當(dāng)前，組織比以往任何時(shí)候都更需要使他們的開(kāi)發(fā)團(tuán)隊(duì)能夠構(gòu)建和提升他們的安全技能。如今組織面臨的威脅形勢(shì)是個(gè)人、資金充足的團(tuán)伙以及國(guó)家行為者正在努力嘗試?yán)密浖械穆┒础Ｈ欢鶕?jù)最近的全球研究顯示，67%的接受采訪的開(kāi)發(fā)人員表示他們?nèi)栽诮桓栋阎┒吹拇a。

幫助您的開(kāi)發(fā)團(tuán)隊(duì)取得進(jìn)展以實(shí)現(xiàn)安全成熟度是可能并且有益的。它將有助于確保軟件開(kāi)發(fā)生命周期中每個(gè)階段的安全性。

然而，如何幫助您的開(kāi)發(fā)團(tuán)隊(duì)提升安全成熟度呢？

黑客新聞從 400 多位客戶那里挖掘并了解了開(kāi)發(fā)團(tuán)隊(duì)提高其安全成熟度時(shí)出現(xiàn)的特征和行為。這里將分享其中兩個(gè)：

1：深入了解你的短板

在創(chuàng)建任何成熟度計(jì)劃之前，我們首先需要了解開(kāi)發(fā)團(tuán)隊(duì)本身。它現(xiàn)有的成熟度是多少？他們需要應(yīng)對(duì)哪些漏洞？他們使用的編程語(yǔ)言是什么？只有當(dāng)您了解了這類問(wèn)題后，組織才能知道在開(kāi)發(fā)團(tuán)隊(duì)成熟度計(jì)劃中應(yīng)該優(yōu)先考慮什么。

研究發(fā)現(xiàn)，一些受訪的組織能夠通過(guò)舉辦安全代碼戰(zhàn)士比賽來(lái)獲得這些問(wèn)題的答案。在這些比賽中，開(kāi)發(fā)人員面臨一系列編程挑戰(zhàn)和任務(wù)，相互對(duì)抗以識(shí)別、定位和修復(fù)漏洞。比賽可以讓管理層了解開(kāi)發(fā)人員正在應(yīng)對(duì)哪些漏洞，并以此判斷成熟度計(jì)劃可以首先關(guān)注哪些問(wèn)題。

2：制定成功計(jì)劃

構(gòu)建開(kāi)發(fā)團(tuán)隊(duì)的安全成熟度不是一次性的、按章照抄的方法，而應(yīng)該是一個(gè)持續(xù)的改進(jìn)周期。成功的計(jì)劃包括針對(duì)個(gè)人開(kāi)發(fā)人員和整個(gè)團(tuán)隊(duì)的現(xiàn)實(shí)目標(biāo)。制定目標(biāo)可以讓開(kāi)發(fā)人員獲得成就感，從而讓他們參與到成熟度計(jì)劃中。一些組織發(fā)現(xiàn)排行榜、成就獎(jiǎng)勵(lì)或?yàn)槌墒斓拈_(kāi)發(fā)團(tuán)隊(duì)提供更令人興奮的項(xiàng)目是非常不錯(cuò)的激勵(lì)措施。

構(gòu)建開(kāi)發(fā)團(tuán)隊(duì)安全成熟度

通過(guò)深入了解開(kāi)發(fā)團(tuán)隊(duì)的安全成熟度差距并制定一個(gè)各方支持的計(jì)劃，就可以順利制定成功的成熟度計(jì)劃。回報(bào)是值得付出努力的。

作為一個(gè)組織，您將：

使每個(gè)開(kāi)發(fā)人員能夠更快地發(fā)布安全代碼和修復(fù)代碼；

通過(guò)減少重復(fù)出現(xiàn)的漏洞來(lái)最小化風(fēng)險(xiǎn)；

確保合規(guī)性，同時(shí)快速改進(jìn)軟件開(kāi)發(fā)；

通過(guò)顯著減少返工和安全罰單的時(shí)間來(lái)提高生產(chǎn)力；

讓高層領(lǐng)導(dǎo)專注于關(guān)鍵的戰(zhàn)略工作，以便提高效率，減少資源浪費(fèi)。

原標(biāo)題：Two Key Ways Development Teams Can Increase Their Security Maturity

鏈接：https://thehackernews.com/2022/08/two-key-ways-development-teams-can.html?