“安全” 不是一个脏话:积极的方法将如何改变你的安全计划
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
最初发布于 DevSeccon 博客。
我一直站在两边,我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。
这很艰难;归根结底,开发人员的首要任务是提供软件功能。它们必须美观、实用,并有助于展示应用程序的强大功能。如今,敏捷开发实践通常正在发挥作用,因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重,还有太多其他问题。
安全被视为 AppSec 团队的职权范围,他们的任务并不令人羡慕,那就是扫描代码(或者更糟糕的是:手动逐行审查),并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟,阻碍创新,通常会让开发人员头疼。归根结底,许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。
但是,问题就在这里。由于 “安全” 是负面体验的代名词,开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生:毕竟,AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷(以及随后的修复)二十多年后,他们仍在指出这些缺陷,肯定是非常疯狂的。
我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁,努力营造一种积极的安全文化,在这种文化中,为开发人员提供在这一领域产生真正影响的工具和培训。
谁知道?他们甚至可能像我一样爱上它!
积极安全性是提高应用程序安全性的最快和最简单的方法
可惜” 不是,对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。
开发人员从生产之初就掌握着提高安全性的关键,首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋,可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。
它是 修复已提交代码中的漏洞的成本要高出三十倍,因此,寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。
积极的、以开发人员为中心的举措促进了正确的安全文化。
当每个人都对安全最佳实践达成共识时,积极的安全文化是一种快乐、至关重要的副产品。
以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐,以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的,以及在自己的组织中成功推出安全意识计划的想法。
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
