推动企业安全设计计划取得有意义的成功
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
见证 CISA 真是令人振奋 通过设计确保安全 (SBD)运动在全球范围内势头增强,因为美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略,其中许多国家也为最初的建议做出了贡献。
自 2024 年 4 月以来,有 200 多家公司,其中包括 安全代码勇士,已经签署了 “通过设计确保安全” 承诺,这表明业界对更高的软件质量和安全标准的更广泛承诺。我们将这些指导方针视为网络安全领导者的艰难时刻,他们首次获得全球政府对软件开发重大文化变革的支持。尽管除了软件供应商直接向美国政府销售产品之外,这些建议还不是强制性的,但我认为这不仅是未来,而且是开始反击威胁行为者的千载难逢的机会。指导方针的核心是努力删除 类别 漏洞的数量以及全行业对这一目标的关注可能会使我们对数字安全产生数十年来最重大、最积极的影响。
我们认为这场运动至关重要,而我们的最新研究论文 对安全技能进行基准测试:简化企业中的安全设计 是对企业层面的真正安全设计计划进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。
衡量组织安全设计工作的投资回报率
彻底改革历史悠久的软件开发实践并非易事。首席信息安全官在试图证明个人和公司层面安全计划活动的投资回报率(ROI)和商业价值时经常受到挑战,许多人对预算削减和高层管理人员对新的网络举措缺乏支持表示越来越沮丧。但是,数据支持的提案将使这里的一切变得不同。
近年来,缺乏技能基准以使组织能够根据行业标准评估其跟踪情况一直是一个关键挑战。这使得设计和实施影响正确领域和促进开发群体持续改进的安全计划变得异常困难,而开发队列是成功的软件安全实践的关键要素。
使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能,还要向监管机构保证这些技能已经到位。因此,我们决定分析开发人员团队的准备情况,结果可能会出人意料。
试图加快其SBD计划的公司如何利用信任分数
如果不对从哪里开始和需要去哪里有一个扎实的认识,就几乎不可能提高效率。但是,数以百计的企业客户有效利用 SCW 信任分数这是一项量化开发团队安全能力的全球基准,旨在提供这些有用的精细数据点。这些见解塑造了由开发人员驱动的高效安全计划,有利于成功实施安全设计计划。
我们的白皮书中透露的分析表明,顶级关键基础设施行业的组织在让开发人员为推进SBD计划做好准备方面正在取得进展。我们还发现,这些行业的开发团队的安全态势一般。
Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球600多个企业客户和超过25万名活跃开发人员的2000多万个数据点的见解。分析发现:
- 目前参与以开发者为中心的SBD技能提升计划的开发人员总数不到全球所有开发人员的4%;
- 金融服务行业的信任分数最高,为336;
- 大多数大规模的 “通过设计确保安全” 的技能提升计划都取得了成功,而规模较小的计划往往分散。但是,事实证明,一旦获得授权,它们可以更快地实现可衡量的投资回报率(ROI);
- 当技能提升计划稳步实施时,开发人员在应用程序中引入的风险就会大大降低。分析发现,参与大型技能提升计划(一家公司中有7000多名开发人员)的开发人员可以预见地将漏洞减少47-53%。
解决方案 | 结论
SCW Trust Score 是任何安全领导者武器库中的强大工具,它允许对组织内的特定领域进行全面的深入研究。可以根据语言、团队或类别对报告进行筛选,生成自定义报告,使公司能够满足开发人员或团队的特定需求,并确定需要额外培训或指导的领域。毕竟,安全是一项永无止境的努力;有效地对性能进行基准测试将有助于发现持续改进的机会。
加速的软件开发和部署,加上越来越险恶的网络威胁格局和越来越鹰派的监管机构,使网络安全成为重中之重。组织如果还没有,则必须优先发展企业范围内的安全优先文化。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
