软件开发学习过程中，如何克服4个软件安全培训

如何克服4个软件安全培训挑战

如果您面临这四个软件安全培训方面的挑战，我们将提供一些技巧来帮助您克服这些挑战，并为您的团队提供所需的培训。

对软件开发人员的安全培训是组织安全的关键要素。尽管做得不好，它可能不会使他们成为所有安全专家，但它可以使您的开发团队从负债变成您最大的资产之一。

许多组织都有正确的意图-至少在受到破坏之后。

但是，与任何安全控制一样，可能会错误地实施培训。这篇文章将讨论几个常见的软件安全培训挑战，并提出如何预防或克服这些挑战的建议。

挑战1：一刀切-万事皆宜

过于频繁的培训范例规定了“分散”方法：要求所有开发团队成员参加相同的软件安全培训，无论其角色是什么。举一个真实的例子，一个组织要求所有开发人员都学习有关用Java编写的Web应用程序的常见攻击和防御的课程，甚至需要使用COBOL进行大型机客户机-服务器维护的开发人员。

优秀的讲师将始终努力将材料集中在专业水平和学生的需求上。但是，当各种各样的角色和专业知识都参加同一课程时，这将变得异常困难。

为了提高效率，培训必须补充与会人员的作用。软件开发人员和测试人员需要集中技术培训。项目经理需要更多的业务重点。甚至应根据角色自定义为“合规检查”而进行的培训（例如SOX，  PCI和 HIPAA）。否则，可能会浪费时间和金钱。

除此之外，软件安全培训应具有吸引力和互动性，包括黑客演示，动手练习和案例研究等元素。为使课程有效，课程必须与开发人员当前使用的技术和平台相关。

最后，考虑可以按级别，交付方式，角色，课程和语言过滤的在线培训或在线学习课程。尽管电子教学课程的互动性不如讲师指导的培训，但它使开发人员可以灵活地在有空的时候进行培训，并在需要时进行复习。

您可以通过向开发人员提供激励措施来推动它。通过为完成的每门课程或一系列课程提供奖励，鼓励他们花时间进行培训。

挑战2：黑客不断发展。培训也应该如此。

培训计划通常是一年四季不变的。但是，由于软件安全性是软件工程的一个方面，因此它在不断发展。除了少数例外，如果您遇到过去五年未更新的特定于框架或语言的培训，则应仔细检查该课程以确保它仍然有意义。即使技术本身并没有发生变化，攻击者仍在使用新的或新颖的攻击，并依靠先前使用的攻击来 侵入旧系统。

如果合适，并且如果听众有足够的技术知识，则软件安全培训应包括近期违规的技术细节。即使他们没有使用与漏洞相关的技术，学生们也会发现这些讨论很有趣。

挑战3：讲师作为搜索引擎

任何接受过软件安全培训的人员，包括软件开发人员和其他软件开发人员，都希望知道他们的讲师所遇到的挑战与他们每天所面临的挑战相似。

例如，描述基于Java KeyStore的SSL证书管理策略相对简单。如果讲师还可以提供有关常见KeyStore问题以及如何调试它们的有用信息，那么对于受训者而言，这将是一个与众不同的世界。如果他或她无法解决指令脚本中未包含的任何内容，则受训者最好使用Google来获取必要的信息。

挑战4：缺乏用于安全培训的资金

像任何其他安全控制一样，软件安全培训也要花钱。因此，要为培训预算提供依据，从数据泄露的潜在成本考虑框架通常很有帮助。Ponemon等研究公司的数据并不缺乏，该公司发现，2019年，数据泄露的平均总成本为819万美元，是全球平均水平的两倍以上。此外，医疗保健，生命科学，金融服务和运输等行业的每条受损记录的成本更高。

我们之前曾听说过我们处于“黑客入侵的黄金时代”。但是，由于我们在开发软件和开展业务方面的全球动荡以及物联网（IoT）的持续爆炸性增长，我们在另一个方面处于非常重要的地位。如果一切都是计算机，如洗碗机，冰箱，烤面包机，恒温器，家庭安全系统，汽车，甚至是道路和城市，则攻击面会越来越大，黑客活动不断扩大，新的威胁不断涌现，风险不断上升。

好消息是，软件安全培训已成为软件开发的基本组成部分，因此您将获得比以往更多的培训选择。您的竞争对手，尤其是那些已经遭到破坏的竞争对手，已经将软件安全培训列为优先事项。在组织进行有效培训之前，不要等待灾难。
福州鲸舟网络 -专注于软件开发行业