讓開發人員接受安全編碼培訓難點在哪?

對開發人員進行安全教育是一項艱鉅的任務，但這也是行業應該儘早解決的問題。

隨著公司遷移到更具靈活的雲基礎架構，威脅行為者繼續將注意力轉向應用程式環境，將其作為入侵系統的切入點。

不少於76%的應用程式受到至少一個安全漏洞的困擾，因此優先考慮軟體安全很有必要。然而，由於缺乏培訓和教育機會，許多開發人員沒有做好編寫安全程式碼和構建設計安全的系統的準備。

儘管我們清楚自己處於這個關鍵時刻，但網路安全技能差距仍然很大。由於始終缺乏工作場所培訓來教授員工安全編碼原則以及它們如何影響軟體開發生命週期，這使情況更加複雜。

與此同時，威脅行為者的能力越來越強，去年對SolarWinds和Colonial Pipeline等公司的高調攻擊促使美國總統喬拜登釋出了一項全面的網路安全行政命令，重點強調軟體安全。

當前學習課程中缺乏安全編碼教育是一個原因。此外，由於軟體開發中的不斷變化和不斷髮展的工具鏈，導致學習和實踐差距已經擴大。

在涵蓋網路安全的大學課程中，許多課程側重於防止由不良軟體安全實踐引起的問題，而不是教授攻擊者如何因程式碼不安全而操縱和控制系統。

開發人員需要了解一些基礎知識，瞭解應用程式如何受到諸如SQL隱碼攻擊或命令注入等攻擊的威脅。這些具體的概念在學校沒有被充分地教授，所以關於安全編碼和應用程式安全原則的培訓模組有必要成為電腦科學課程的必要條件。

提高在職培訓的意義

由於大多數程式設計師進入工作崗位時沒有基礎的安全編碼知識，因此開發人員在工作場所獲得有效的教育機會以跟上安全漏洞和編碼最佳實踐的變化變得越來越重要。

訊息顯示，北美超過一半的組織為開發人員提供了一定程度的安全培訓，但只有29%的組織要求每年接受一次以上的培訓。

雖然許多組織為員工提供初始安全培訓或自學模組，但臨時的、偶爾進行的培訓並不能讓開發人員將他們學到的知識付諸實踐。最重要的是，現代培訓練習通常是通用的、枯燥的，並且與實際的缺陷識別和修復相去甚遠，因此很難在現實世界中保留和執行培訓內容。

在日常生活中，開發人員編寫了一堆程式碼，然後一週或一個月後，就可能會出現安全問題。有一半的時間，另一個開發人員會修復這個缺陷，這樣編寫它的人就沒有機會修復它了。這意味著最初的開發人員從來不會應用他們學到的東西，因此很快就會忘記這個教訓。

開發人員一直在努力學習新的編碼技術。所以，缺乏興趣不是問題，訣竅在於讓它變得有意義。創造動手學習的機會，讓程式設計師能夠利用和修補真正的程式碼，獲得實時反饋，然後將這些AppSec原則應用到他們編寫的程式碼中。這種即時反饋迴圈有助於程式設計師在反映他們工作流程的真實場景中學習和實踐應用程式安全性。

管理困境：風險與回報

目前安全教育面臨的另一個重大挑戰與此完全不同，或許更難以解決。由於軟體開發效率不斷提高，由此產生更多程式碼，但開發團隊無法承受讓編碼人員頻繁地接受數小時甚至數天的培訓。因此，面對產生的大量程式碼同時也存在更多安全風險。一些企業已開始在編碼階段使用 靜態程式碼檢測工具來協助開發人員提高所編寫程式碼的安全性。

管理層需要權衡生產損失的風險與具有安全意識的開發人員之間的利益。現在，資料洩露造成的損失高達4.24億美元，讓開發人員掌握預防和修復軟體缺陷的知識，比花費幾個小時“重新改造”生產力更有價值。

讓開發人員成為英雄

網路攻擊每39秒發生一次，如果最近的網路攻擊和勒索軟體事件在表明任何跡象，那說明事情會變得更加嚴重。是時候為開發人員進行安全編碼培訓，以便從一開始就為他們提供構建安全軟體所需的安全編碼知識，讓軟體更安全。

參讀連結：

https://www.darkreading.com/careers-and-people/creating-the-next-generation-of-secure-developers