在本报告中，概述2022年Devlympics的结果，并深入探讨数百人在所面临的挑战中强调的优势和机遇。此外，学习如何对组织的技能进行基准测试，并找到激励向开发人员驱动的安全转变的方法。

如何确定团队、工具、教学和目标的正确组合，以取得良好的结果。

‍

瀑布、敏捷、DevOps... 看来每隔几年，就会产生一种新的方法，以在组织内实现最佳的软件创建。尽管这些流程都有其长处和短处，但它们带来的精简（以及，呃，以前没有的繁文寡断）可能在某种程度上阻碍了开发人员实现主要目标：构建超棒的功能。但是，随着常见漏洞漏洞的增加，团队必须适应从左开始更安全的SDLC，而DevSecOps可以将其变为现实。了解你，开发人员，如何能做到成为 DevSecOps 管道中的强大一部分，同时不影响你最喜欢的工作，同时提高技能并成为在此过程中更受追捧的工程师。

课程是安全代码勇士的基石 学习平台，因为它提供了特定框架的学习途径，使您能够在整个网络安全计划中建立编程意识和能力。
现在有了新的 演练和任务 活动中，开发人员可以体验不良编码实践的影响，获得背景信息，并通过实际应用的动手编码模拟来练习进攻性技能。
通过以下方式提高教育成果和开发者参与度 逐渐地 大厦 安全编码技能，一种行之有效的脚手架式成人学习方法。此外，这些最新的增强功能通过各种攻击性和交互式编程任务来缓解玩家的疲劳，这些任务将测试开发者的安全编码知识和技能。

关键主题包括：

• 课程中的演练和任务的现场演示
• 新模板涵盖了 OWASP 2021 年前 10 名、NIST/美国政府行政命令、认证级别 4/5
• 脚手架学习及其如何逐步培养团队安全的编码技能

비디오 대본

기존의 보안 코드 교육은 개발자들을 하품하게 만듭니다. 그렇죠?

시큐어 코드 워리어 애자일 학습 접근 방식을 통해 개발자는 관련성이 높은 적시 교육을 짧은 마이크로 버스트를 통해 빠르게 학습할 수 있습니다.

코딩 랩을 통해 개발자는 브라우저에서 실행되는 완전한 인터랙티브 IDE 환경에서 직접 실습하며 학습할 수 있습니다.

개발자는 코드를 작성하고 실제 취약점을 수정합니다.

코딩 실습은 학생들에게 필요한 실시간 상황별 피드백을 자동으로 제공합니다. 시뮬레이션된 IDE 내부의 이러한 실용적인 학습 접근 방식은 직원들의 참여를 유지하고 일상 업무와 훨씬 더 연관성이 높습니다. 그 결과 위험을 줄이고, 비용이 많이 드는 재작업을 방지하며, 취약점을 더 빠르게 수정하는 등 측정 가능한 생산성 향상이 이루어집니다.

코딩 실습은 다른 보안 교육 옵션과 크게 다릅니다. 개발자가 새로운 가상 머신을 스핀업할 필요가 없습니다.

개발자가 잘 알고 사랑하는 UI로 실습 교육을 제공합니다.

제안된 코드 스니펫과 개발자의 실수를 해결하도록 맞춤화된 단계별 답변을 통해 개발자가 앞으로 나아갈 수 있도록 도와줍니다.

또한 개발자가 비효율적인 강의실과 규정 준수 중심의 교육을 받지 않아도 됩니다. 그렇기 때문에 secure code warrior 고객은 위험 감소, 비용이 많이 드는 재작업 방지, 취약점 수정 속도 향상 등의 측면에서 2~3배의 측정 가능한 생산성 향상을 경험하고 있습니다.

지금 바로 데모를 예약하여 코딩 실습을 직접 체험해 보세요.

‍

一级金融机构如何创造革命性的安全认证体验

在安全合规方面，游戏能否成为通往开发者心中的道路？

这家一级银行客户拥有数百万客户，拥有作为值得信赖的全球金融机构的悠久历史，并致力于创新和跟上数字化转型的步伐，他们将 Secure Code Warrior 用作其组织内部真正独特的教育体验的一部分。

他们创建了一项内部技术教育计划，旨在支持成千上万的员工学习包括机器学习和网络安全在内的多个学科的实用尖端技能。

金融服务行业目前正处于快速而根本的转型时期，许多公司正在改变其服务产品，以适应新兴技术的快节奏发展。从本质上讲，它们正在成为以财务为重点的成熟科技公司。我们的客户的方法不仅使他们能够跟上这一趋势，而且比大多数客户取得了更好（更聪明）的结果。他们对自己的员工进行了巨额投资，以掌握这些重要的新兴领域的最新动态，因此，他们站在金融科技创新和专业知识的最前沿。

为了成功执行该计划，我们的客户和更广泛的团队认为需要确保他们的开发人员完全精通安全编码，并具有很高的网络安全意识。安全意识经理力求与团队积极互动，让他们从一开始就对安全感到兴奋。

