网络安全行业分析:我们必须纠正的另一个反复出现的漏洞
这篇文章的一个版本出现在 帮助网络安全。 它已在此处更新和发布。
我的职业生涯一直在寻找、修复、讨论和分解 软件漏洞,不管怎样。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就存在于我们的轨道上,但它们仍然困扰着我们的软件并造成重大问题,尽管(通常很简单)的修复方法已经存在了几乎相同的时间了。感觉确实像土拨鼠日,我们作为一个行业似乎一遍又一遍地做同样的事情,并期望得到不同的结果。
但是,还有另一个小问题。我们没有得到切合实际的建议,也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然,每种漏洞都有自己的不同,并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制,但最佳实践方法似乎每时每刻都存在更多缺陷。
为此,我确实想知道为什么这么多有关网络安全的评论和分析都忽略了真正解决如此众多漏洞根本原因的解决方案:人类。Gartner 最新的 应用程序安全的炒作周期,还有 Forrester's 2021 年应用程序安全状况,这两本供安全专家使用的圣经几乎完全以工具为中心,无疑有助于制定他们的计划和潜在的产品采用率。阿伯丁早在2017年发布的一份报告 显示了普通的安全技术堆栈已经变得多么不守规矩,首席信息安全官管理数百种产品,这是其安全战略的一部分;四年后,我们正在努力应对更多的风险、更多的漏洞以及成长中的技术堆栈巨头中的更多新增内容。
安全工具是必备工具,但我们需要扩大视野,恢复安全防御中人员部分的平衡。
自动化是未来。我们为什么要关心网络安全的人为因素?
实际上,我们生活中的所有事物都由软件提供支持,自动化确实正在取代曾经存在于许多行业的人为元素。这表明世界正在以惊人的速度实现数字化,人工智能和机器学习的热门话题使许多组织着眼于未来。
那么,为什么以人为本的网络安全方法除了解决技术进步问题的过时解决方案之外别无他法?在过去的一年中,数十亿条数据记录在泄露中被盗走,包括最近的Facebook泄露事件 影响了超过五亿个账户,应该表明我们在严肃反击威胁行为者方面做得还不够(或采取正确的方法)。
网络安全工具是网络防御中急需的组成部分,工具将永远占有一席之地。分析师在为企业推荐风险缓解方法中的最新工具方面绝对是正确的,这种情况不会改变。但是,由于在代码生产量下难以管理代码质量(顾名思义,还有安全性),因此工具无法单独完成这项工作。迄今为止,还没有一个工具能够:
- 扫描每种语言中的所有漏洞:framework
- 快速扫描
- 尽量减少由误报和阴性引起的双重处理
工具可能很慢、很麻烦,而且不灵活。但是,最重要的是,他们只会发现问题——他们不会修复问题,也不会推荐解决方案。后者需要身材瘦弱、劳累过度的安全专家在垃圾桶中涉水,在无休止的渗透测试和扫描结果中寻找宝藏。
事实是,根据IBM网络安全情报指数报告,人为错误起着作用 95% 的成功数据泄露事件。差不多 其中一半 直接与 软件漏洞,如果在SDLC的早期阶段加强对安全编码的遵守和意识,其中许多问题可能会得到缓解。但是,要实现这一目标,除了使其成为开发人员工作流程的固有内容外,还要更加敏锐、更相关的关注是关键。
不管我们喜不喜欢,人类在软件开发过程中根深蒂固,网络安全绝对是人类的问题。工具不会成为纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是构建了更好的工具(还有很多)呢?
安全工具一直在改进。SAST/DAST/IAST 工具已经取得了长足的进步,提高了速度和智能,在许多应用环境中,RASP 应该成为严肃的防御考虑因素。防火墙、机密管理器、云和网络安全应用程序:都不费吹灰之力。
人类可以随时努力制造更好的工具,但是创新跟不上我们所生活的数字世界的安全和数据保护需求。在大多数情况下,工具是在考虑机器人的情况下构建的。他们可能会在那里协助开发人员和安全团队扫描、监控或保护代码,但是互动非常有限,很少有解决方案旨在提高安全意识或提高核心技能,从而带来更好的安全结果。
实际上, 超过一半的企业甚至不知道这些工具是否对他们有用,他们也没有信心自己能够避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个痴迷于工具的行业中,缺乏对另一种方法的支持,往往会巩固现状和内部的问题。
组织如何利用以人为本的安全方法?
