对开发人员进行安全技能基准测试的好处
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
결론
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
결론
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
결론
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
随着网络威胁变得越来越普遍和越来越复杂,网络安全的重点集中在安全代码的重要性上。白宫的 国家网络安全战略 以及网络安全和基础设施安全局(CISA) 通过设计确保安全 该倡议以及其他国家的举措和立法将安全责任完全由软件生产商承担。在软件开发生命周期 (SDLC) 的早期向左移动,或者更准确地说,向左移动,以确保安全性,这对于组织保护其数据和系统以及避免数据泄露后的监管影响至关重要。
确保安全编码实践的关键在于开发人员培训。软件工程师通常会收到 很少或根本没有网络安全教育。他们的工作,尤其是在当今加速的 DevOps 环境中,一直是尽快推出新的应用程序、升级和服务(越来越多地借助快速运行的生成式 AI 模型),并让安全团队稍后在 SDLC 中解决网络安全问题。这是一种低效的方法来解决在创建如此多的代码时出现的大量缺陷,这些缺陷通常会导致软件漏洞被释放到生态系统中。
开发人员需要接受培训,从一开始就编写安全代码,并能够捕获人工智能生成的不安全代码,或者当这些代码存在于他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说,这是一个未受侵略的领域。他们如何知道开发人员正在接受所需的培训?而且这种培训是否是定期进行的?
一些追求开发者教育的公司发现,为开发人员建立一套基准技能是有益的,以便他们掌握并根据明确定义的基准衡量他们的进度。为了帮助完成这项工作,Secure Code Warrior推出了一项基准测试,旨在准确衡量开发人员在安全培训方面的进展。这个 SCW 信任分数 允许组织衡量培训在工作中的应用情况,并使安全、开发人员和工程团队能够协作。
这是一种查看安全代码培训正在扎根的证据,同时确定需要改进的领域的方式。
安全设计案例
软件生产商完全有理由在流程开始时就将安全性引入 SDLC。对应用程序和服务的需求不断增长,以及人工智能为开发过程带来的速度 被证明很有用 对于开发人员来说,他们很快采用了生成式人工智能,但这也不可避免地导致 越野车软件 被释放到管道中。生成的代码越多,缺陷越多,而且 最近的研究 发现,将近四分之三的应用程序(无论它们是如何创建的)至少包含一个安全漏洞,其中将近20%被认为是严重漏洞。
稍后在 SDLC 中追补漏洞变得非常耗时且成本高昂。国家标准与技术研究所 (NIST) 已经找到了 在测试期间修复缺陷所花费的时间比在 SDLC 开始时保护软件的时间长 15 倍,而在部署/维护阶段修复缺陷所需的时间可能长 30 到 100 倍。
所有这些都凸显了在开发周期之初应用安全性的重要性,事实证明,这不仅是降低风险的最有效方法,而且是最具成本效益的方法。开发人员——与安全团队合作,而不是让他们作为独立实体运作——最有能力在 SDLC 之初就将安全性纳入其中。接受过安全最佳实践培训的开发人员可以有效地减少漏洞。问题是他们中很少有人接受过培训。
基准测试之美
公司的基本途径包括建立安全技能基准,提供培训,以及向组织和监管机构验证开发人员是否已掌握必要的技能。事实证明,这对所有经济领域的许多组织来说都具有挑战性,但事实并非如此。
安全领导者发现的挑战之一是很难将培训计划扩展到整个企业。但是SCW的研究表明,组织,尤其是那些拥有大量开发人员骨干的组织,可以成功地实施安全设计方法。小型组织的结果往往表明,他们在应用安全设计原则方面存在很大差异。尽管如此,他们也可以从包括信任评分在内的方法中受益,并且可能会更快地显示出改善。
信任分数使用基准指标来衡量个别学习者的进度,汇总他们的分数以评估整个团队的表现,并将组织的进展与行业基准和最佳实践进行比较。它不仅跟踪培训,还显示开发人员在日常工作中运用新技能的情况。它还重点介绍了需要改进的领域,使该组织能够优化其培训/技能提升计划。
在CISA的各个角落里 关键基础设施领域 就现有数据而言,大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基础到医疗保健、信息技术和关键制造业等行业的信任分数均在同一区间内下降——按1,000分计算,略高于300分。尽管传统观点认为金融服务作为监管最严格的行业将遥遥领先,但没有一个行业能超越其他行业。
未包含在信任评分排名中的关键基础设施行业,例如化工、能源和核运营,通常不会创建自己的软件,而是依赖其他行业,尤其是信息技术。但是,在这些领域内维护安全系统的重要性(没有人希望看到核电站遭到入侵)只能表明保护他们使用的软件是多么重要。
결론
监管压力的增加和网络威胁形势的现实使得想要保护其数据、系统、业务运营和声誉的组织必须采用安全设计方法。在很大程度上,创建安全软件掌握在开发人员手中,但他们需要以全面的技能提升和培训计划为形式的帮助,以提供他们所需的教育并展示其应用方式。
包含基准测试的计划,并以信任评分等工具为后盾,可以清晰地了解开发团队的关键进展。这是一种至关重要的新方法,开发人员和他们工作的公司都需要确保他们不断提高安全软件开发技能,同时满足新的Secure-by-Design要求。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