挑战

我们客户的安全意识经理在安全行业工作了很长时间，这使他在大大小小的公司采用在线应用程序的爆炸式增长以及以数字为重点的团队的迅速增加中处于领先地位。他亲眼目睹了这种超扩张所带来的专业知识不可避免的孤立，归根结底，这是许多安全和开发团队面临的问题：“在在线采用的早期阶段，开发人员确实考虑了安全性并将其应用到他们的软件版本中。但是，在日益孤立的环境中，一个团队将开发（比如）一个操作系统，然后将其发送给安全团队进行分析，并且通常会带有一堆红色标记和关于如何修复它的注释。它不可避免地是安全的，但是发现和知识会消失在黑洞中，只会一遍又一遍地发生，” 他说。

在谈到他在工作中经常看到的安全问题时，他提到 “人员挑战”：

软件工程师需要报酬来构建功能，安全性可以被视为敏捷开发的巨大障碍。他们忙于处理自己的优先事项，经常将安全方面视为他人的工作。在最极端的一端，有些人认为 “好吧，还什么都没发生。为什么我们如此担心这个软件的安全，为什么它会中断我的开发生命周期？”在日益数字化的世界中，这种态度必须改变。我们需要明确分担软件安全责任的重要性，而不是被视为麻烦。

随着越来越依赖发展来为我们的数字生活提供动力，他看到了墙上的文字：作为一个社会，我们在一个对好人来说越来越不公平的竞争环境中坐视黑客的目标。开发人员需要认真对待安全问题，培养浓厚的兴趣，成为其组织中的第一道防线（事实上，也是所有严肃的科技公司的第一道防线）。

因此，他开始颠覆传统训练。

实施情况

安全意识经理推动了客户设定软件质量新标准的总体理念。具体而言，认为软件固有的安全级别表明了其整体质量和产品可行性。就目前情况而言，在大多数情况下，安全性与质量衡量标准并不密切相关，在评估软件时考虑整体用户界面、速度和可维护性的方式肯定不一样。

他说：“安全性必须成为高软件质量的不可谈判的要求。”“它与可靠性相关，这是大多数公司非常关心的问题，尤其是那些业务模式快速转型、数字化的公司。”

修复已提交代码中漏洞的成本比从一开始就安全编写的成本高出三十倍，因此，将一种可行的安全文化融入他的开发团队已成为一个关键目标。毕竟，有些漏洞是扫描工具无法检测到的，而解决这些漏洞的最有效解决方案是具有安全意识的开发团队。

安全意识经理详细介绍了他在其他形式的培训方面的经验，其中许多培训仍然常用于 “赢得胜利”，让开发人员做好应对日益增长的安全问题的准备：“当开发人员只能通过大量基于理论的工作来学习安全知识时，或者更糟糕的是：很少有'打勾方框然后继续'的合规培训，根本没有足够的实践学习或时间来产生持久的影响。我决心通过应用更有效的解决方案来改变这种状况，” 他说。

高参与度的好处

在一位精明的安全意识经理及其团队的建议下，我们的客户实施了一项定制的认证计划，Secure Code Warrior平台是其中不可或缺的一部分。

他们对更有效、更具吸引力的开发者培训解决方案的调查使他们成为了游戏化的早期采用者，通过他们自己的结构化、全面的课程最大限度地发挥了游戏化的效力和潜力。

“至关重要的是，我们必须将高参与度培训作为文化的一部分，让学生回来继续学习。该系统是一种深思熟虑的方法，旨在培养知识、技能和安全价值感，最终使他们能够使用每天使用的真实源代码，” 他说。

确保解决方案是全面的，涵盖行业标准的安全最佳实践和内部指南，我们的客户能够快速组织培训，对组织内部的软件安全产生积极影响。

结果

我们客户的认证计划是一种成功的、不断变化的培训形式，非常适合其内部科技教育设施等前瞻性举措。这门深度课程以一种有趣、互动和激励性的方式推出，可确保所有学生都有最佳的知识保留机会，并为真正培养安全至上的文化和思维方式提供支持。尽管游戏化无疑使学习变得可口，但该计划的核心实用性仍然是：为开发人员提供识别和阻止应用程序中高风险漏洞所需的技能。

值得注意的是，培训不是强制性的，而是需要开发人员的一定动机。尽管这无疑得到了激励和奖励的支持，但更广泛的团队之所以采用该计划，是因为团队支持越来越多，该程序获得批准。

除了继续培养重要的能力外，该计划还有助于弥合开发和AppSec团队之间的关系差距，使他们站在同一页面，说同样的语言并形成共同利益。

该计划与合规复选框相去甚远，它已成为持续支持有价值的员工及其职业生涯的基础，为全球增长最快的行业之一：网络安全，提供了可衡量的技能提升。像这样的培训计划将从一开始就成为提高软件安全性的基准。

事实速览

• 完成认证并表示有兴趣成为教师的学生做出了前所未有的回应。这种从根本上讲福音是传播口碑支持、吸收和整体安全意识的有力因素。
• 我们的客户正在向其组织内的2500多名开发人员推出该计划，其中90％以上的开发人员已经活跃在该系统中。
• 他们利用这种培训来帮助员工进行整体职业发展，确保他们掌握在不断变化的技术领域运用技能所需的知识。