معيار ترميز آمن لزيادة المعايير بين المطورين
محامي أمن المطور محارب الرمز الآمن أطلقت شركة (SCW) ما تدعي أنه أول معيار قياسي في الصناعة مصمم لقياس الكفاءة الأمنية لفرق مطوري البرامج لدى عملائها.
على الرغم من وجود خدمات قياس الأداء والتسجيل الأخرى، فإن نقاط الثقة الخاصة بـ SCW مصممة خصيصًا لتوفير خط أساسي لتأثير برامج التعلم الخاصة بالمؤسسات، وتقييم فعاليتها، وتمكين فرق الأمن والمطورين والهندسة من التعاون بشكل أفضل وإعادة معايرة التدريب على المهارات.
وفي حديثه إلى Computer Weekly، قال ماتياس مادو، كبير مسؤولي التكنولوجيا والمدير والمؤسس المشارك في SCW، إن تعليم وتدريب المطورين في وقت مبكر من العملية كان أمرًا أساسيًا لتحسين الأداء العام. أمان الكود ينتجون.
“ما حددناه قبل 10 سنوات هو أن الكثير من المنظمات تتأخر في الدورة – لذا بدلاً من هذا كله تحول الحركة اليسرىقال: “نقول في الواقع ابدأ من اليسار”. “إذا لم تقم بتثقيف المطورين، وإذا لم تبدأ مع المطورين الذين يعرفون أشياءهم، فلن تتمكن من إصلاح أي شيء. يمكنك استخدام أي أدوات تريدها لحل المشكلة، لكنك لن تتمكن من حلها.
“هناك الكثير من الأدوات المتاحة، ولكن لا شيء يركز حقًا على الشخص أو المطور أو مستوى المهارات، وهذا ما نريد التركيز عليه.”
تعتقد SCW أن الحاجة إلى مثل هذه الخدمة أصبحت أكثر إلحاحًا حيث يجتمع الطلب على تطوير التطبيقات بشكل أسرع وتكامل قدرات الذكاء الاصطناعي لإدخال إمكانية تسلل المزيد من نقاط الضعف أثناء عملية التطوير.
هناك أيضًا موجة متزايدة من الوعي بهذه المشكلات في أعقاب العديد من الإخفاقات الأمنية الكبيرة، والتي أثرت بشكل عام على مجتمع البرمجيات مفتوحة المصدر، والتي أدت في بعض الحالات إلى الحوادث السيبرانية الدولية الكبرى.
قالت SCW إن هذه الضغوط تعني أن المؤسسات بحاجة إلى بذل المزيد من الجهد لإنشاء فريق أمني واعي بالأمن والحفاظ عليه، ولا يزال قادرًا على الأداء على أعلى مستوى – ومن ثم إنشاء معيار لتحديد منحنى الجرس لبرامج الأمان الخاصة بهم وفهم المهارات. قاعدة فرق التطوير الخاصة بهم.
ليتم عرضها الأسبوع المقبل في القادم مؤتمر آر إس إيه في الولايات المتحدة، تعتمد نقاط الثقة الخاصة بـ SCW على 20 مليون نقطة بيانات مستمدة من 250.000 متعلم لدى أكثر من 500 عميل حالي.
قال مادو: “قبل عام، طلبنا من مجموعة من علماء البيانات النظر في بياناتنا ومعرفة كيف يبدو المطور الجيد”. “لقد أمضوا الكثير من الوقت في التوصل إلى خوارزمية لتجميع جميع مستويات مهارات المطورين في المؤسسة، ونطلق على ذلك اسم “نقاط الثقة”.
وقال: “يمكننا الآن منح درجة الثقة للمنظمة التي تمثل في الأساس مجموعًا لجميع مستويات مهارات المتعلمين”. “إنه رقم يتراوح بين صفر و1000، ومعظم الشركات الآن تتراوح بين 300 و500.”
وقال مادو إن هذه النتيجة ستمكن المؤسسات من قياس مدى نجاح مطوريها في كتابة تعليمات برمجية آمنة، ومقارنة أنفسهم بمعايير مختلفة – عند الإطلاق، تتضمن الخدمة معيارًا عالميًا يقارن جميع المستخدمين، ومعيارين قياسيين محددين للتكنولوجيا والمالية. صناعات الخدمات.
أبعد من ذلك، تأمل SCW أن تساعد نقاط الثقة قادة تكنولوجيا المعلومات والأمن على رفع مستوى البرمجة الآمنة في مؤسساتهم، وتوجيه المطورين الأفضل أداءً إلى المشاريع التي تحتاج إلى أكبر قدر من الاهتمام.
المطورين الفرديين
هناك أيضًا حالة استخدام للمطورين الفرديين. قال مادو: “نأمل أن يتبنى المطورون ذلك حقًا، ونأمل أن يمنحهم ذلك حقوق التفاخر على LinkedIn”. “على سبيل المثال، يمكنهم أن يقولوا: “مرحبًا، أنت تعرف ماذا، هذا هو مدى كفاءتي”.
وقال: “إذا كنت مؤسسة مالية، فأنت ترغب في توظيف مطورين ذوي مهارات أمنية، لذلك نأمل بالتأكيد أن يتبنى المطورون ذلك”.
وقد أثبتت الاختبارات التي أجريت بين عملاء النسخة التجريبية أنها مشجعة، حيث أفاد البعض عن انخفاض بنسبة 53% في حجم الثغرات الأمنية، وخفض الوقت المستغرق لإصلاح الثغرات الحرجة. وقال مادو إن هناك بالفعل الكثير من الأدلة على أن نقاط الثقة قد جذبت انتباه الإدارة، وحفزت المشاركة بين العملاء ودفعتهم إلى تحسين مهارات فرق المطورين الخاصة بهم.
في نهاية المطاف، تأمل SCW أن تساعد نقاط الثقة في دفع مجتمع المطورين نحو شيء يشبه معيار الصناعة.
وأضاف: “هذا بالتأكيد ما نهدف إليه”. “وأعتقد أن لدينا فرصة جيدة لتحقيق ذلك. لدينا الكثير من المؤسسات المالية رفيعة المستوى التي تم قياسها، وبعض شركات التكنولوجيا رفيعة المستوى، لذلك هناك وزن وراء نقاط الثقة.