微信搜索关注:网络研究观 阅读获取更多信息。
组织所经历的持续不断的网络威胁没有任何放缓的迹象,使得实现有效安全的任务变得越来越具有挑战性。
根据最新的 Verizon 数据泄露调查报告,2023 年高级攻击增加了 200% 以上。 IBM 数据泄露成本报告还指出,每次事件的平均清理成本为 445 万美元。
这种趋势使得自己编写软件的组织的生活变得尤其具有挑战性。他们需要确保开发人员了解新的威胁,并在编码时考虑新的攻击类型。
因此,花时间培训开发团队一致地编写安全代码可以带来巨大的回报。它可以帮助从源头上消除漏洞并阻止攻击者以任何方式利用代码。
事实上,根据 Secure Code Warrior 对 75,000 名开发人员进行的数据分析,让他们成为第一道防线可以将已提交代码中的漏洞数量减少高达 53%。
敏捷培训方法的好处
值得庆幸的是,大多数软件开发人员都希望了解安全编码实践。他们的动机通常来自于减少对 AppSec 团队发现的漏洞需要进行的返工量的愿望。
然而,并非所有培训都是平等的。在不断创新和变化的行业中,编写代码是一项复杂的技能。这意味着传统的“勾选”式培训对于帮助开发人员提高安全编码技能几乎没有帮助,对于增强组织减少代码漏洞的能力更是无济于事。
最有效的培训方法应该使用相同的敏捷方法,这些方法在编写代码时已被证明非常有效,并且开发人员已经熟悉使用这些方法。
敏捷学习有三个关键支柱。他们是:
- 使用“微突发”训练方法:
为了最有效,培训课程应该是小规模的、针对具体情况的,并且是持续提供的。这将使开发人员能够根据他们面临的安全挑战在正确的时间接受正确的培训。
- 提供动态内容:
在网络安全方面,静态培训材料很快就会过时,并且很少适合开发人员的教育需求和工作流程。敏捷学习往往更容易接受,尤其是在开发人员日常工作中看到的环境、语言和框架中进行学习时。
- 添加附加层:
一旦开发团队掌握了安全编码的基础,他们的技能提升之旅就可以继续进入更高级的概念。一旦他们的安全编码技能得到评估和验证,这可以带来更大的信任并获得更理想的项目。
根据Gartner的报告,到2025年,70%的大型企业将采用敏捷学习方法。这种向微学习、持续改进和构建可用于更安全的软件开发的关键知识的转变具有巨大的潜力。
除了利用敏捷方法之外,培训计划还应该遵循明智的实践,例如定义所需的成功标准、识别和晋升安全冠军、激励优秀的开发人员以及衡量和量化整个过程中的成功。
分配足够的培训时间
为了确保培训计划成功,组织需要投资一个更关键的组成部分:分配时间。
即使开发人员热衷于了解安全代码,即使您制定了依赖敏捷方法的强大培训计划,组织仍然需要确保它不会成为已经超负荷工作的开发团队的额外负担。
学习安全代码需要时间、学习和一个安全的犯错误的地方。理想情况下,组织应该在工作周留出时间让开发人员进行培训。
无论是专门花一段时间进行教育,还是每周抽出一些时间进行持续的安全培训,为开发人员提供学习和了解网络安全的机会至关重要。
虽然这可能会导致一些最后期限需要改变,但减少代码级漏洞将减少返工,简化开发,最重要的是,一旦代码到达生产环境,攻击者利用代码的机会就会大大降低。
通过采用敏捷学习并为开发人员分配足够的时间来接受培训,组织将能够更好地抵御所面临的不断变化的威胁形势。