毫无疑问,保持应用安全技术趋势的领先地位是有益的,甚至可以帮助在膨胀的技术堆栈中优先考虑升级或整合,但是放弃针对易受攻击软件的根本原因——我们只是人类——将使我们在网络安全前线处于失败的一边。
如果我们想认真减少代码级安全漏洞的数量,那么就需要为开发人员成功分担安全责任奠定基础。他们需要相关的实践教育和在职技能提升,以及不会干扰其工作流程或使安全开发成为繁琐工作的实用工具。理想情况下,一些工具将以开发者为中心,以用户体验为中心进行构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和不断提高的安全编码技能中受益,在大型科技堆栈必须采取行动并放慢一切速度之前,尽早消除常见漏洞。
一支具有安全意识的开发人员团队对任何组织来说都是隐藏的宝藏,但就像任何值得拥有的团队一样,组建一支有效的梦之队需要时间和精力。要赢得开发人员对安全性的关注,并将安全编码视为代码质量的基础,需要整个组织都承诺将安全放在首位。而且,当整个团队都意识到在编写代码时在消除常见漏洞方面可以发挥的积极影响时,地球上就没有可以竞争的工具了。
我们没有得到切合实际的建议,也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然,每种漏洞都有自己的不同,并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制,但最佳实践方法似乎每时每刻都存在更多缺陷。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现在 帮助网络安全。 它已在此处更新和发布。
我的职业生涯一直在寻找、修复、讨论和分解 软件漏洞,不管怎样。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就存在于我们的轨道上,但它们仍然困扰着我们的软件并造成重大问题,尽管(通常很简单)的修复方法已经存在了几乎相同的时间了。感觉确实像土拨鼠日,我们作为一个行业似乎一遍又一遍地做同样的事情,并期望得到不同的结果。
但是,还有另一个小问题。我们没有得到切合实际的建议,也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然,每种漏洞都有自己的不同,并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制,但最佳实践方法似乎每时每刻都存在更多缺陷。
为此,我确实想知道为什么这么多有关网络安全的评论和分析都忽略了真正解决如此众多漏洞根本原因的解决方案:人类。Gartner 最新的 应用程序安全的炒作周期,还有 Forrester's 2021 年应用程序安全状况,这两本供安全专家使用的圣经几乎完全以工具为中心,无疑有助于制定他们的计划和潜在的产品采用率。阿伯丁早在2017年发布的一份报告 显示了普通的安全技术堆栈已经变得多么不守规矩,首席信息安全官管理数百种产品,这是其安全战略的一部分;四年后,我们正在努力应对更多的风险、更多的漏洞以及成长中的技术堆栈巨头中的更多新增内容。
安全工具是必备工具,但我们需要扩大视野,恢复安全防御中人员部分的平衡。
自动化是未来。我们为什么要关心网络安全的人为因素?
实际上,我们生活中的所有事物都由软件提供支持,自动化确实正在取代曾经存在于许多行业的人为元素。这表明世界正在以惊人的速度实现数字化,人工智能和机器学习的热门话题使许多组织着眼于未来。
那么,为什么以人为本的网络安全方法除了解决技术进步问题的过时解决方案之外别无他法?在过去的一年中,数十亿条数据记录在泄露中被盗走,包括最近的Facebook泄露事件 影响了超过五亿个账户,应该表明我们在严肃反击威胁行为者方面做得还不够(或采取正确的方法)。
网络安全工具是网络防御中急需的组成部分,工具将永远占有一席之地。分析师在为企业推荐风险缓解方法中的最新工具方面绝对是正确的,这种情况不会改变。但是,由于在代码生产量下难以管理代码质量(顾名思义,还有安全性),因此工具无法单独完成这项工作。迄今为止,还没有一个工具能够:
- 扫描每种语言中的所有漏洞:framework
- 快速扫描
- 尽量减少由误报和阴性引起的双重处理
工具可能很慢、很麻烦,而且不灵活。但是,最重要的是,他们只会发现问题——他们不会修复问题,也不会推荐解决方案。后者需要身材瘦弱、劳累过度的安全专家在垃圾桶中涉水,在无休止的渗透测试和扫描结果中寻找宝藏。
事实是,根据IBM网络安全情报指数报告,人为错误起着作用 95% 的成功数据泄露事件。差不多 其中一半 直接与 软件漏洞,如果在SDLC的早期阶段加强对安全编码的遵守和意识,其中许多问题可能会得到缓解。但是,要实现这一目标,除了使其成为开发人员工作流程的固有内容外,还要更加敏锐、更相关的关注是关键。
不管我们喜不喜欢,人类在软件开发过程中根深蒂固,网络安全绝对是人类的问题。工具不会成为纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是构建了更好的工具(还有很多)呢?
