开发团队提升安全成熟度的两个主要方法

当前威胁形势下，开发团队打造并磨练自身安全技能的需求比以往任何时候都来得紧迫，因为他们要面对的是独立黑客、黑客团伙和黑客国家队全都在积极利用软件漏洞的局面。然而，最近的全球调研结果却表明，67%的受访开发人员仍在产出他们明知包含漏洞的代码。

帮助开发团队提高安全成熟度是可行且有收益的，有助于确保软件开发生命周期的每个阶段都能实现安全软件开发。

但到底该如何帮助开发团队达成安全成熟呢？

针对400多家客户的调研呈现出了开发团队提升安全成熟度时所表现出来的特征与行为，其中最主要的两点如下：

1：深入了解自身短板

在设立任何成熟度计划之前，我们首先需要了解开发团队自身的情况。开发团队目前的成熟度水平如何？他们受困于哪些漏洞？使用何种编程语言？掌握了此类问题的答案，公司就知道开发团队安全成熟度计划该重在哪些方面了。

研究发现，一些受访公司通过举行Secure Code Warrior竞赛获得了这些问题的答案。在竞赛中，开发人员要面对一系列编程挑战和任务，然后竞相识别、定位和修复漏洞。一场竞赛可以让管理层了解到开发人员正努力解决那些漏洞，因而知晓成熟度计划可以首先着重解决哪些问题。

2：制定计划迈向成功

打造开发团队安全成熟度可不是走走过场而已，应该循环往复的持续改进。成功的计划应该包含各个开发人员和整个团队的实际目标。设置目标可以让开发人员体会到成就感，充分参与到成熟度计划中。一些公司已经发现，排行榜、成就奖励，或者为成熟开发团队提供更多精彩项目，都是相当不错的激励。

打造开发团队安全成熟度

深入了解团队安全成熟度方面的短板，创建各方支持的计划，然后你就踏上了成功制定成熟度计划之路。所获收益绝对值回票价。

公司方面可收获的是：

Secure Code Warrior白皮书《开发团队安全成熟度的重要性》
https://discover.securecodewarrior.com/importance-security-maturity-developer-teams.html

参考阅读
低代码与无代码开发的四个安全隐患
安全的生命周期不是开发人员的生命周期
填补安全与开发团队之间鸿沟的四个关键
基于工控业务场景构建工控安全成熟度模型
介绍一下美国国防部的网络安全成熟度模型认证（CMMC）