备：“当开发人员只能通过大量基于理论的工作来学习安全知识时，或者更糟糕的是：很少有'打勾方框然后继续'的合规培训，根本没有足够的实践学习或时间来产生持久的影响。我决心通过应用更有效的解决方案来改变这种状况，” 他说。

高参与度的好处

在一位精明的安全意识经理及其团队的建议下，我们的客户实施了一项定制的认证计划，Secure Code Warrior平台是其中不可或缺的一部分。

他们对更有效、更具吸引力的开发者培训解决方案的调查使他们成为了游戏化的早期采用者，通过他们自己的结构化、全面的课程最大限度地发挥了游戏化的效力和潜力。

“至关重要的是，我们必须将高参与度培训作为文化的一部分，让学生回来继续学习。该系统是一种深思熟虑的方法，旨在培养知识、技能和安全价值感，最终使他们能够使用每天使用的真实源代码，” 他说。

确保解决方案是全面的，涵盖行业标准的安全最佳实践和内部指南，我们的客户能够快速组织培训，对组织内部的软件安全产生积极影响。

结果

我们客户的认证计划是一种成功的、不断变化的培训形式，非常适合其内部科技教育设施等前瞻性举措。这门深度课程以一种有趣、互动和激励性的方式推出，可确保所有学生都有最佳的知识保留机会，并为真正培养安全至上的文化和思维方式提供支持。尽管游戏化无疑使学习变得可口，但该计划的核心实用性仍然是：为开发人员提供识别和阻止应用程序中高风险漏洞所需的技能。

值得注意的是，培训不是强制性的，而是需要开发人员的一定动机。尽管这无疑得到了激励和奖励的支持，但更广泛的团队之所以采用该计划，是因为团队支持越来越多，该程序获得批准。

除了继续培养重要的能力外，该计划还有助于弥合开发和AppSec团队之间的关系差距，使他们站在同一页面，说同样的语言并形成共同利益。

该计划与合规复选框相去甚远，它已成为持续支持有价值的员工及其职业生涯的基础，为全球增长最快的行业之一：网络安全，提供了可衡量的技能提升。像这样的培训计划将从一开始就成为提高软件安全性的基准。

事实速览

完成认证并表示有兴趣成为教师的学生做出了前所未有的回应。这种从根本上讲福音是传播口碑支持、吸收和整体安全意识的有力因素。
我们的客户正在向其组织内的2500多名开发人员推出该计划，其中90％以上的开发人员已经活跃在该系统中。
他们利用这种培训来帮助员工进行整体职业发展，确保他们掌握在不断变化的技术领域运用技能所需的知识。

Conseils pour réussir

→ Prenez le temps d'expliquer les avantages de la formation, le déploiement prévu et les résultats escomptés aux principales parties prenantes, aux participants et aux chefs d'équipe. S'ils sont inclus dès le début, il peut être plus facile d'obtenir un soutien dans des domaines essentiels au fur et à mesure que le programme prend de l'ampleur.

→ C'est un marathon, pas un sprint : tout programme de formation doit évoluer et s'adapter aux besoins changeants du secteur et de l'organisation. besoins changeants du secteur et de l'organisation. Ils ne doivent pas être figés dès le premier jour.

→ Rendez-le amusant ! La formation ne doit pas être ennuyeuse, et une plateforme gamifiée comme Secure Code Warrior est l'occasion parfaite de transformer une tâche aussi importante en un événement mémorable. Vous serez récompensé par un engagement élevé si vous vous donnez la peine d'inclure des prix, des certificats et même un thème, certificats, et même un thème - les possibilités sont infinies.

Études de cas

Créer une expérience révolutionnaire en matière de certification de sécurité

Découvrez comment ils ont mis en place un programme de formation technique interne destiné à aider des milliers d'employés à acquérir des compétences pratiques de pointe dans plusieurs disciplines, notamment l'apprentissage automatique et la cybersécurité.

1er janvier 2021