安全工具一直在改进。SAST/DAST/IAST 工具已经取得了长足的进步,提高了速度和智能,在许多应用环境中,RASP 应该成为严肃的防御考虑因素。防火墙、机密管理器、云和网络安全应用程序:都不费吹灰之力。
人类可以随时努力制造更好的工具,但是创新跟不上我们所生活的数字世界的安全和数据保护需求。在大多数情况下,工具是在考虑机器人的情况下构建的。他们可能会在那里协助开发人员和安全团队扫描、监控或保护代码,但是互动非常有限,很少有解决方案旨在提高安全意识或提高核心技能,从而带来更好的安全结果。
实际上, 超过一半的企业甚至不知道这些工具是否对他们有用,他们也没有信心自己能够避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个痴迷于工具的行业中,缺乏对另一种方法的支持,往往会巩固现状和内部的问题。
组织如何利用以人为本的安全方法?
毫无疑问,保持应用安全技术趋势的领先地位是有益的,甚至可以帮助在膨胀的技术堆栈中优先考虑升级或整合,但是放弃针对易受攻击软件的根本原因——我们只是人类——将使我们在网络安全前线处于失败的一边。
如果我们想认真减少代码级安全漏洞的数量,那么就需要为开发人员成功分担安全责任奠定基础。他们需要相关的实践教育和在职技能提升,以及不会干扰其工作流程或使安全开发成为繁琐工作的实用工具。理想情况下,一些工具将以开发者为中心,以用户体验为中心进行构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和不断提高的安全编码技能中受益,在大型科技堆栈必须采取行动并放慢一切速度之前,尽早消除常见漏洞。
一支具有安全意识的开发人员团队对任何组织来说都是隐藏的宝藏,但就像任何值得拥有的团队一样,组建一支有效的梦之队需要时间和精力。要赢得开发人员对安全性的关注,并将安全编码视为代码质量的基础,需要整个组织都承诺将安全放在首位。而且,当整个团队都意识到在编写代码时在消除常见漏洞方面可以发挥的积极影响时,地球上就没有可以竞争的工具了。
这篇文章的一个版本出现在 帮助网络安全。 它已在此处更新和发布。
我的职业生涯一直在寻找、修复、讨论和分解 软件漏洞,不管怎样。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就存在于我们的轨道上,但它们仍然困扰着我们的软件并造成重大问题,尽管(通常很简单)的修复方法已经存在了几乎相同的时间了。感觉确实像土拨鼠日,我们作为一个行业似乎一遍又一遍地做同样的事情,并期望得到不同的结果。
但是,还有另一个小问题。我们没有得到切合实际的建议,也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然,每种漏洞都有自己的不同,并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制,但最佳实践方法似乎每时每刻都存在更多缺陷。
为此,我确实想知道为什么这么多有关网络安全的评论和分析都忽略了真正解决如此众多漏洞根本原因的解决方案:人类。Gartner 最新的 应用程序安全的炒作周期,还有 Forrester's 2021 年应用程序安全状况,这两本供安全专家使用的圣经几乎完全以工具为中心,无疑有助于制定他们的计划和潜在的产品采用率。阿伯丁早在2017年发布的一份报告 显示了普通的安全技术堆栈已经变得多么不守规矩,首席信息安全官管理数百种产品,这是其安全战略的一部分;四年后,我们正在努力应对更多的风险、更多的漏洞以及成长中的技术堆栈巨头中的更多新增内容。
安全工具是必备工具,但我们需要扩大视野,恢复安全防御中人员部分的平衡。
自动化是未来。我们为什么要关心网络安全的人为因素?
