想要更安全的软件？开始认可具有安全技能的开发人员

专业开发人员想做正确的事，但在安全性方面，他们很少为成功做好准备。如果组织想要从头开始安全软件，就必须通过精确的培训和激励措施来支持他们的技能提升。

网络威胁形势日益复杂，我们的数据被广泛认为是非常可取的“数字黄金”。攻击者不断扫描网络以查找易受攻击的应用程序、程序、云实例，而本月最新的趋势是 API，Gartner正确预测它们将在 2022 年成为最常见的攻击媒介，这在很大程度上要归功于他们经常松懈的安全控制。

威胁行为者如此顽固，以至于有时新应用程序可能会在部署后数小时内遭到破坏和利用。Verizon 2022 数据泄露调查报告显示，错误和错误配置是造成 13% 泄露的原因，在分析的 23,000 起事件中，人为因素总体造成了 82%。

越来越清楚的是，真正强化正在创建的软件的唯一方法是确保它建立在安全代码之上。换句话说，阻止威胁参与者入侵的最佳方法是首先拒绝他们进入您的软件。网络犯罪分子在对抗那些争先恐后地捍卫其通常巨大的攻击面的组织方面具有明显的优势，并且任何可以永久关闭的机会之窗都会显着降低风险。

我们让安全明星难以发光

许多组织的开发人员目前的现状是，他们的主要职责是构建出色的功能并快速部署软件。开发人员编码和部署的速度越快，他们在绩效评估中的价值就越大。

如果考虑到安全性，安全性可能是事后才考虑的，并且作为衡量开发人员成功的标准显然不存在。2022年开发人员驱动的安全状况调查与 Evans Data 一起支持这一观点，86% 的受访开发人员表示他们并不将应用程序安全视为重中之重。相反，其中大部分留给应用程序安全 (AppSec) 团队来解决。AppSec 团队往往会让大多数开发人员感到沮丧，因为他们经常会将已完成的应用程序送回开发环境以应用安全补丁，或重写代码以修复漏洞。开发人员在已经“完成”的应用程序上花费的每一个小时都是他们没有创建新应用程序和功能的一个小时，从而降低了它们的性能（以及它们的价值，在一个特别惩罚性的公司眼中）。

然而，现代威胁环境迫使每个人，从公司到政府部门，重新考虑安全的重要性和优先级，他们将有能力考虑开发群体如何适应防御方法。根据 IBM 和 Ponemon Institute 最近发布的2022 年数据泄露成本报告，现在平均每起网络安全泄露事件的成本约为 424 万美元，尽管这几乎不是上限。今天的公司想要 DevSecOps 提供的安全性，但遗憾的是，他们在奖励响应该电话的开发人员方面进展缓慢。

简单地告诉开发团队考虑安全性是行不通的，特别是如果他们仍然仅仅基于速度受到激励。事实上，在这样一个系统中，花时间学习安全性和保护代码的开发人员实际上可能会失去更好的绩效评估和丰厚的奖金，而他们的安全意识较低的同事继续获得。这几乎就像公司在不知不觉中为自己的安全缺陷操纵系统，这又回到了他们对开发团队的看法。如果他们没有将他们视为安全前线，那么利用他们的劳动力的可行计划就不太可能实现。

这甚至不能解释缺乏培训。一些非常熟练的开发人员拥有数十年的编码经验，但在安全性方面却很少……毕竟，他们从来不需要这样做，也不是衡量成功或工作质量的标准。除非公司提供良好的培训计划，否则很难期望其开发人员突然获得新技能并以有意义的方式将其付诸行动，从而积极减少漏洞。

（想要与来自世界各地的其他精英开发人员竞争，或提名您自己的安全超级明星开发团队？加入Secure Code Warrior的2022 Devlympics，我们最大、最好的全球安全编码锦标赛，您就能赢得大奖！）

奖励开发人员的良好安全实践

好消息是，绝大多数开发人员从事他们的工作是因为他们发现这既具有挑战性又有益，并且因为他们享受他们的职位所带来的尊重。终身软件工程师 Michael Shpilt最近写了一篇关于激励他和他的同事进行开发工作的所有事情。是的，他在这些激励措施中列出了金钱补偿，但令人惊讶的是，它远远低于列表。相反，他优先考虑创造新事物的快感、技能发展以及知道他的工作将直接用于帮助他人的满足感。他还谈到希望在他的公司和社区中感到被重视。简而言之，开发人员与许多以自己的工作为荣的好人没有什么不同。

像 Shpilt 这样的开发人员不希望威胁者破坏他们的代码并使用它来伤害他们的公司，或者他们试图帮助的用户。但是，他们不能在没有支持的情况下突然将优先事项转移到安全上。

为了帮助开发团队提高他们的网络安全能力，他们必须首先学习必要的技能。利用分层的学习方法——以及专门用于无缝集成到实际工作流程中的工具——可以使这个过程变得不那么痛苦，同时有助于在正确的环境中建立现有知识。

随着对提高技能的承诺，需要消除仅基于速度评估开发人员的旧方法。相反，开发人员应该根据他们创建良好、安全的编码模式的能力获得奖励，最好的候选人成为帮助团队其他成员提高技能的安全冠军。这些冠军需要获得公司声望和金钱补偿。同样重要的是要记住，开发人员通常没有积极的安全体验，通过积极、有趣的学习和符合他们兴趣的激励措施来提升他们将大大有助于确保知识保留和继续培养技能的愿望.