讓開發人員接受安全編碼培訓難點在哪?
對開發人員進行安全教育是一項艱鉅的任務,但這也是行業應該儘早解決的問題。
隨著公司遷移到更具靈活的雲基礎架構,威脅行為者繼續將注意力轉向應用程式環境,將其作為入侵系統的切入點。
不少於76%的應用程式受到至少一個安全漏洞的困擾,因此優先考慮軟體安全很有必要。然而,由於缺乏培訓和教育機會,許多開發人員沒有做好編寫安全程式碼和構建設計安全的系統的準備。
儘管我們清楚自己處於這個關鍵時刻,但網路安全技能差距仍然很大。由於始終缺乏工作場所培訓來教授員工安全編碼原則以及它們如何影響軟體開發生命週期,這使情況更加複雜。
與此同時,威脅行為者的能力越來越強,去年對SolarWinds和Colonial Pipeline等公司的高調攻擊促使美國總統喬拜登釋出了一項全面的網路安全行政命令,重點強調軟體安全。
當前學習課程中缺乏安全編碼教育是一個原因。此外,由於軟體開發中的不斷變化和不斷髮展的工具鏈,導致學習和實踐差距已經擴大。
在涵蓋網路安全的大學課程中,許多課程側重於防止由不良軟體安全實踐引起的問題,而不是教授攻擊者如何因程式碼不安全而操縱和控制系統。
開發人員需要了解一些基礎知識,瞭解應用程式如何受到諸如SQL隱碼攻擊或命令注入等攻擊的威脅。這些具體的概念在學校沒有被充分地教授,所以關於安全編碼和應用程式安全原則的培訓模組有必要成為電腦科學課程的必要條件。
提高在職培訓的意義
由於大多數程式設計師進入工作崗位時沒有基礎的安全編碼知識,因此開發人員在工作場所獲得有效的教育機會以跟上安全漏洞和編碼最佳實踐的變化變得越來越重要。
訊息顯示,北美超過一半的組織為開發人員提供了一定程度的安全培訓,但只有29%的組織要求每年接受一次以上的培訓。
雖然許多組織為員工提供初始安全培訓或自學模組,但臨時的、偶爾進行的培訓並不能讓開發人員將他們學到的知識付諸實踐。最重要的是,現代培訓練習通常是通用的、枯燥的,並且與實際的缺陷識別和修復相去甚遠,因此很難在現實世界中保留和執行培訓內容。
在日常生活中,開發人員編寫了一堆程式碼,然後一週或一個月後,就可能會出現安全問題。有一半的時間,另一個開發人員會修復這個缺陷,這樣編寫它的人就沒有機會修復它了。這意味著最初的開發人員從來不會應用他們學到的東西,因此很快就會忘記這個教訓。
開發人員一直在努力學習新的編碼技術。所以,缺乏興趣不是問題,訣竅在於讓它變得有意義。創造動手學習的機會,讓程式設計師能夠利用和修補真正的程式碼,獲得實時反饋,然後將這些AppSec原則應用到他們編寫的程式碼中。這種即時反饋迴圈有助於程式設計師在反映他們工作流程的真實場景中學習和實踐應用程式安全性。
管理困境:風險與回報
目前安全教育面臨的另一個重大挑戰與此完全不同,或許更難以解決。由於軟體開發效率不斷提高,由此產生更多程式碼,但開發團隊無法承受讓編碼人員頻繁地接受數小時甚至數天的培訓。因此,面對產生的大量程式碼同時也存在更多安全風險。一些企業已開始在編碼階段使用 靜態程式碼檢測工具來協助開發人員提高所編寫程式碼的安全性。
管理層需要權衡生產損失的風險與具有安全意識的開發人員之間的利益。現在,資料洩露造成的損失高達4.24億美元,讓開發人員掌握預防和修復軟體缺陷的知識,比花費幾個小時“重新改造”生產力更有價值。
讓開發人員成為英雄
網路攻擊每39秒發生一次,如果最近的網路攻擊和勒索軟體事件在表明任何跡象,那說明事情會變得更加嚴重。是時候為開發人員進行安全編碼培訓,以便從一開始就為他們提供構建安全軟體所需的安全編碼知識,讓軟體更安全。
參讀連結:
https://www.darkreading.com/careers-and-people/creating-the-next-generation-of-secure-developers
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2850707/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 開發教育培訓系統原始碼有哪些難點?原始碼
- 利用培訓教育原始碼進行教育app開發的難點原始碼APP
- 開發人員越來越重視安全編碼
- 教育培訓app開發過程中有哪些難點?應如何解決?APP
- 自學IT和接受IT培訓兩者的優缺點分析
- 軟體銷售人員培訓(轉)
- ClouderaSpark及Hadoop開發員培訓學習【北京上海】CloudSparkHadoop
- java開發培訓好學習嗎?難度大不大?Java
- 六年不惑:開發人員的“僵難Style”
- SQLServer 難以接受的安全策略SQLServer
- 框架讓開發人員變得愚鈍嗎?框架
- 組員技術培訓
- 關於HTML5的11個讓人難以接受的事實HTML
- 如何做一個讓開發人員看得起的測試人員
- 成都0基礎java培訓難不難Java
- 開發人員 vs 測試人員
- 李一男2003年在港灣給開發人員培訓時的語錄
- 李一男2003 年在港灣給開發人員培訓時的語錄
- 網路安全培訓何必冠以***培訓之名?薦
- Android 安全培訓Android
- 開發人員愛開發
- 李一男2003年在港灣給開發人員培訓時的語錄(轉)
- #winhec# 開發人員刷屏看點 (視訊)C#
- CSS模組化編碼讓開發事半功倍CSS
- 想做教育培訓app開發?這幾點要提前瞭解APP
- 是否該讓開發人員跟客戶直接交流?
- 為什麼IE6讓Web開發人員抓狂Web
- 不做讓開發人員討厭的產品經理
- FPGA/CPLD開發培訓課程FPGA
- REPORT開發培訓筆記筆記
- WEB安全培訓目錄Web
- 開發人員怎麼看實施人員
- 【專題】測試人員 VS 開發人員
- Hadoop資料分析員培訓Hadoop
- 安全開發規範:開發人員必須瞭解開發安全規範(一)(涉及安全問題,以及解決方法和程式碼實現)
- “資料安全管理”培訓班順利開班!
- 嘿,我在尋找視訊編輯開發人員
- [轉]不做讓開發人員討厭的產品經理