实际上,我们生活中的所有事物都由软件提供支持,自动化确实正在取代曾经存在于许多行业的人为元素。这表明世界正在以惊人的速度实现数字化,人工智能和机器学习的热门话题使许多组织着眼于未来。
那么,为什么以人为本的网络安全方法除了解决技术进步问题的过时解决方案之外别无他法?在过去的一年中,数十亿条数据记录在泄露中被盗走,包括最近的Facebook泄露事件 影响了超过五亿个账户,应该表明我们在严肃反击威胁行为者方面做得还不够(或采取正确的方法)。
网络安全工具是网络防御中急需的组成部分,工具将永远占有一席之地。分析师在为企业推荐风险缓解方法中的最新工具方面绝对是正确的,这种情况不会改变。但是,由于在代码生产量下难以管理代码质量(顾名思义,还有安全性),因此工具无法单独完成这项工作。迄今为止,还没有一个工具能够:
- 扫描每种语言中的所有漏洞:framework
- 快速扫描
- 尽量减少由误报和阴性引起的双重处理
工具可能很慢、很麻烦,而且不灵活。但是,最重要的是,他们只会发现问题——他们不会修复问题,也不会推荐解决方案。后者需要身材瘦弱、劳累过度的安全专家在垃圾桶中涉水,在无休止的渗透测试和扫描结果中寻找宝藏。
事实是,根据IBM网络安全情报指数报告,人为错误起着作用 95% 的成功数据泄露事件。差不多 其中一半 直接与 软件漏洞,如果在SDLC的早期阶段加强对安全编码的遵守和意识,其中许多问题可能会得到缓解。但是,要实现这一目标,除了使其成为开发人员工作流程的固有内容外,还要更加敏锐、更相关的关注是关键。
不管我们喜不喜欢,人类在软件开发过程中根深蒂固,网络安全绝对是人类的问题。工具不会成为纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是构建了更好的工具(还有很多)呢?
安全工具一直在改进。SAST/DAST/IAST 工具已经取得了长足的进步,提高了速度和智能,在许多应用环境中,RASP 应该成为严肃的防御考虑因素。防火墙、机密管理器、云和网络安全应用程序:都不费吹灰之力。
人类可以随时努力制造更好的工具,但是创新跟不上我们所生活的数字世界的安全和数据保护需求。在大多数情况下,工具是在考虑机器人的情况下构建的。他们可能会在那里协助开发人员和安全团队扫描、监控或保护代码,但是互动非常有限,很少有解决方案旨在提高安全意识或提高核心技能,从而带来更好的安全结果。
实际上, 超过一半的企业甚至不知道这些工具是否对他们有用,他们也没有信心自己能够避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个痴迷于工具的行业中,缺乏对另一种方法的支持,往往会巩固现状和内部的问题。
组织如何利用以人为本的安全方法?
毫无疑问,保持应用安全技术趋势的领先地位是有益的,甚至可以帮助在膨胀的技术堆栈中优先考虑升级或整合,但是放弃针对易受攻击软件的根本原因——我们只是人类——将使我们在网络安全前线处于失败的一边。
如果我们想认真减少代码级安全漏洞的数量,那么就需要为开发人员成功分担安全责任奠定基础。他们需要相关的实践教育和在职技能提升,以及不会干扰其工作流程或使安全开发成为繁琐工作的实用工具。理想情况下,一些工具将以开发者为中心,以用户体验为中心进行构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和不断提高的安全编码技能中受益,在大型科技堆栈必须采取行动并放慢一切速度之前,尽早消除常见漏洞。
一支具有安全意识的开发人员团队对任何组织来说都是隐藏的宝藏,但就像任何值得拥有的团队一样,组建一支有效的梦之队需要时间和精力。要赢得开发人员对安全性的关注,并将安全编码视为代码质量的基础,需要整个组织都承诺将安全放在首位。而且,当整个团队都意识到在编写代码时在消除常见漏洞方面可以发挥的积极影响时,地球上就没有可以竞争的工具了。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现在 帮助网络安全。 它已在此处更新和发布。
我的职业生涯一直在寻找、修复、讨论和分解 软件漏洞,不管怎样。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就存在于我们的轨道上,但它们仍然困扰着我们的软件并造成重大问题,尽管(通常很简单)的修复方法已经存在了几乎相同的时间了。感觉确实像土拨鼠日,我们作为一个行业似乎一遍又一遍地做同样的事情,并期望得到不同的结果。
但是,还有另一个小问题。我们没有得到切合实际的建议,也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然,每种漏洞都有自己的不同,并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制,但最佳实践方法似乎每时每刻都存在更多缺陷。
为此,我确实想知道为什么这么多有关网络安全的评论和分析都忽略了真正解决如此众多漏洞根本原因的解决方案:人类。Gartner 最新的 应用程序安全的炒作周期,还有 Forrester's 2021 年应用程序安全状况,这两本供安全专家使用的圣经几乎完全以工具为中心,无疑有助于制定他们的计划和潜在的产品采用率。阿伯丁早在2017年发布的一份报告 显示了普通的安全技术堆栈已经变得多么不守规矩,首席信息安全官管理数百种产品,这是其安全战略的一部分;四年后,我们正在努力应对更多的风险、更多的漏洞以及成长中的技术堆栈巨头中的更多新增内容。
安全工具是必备工具,但我们需要扩大视野,恢复安全防御中人员部分的平衡。
自动化是未来。我们为什么要关心网络安全的人为因素?
