软件开发学习过程中,如何克服4个软件安全培训

2021-05-01 栏目:行业新闻 查看()

如何克服4个软件安全培训挑战

如果您面临这四个软件安全培训方面的挑战,我们将提供一些技巧来帮助您克服这些挑战,并为您的团队提供所需的培训。

 

对软件开发人员的安全培训是组织安全关键要素。尽管做得不好,它可能不会使他们成为所有安全专家,但它可以使您的开发团队从负债变成您最大的资产之一。

许多组织都有正确的意图-至少在受到破坏之后。

但是,与任何安全控制一样,可能会错误地实施培训。这篇文章将讨论几个常见的软件安全培训挑战,并提出如何预防或克服这些挑战的建议。

挑战1:一刀切-万事皆宜

过于频繁的培训范例规定了“分散”方法:要求所有开发团队成员参加相同的软件安全培训,无论其角色是什么。举一个真实的例子,一个组织要求所有开发人员都学习有关用Java编写的Web应用程序的常见攻击和防御的课程,甚至需要使用COBOL进行大型机客户机-服务器维护的开发人员。

优秀的讲师将始终努力将材料集中在专业水平和学生的需求上。但是,当各种各样的角色和专业知识都参加同一课程时,这将变得异常困难。

 

为了提高效率,培训必须补充与会人员的作用。软件开发人员和测试人员需要集中技术培训。项目经理需要更多的业务重点。甚至应根据角色自定义为“合规检查”而进行的培训(例如SOX,  PCI和 HIPAA)。否则,可能会浪费时间和金钱。

除此之外,软件安全培训应具有吸引力和互动性,包括黑客演示,动手练习和案例研究等元素。为使课程有效,课程必须与开发人员当前使用的技术和平台相关。

最后,考虑可以按级别,交付方式,角色,课程和语言过滤的在线培训或在线学习课程。尽管电子教学课程的互动性不如讲师指导的培训,但它使开发人员可以灵活地在有空的时候进行培训,并在需要时进行复习。

您可以通过向开发人员提供激励措施来推动它。通过为完成的每门课程或一系列课程提供奖励,鼓励他们花时间进行培训。

挑战2:黑客不断发展。培训也应该如此。

培训计划通常是一年四季不变的。但是,由于软件安全性是软件工程的一个方面,因此它在不断发展。除了少数例外,如果您遇到过去五年未更新的特定于框架或语言的培训,则应仔细检查该课程以确保它仍然有意义。即使技术本身并没有发生变化,攻击者仍在使用新的或新颖的攻击,并依靠先前使用的攻击来 侵入旧系统

如果合适,并且如果听众有足够的技术知识,则软件安全培训应包括近期违规的技术细节。即使他们没有使用与漏洞相关的技术,学生们也会发现这些讨论很有趣。

 

挑战3:讲师作为搜索引擎

任何接受过软件安全培训的人员,包括软件开发人员和其他软件开发人员,都希望知道他们的讲师所遇到的挑战与他们每天所面临的挑战相似。

例如,描述基于Java KeyStore的SSL证书管理策略相对简单。如果讲师还可以提供有关常见KeyStore问题以及如何调试它们的有用信息,那么对于受训者而言,这将是一个与众不同的世界。如果他或她无法解决指令脚本中未包含的任何内容,则受训者最好使用Google来获取必要的信息。

挑战4:缺乏用于安全培训的资金

像任何其他安全控制一样,软件安全培训也要花钱。因此,要为培训预算提供依据,从数据泄露的潜在成本考虑框架通常很有帮助。Ponemon等研究公司的数据并不缺乏,该公司发现,2019年,数据泄露的平均总成本为819万美元,是全球平均水平的两倍以上。此外,医疗保健,生命科学,金融服务和运输等行业的每条受损记录的成本更高。

 

我们之前曾听说过我们处于“黑客入侵的黄金时代”。但是,由于我们在开发软件和开展业务方面的全球动荡以及物联网(IoT)的持续爆炸性增长,我们在另一个方面处于非常重要的地位。如果一切都是计算机,如洗碗机,冰箱,烤面包机,恒温器,家庭安全系统,汽车,甚至是道路和城市,则攻击面会越来越大,黑客活动不断扩大,新的威胁不断涌现,风险不断上升。

好消息是,软件安全培训已成为软件开发的基本组成部分,因此您将获得比以往更多的培训选择。您的竞争对手,尤其是那些已经遭到破坏的竞争对手,已经将软件安全培训列为优先事项。在组织进行有效培训之前,不要等待灾难。
福州鲸舟网络 -专注于软件开发行业

 
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流

郑重申明:福州鲸舟网络科技有限公司以外的任何单位或个人,不得使用该案例作为工作成功展示!