实际上,我们生活中的所有事物都由软件提供支持,自动化确实正在取代曾经存在于许多行业的人为元素。这表明世界正在以惊人的速度实现数字化,人工智能和机器学习的热门话题使许多组织着眼于未来。
那么,为什么以人为本的网络安全方法除了解决技术进步问题的过时解决方案之外别无他法?在过去的一年中,数十亿条数据记录在泄露中被盗走,包括最近的Facebook泄露事件 影响了超过五亿个账户,应该表明我们在严肃反击威胁行为者方面做得还不够(或采取正确的方法)。
网络安全工具是网络防御中急需的组成部分,工具将永远占有一席之地。分析师在为企业推荐风险缓解方法中的最新工具方面绝对是正确的,这种情况不会改变。但是,由于在代码生产量下难以管理代码质量(顾名思义,还有安全性),因此工具无法单独完成这项工作。迄今为止,还没有一个工具能够:
- 扫描每种语言中的所有漏洞:framework
- 快速扫描
- 尽量减少由误报和阴性引起的双重处理
工具可能很慢、很麻烦,而且不灵活。但是,最重要的是,他们只会发现问题——他们不会修复问题,也不会推荐解决方案。后者需要身材瘦弱、劳累过度的安全专家在垃圾桶中涉水,在无休止的渗透测试和扫描结果中寻找宝藏。
事实是,根据IBM网络安全情报指数报告,人为错误起着作用 95% 的成功数据泄露事件。差不多 其中一半 直接与 软件漏洞,如果在SDLC的早期阶段加强对安全编码的遵守和意识,其中许多问题可能会得到缓解。但是,要实现这一目标,除了使其成为开发人员工作流程的固有内容外,还要更加敏锐、更相关的关注是关键。
不管我们喜不喜欢,人类在软件开发过程中根深蒂固,网络安全绝对是人类的问题。工具不会成为纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是构建了更好的工具(还有很多)呢?
安全工具一直在改进。SAST/DAST/IAST 工具已经取得了长足的进步,提高了速度和智能,在许多应用环境中,RASP 应该成为严肃的防御考虑因素。防火墙、机密管理器、云和网络安全应用程序:都不费吹灰之力。
人类可以随时努力制造更好的工具,但是创新跟不上我们所生活的数字世界的安全和数据保护需求。在大多数情况下,工具是在考虑机器人的情况下构建的。他们可能会在那里协助开发人员和安全团队扫描、监控或保护代码,但是互动非常有限,很少有解决方案旨在提高安全意识或提高核心技能,从而带来更好的安全结果。
实际上, 超过一半的企业甚至不知道这些工具是否对他们有用,他们也没有信心自己能够避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个痴迷于工具的行业中,缺乏对另一种方法的支持,往往会巩固现状和内部的问题。
组织如何利用以人为本的安全方法?
毫无疑问,保持应用安全技术趋势的领先地位是有益的,甚至可以帮助在膨胀的技术堆栈中优先考虑升级或整合,但是放弃针对易受攻击软件的根本原因——我们只是人类——将使我们在网络安全前线处于失败的一边。
如果我们想认真减少代码级安全漏洞的数量,那么就需要为开发人员成功分担安全责任奠定基础。他们需要相关的实践教育和在职技能提升,以及不会干扰其工作流程或使安全开发成为繁琐工作的实用工具。理想情况下,一些工具将以开发者为中心,以用户体验为中心进行构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和不断提高的安全编码技能中受益,在大型科技堆栈必须采取行动并放慢一切速度之前,尽早消除常见漏洞。
一支具有安全意识的开发人员团队对任何组织来说都是隐藏的宝藏,但就像任何值得拥有的团队一样,组建一支有效的梦之队需要时间和精力。要赢得开发人员对安全性的关注,并将安全编码视为代码质量的基础,需要整个组织都承诺将安全放在首位。而且,当整个团队都意识到在编写代码时在消除常见漏洞方面可以发挥的积极影响时,地球上就没有可以竞争的工具了。
%20(1).avif)
.avif)
