成熟度模型中的建筑安全 15 15

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。

为了在整个组织中推广软件安全文化，SSG定期开展软件安全意识培训。此培训可能通过SSG成员、安全倡导者、外部公司、内部培训组织或电子学习的方式进行，但课程内容不一定针对特定受众量身定制——例如，开发人员、QA工程师和项目经理都可能参加同一个“软件安全入门”课程。通过量身定制的方法增强此内容，明确针对公司的文化，这可能包括构建安全性的流程、避免常见错误以及技术主题，如 CI/CD 和 DevSecOps。仅涵盖基础 IT 或高层次安全概念的通用入门课程无法产生令人满意的效果。同样，仅针对开发人员而不针对组织中其他角色的意识培训是不足的。通过为 SSDL 利益相关者提供按需培训，组织可以减轻学生的负担并降低提供软件安全培训的成本。最明显的选择是电子学习，它可以通过订阅模式保持更新，但在线课程必须对不同角色的学生（例如开发人员、QA、云端、运维）具有吸引力和相关性，以实现其预期目标。无效的（例如过时的、偏离主题的）培训或未被使用的培训不会带来任何改变。热门的工程话题如容器化和安全编排，以及诸如游戏化的新培训方式，将比枯燥的政策讨论更能吸引人们的兴趣。对于开发人员来说，可以在需要时直接通过IDE提供培训，但在某些情况下，建立新的技能（如云安全或威胁建模）可能更适合由讲师主导的培训，这种培训也可以按需提供。将新员工引入软件工程组织的过程需要及时完成一门关于软件安全的培训课程。虽然通用的新员工入职流程通常涵盖选择强密码和防范网络钓鱼等主题，但该培训期进行了增强，以涵盖如何创建、部署和操作安全代码、软件安全开发生命周期（SSDL）、安全标准（见[SR1.1]）以及内部安全资源（见[SR1.2]）等内容。其目标是确保新员工能够尽快为安全文化做出贡献。尽管通用的入职模块很有用，但它无法替代及时且更完整的软件安全入门课程。通过邀请嘉宾讲师或举办关于高级软件安全主题的特别活动，加强安全冠军网络（参见 [SM2.3]）。这一努力旨在为冠军提供定制化培训（例如。，最新的软件安全技术用于DevOps或无服务器技术，或关于新政策和标准的影响）以便其能够履行分配的职责——这并不是关于邀请冠军成员参加常规的午餐学习会，或让他们报名参加标准的计算机培训课程。同样地，一个允许自愿参加的固定电话会议也无法达到预期效果，因为这些效果既涉及建立同事之间的友情，也涉及知识共享和组织效率。定期活动可以建立社区，促进协作和集体解决问题。面对面的会议无疑是最有效的，即使每年只举行一两次，即使有些参与者必须通过视频会议参加。在拥有大量地理位置分散且在家工作的成员的团队中，仅仅打开摄像头并确保每个人都有发言机会就能产生显著的效果。为了在行为上实现强有力且持久的改变，培训包括与公司软件安全挑战历史相关的材料。当参与者能够在问题中看到自己时，他们更有可能理解这些材料与自己的工作相关，以及何时以及如何应用所学知识。一种方法是将针对公司软件的显著攻击作为培训课程中的示例。成功和失败的攻击，以及渗透测试、设计审查和红队演练的显著结果，都可以成为很好的教学案例。公司历史中的故事可以帮助引导培训走向正确的方向，但前提是这些故事仍然相关且不过度审查。培训应涵盖开发人员使用的平台（负责容器编排的开发人员可能不会关心旧的虚拟化问题）以及与常用编程语言相关的问题。软件安全培训不仅仅是提高意识（见 [T1）。1）旨在使学生能够将安全实践融入到他们的工作中。这种培训专门涵盖与学生最相关的工具、技术栈、开发方法和问题。一个组织可以为其工程师提供不同的培训路径，例如，为架构师、开发人员、运维人员、DevOps、站点可靠性工程师和测试人员各提供一个培训路径。在这样的课程中，通常也需要针对特定工具的培训。虽然它可能比工程培训更简明，但对于组织内的许多其他利益相关者（包括产品管理、管理层等）来说，角色特定培训也是必要的。无论如何，培训必须由足够广泛的受众参与，以建立所需的整体技能组合。该组织举办安全活动，邀请外部讲者和提供相关内容，以加强其安全文化。这类活动的好例子包括 Intel iSecCon 和 AWS re:Inforce，这些活动邀请所有员工参与，邀请外部演讲者，并专注于帮助工程团队创建、部署和运行更高质量的代码。员工可以从听取外部观点中受益，尤其是那些与快速发展技术领域相关并涉及软件安全的观点，同时组织也可以通过展示其安全资质受益（参见 [SM3.2]）。仅对小型精选群体开放的活动，或者仅仅将录音放在内部门户上，都无法在整个组织中带来预期的文化变革。参与 SSDL 的每个人都必须每年参加一次软件安全复训课程。该课程能够让员工及时了解组织的安全策略，并确保组织不会因为人员流动、方法演变或部署模式变化而失去重点。SSG 可能会提供安全形势的最新信息，并解释政策和标准的变更。复习课程也可以作为公司整体安全日的一部分推出，或与内部安全会议配合进行。虽然一个复习模块可以用于多个角色（见 [T2.9]），但涵盖新主题和对前一年内容的更新应当产生大量新的内容。软件安全专家会在定期安排的办公时间或在 Slack、Jira 或类似的公开渠道上，以开放的方式为任何人提供帮助。通过作为希望解决安全问题的人的非正式资源，SSG 利用可教的时刻，并强调在安全最佳实践中以奖励为主而非惩罚的方式。办公时间可能由高级SSG成员每周主持一次下午，并可能邀请负责解决复杂安全问题的产品或应用小组进行简短汇报。Slack 和其他消息应用可以全天候捕捉问题，在适当的主题专家持续参与对话并确保生成的答案符合 SSG 期望的情况下，起到办公时间平台的作用。在线方法的额外好处是讨论可以被记录并可搜索。在安全课程的学习过程中取得进展会带来个人收益，例如获得公开认可或职业晋升。奖励体系可以是正式的，例如颁发认证或在人力资源系统中记录官方标志，也可以是非正式的，包括在年度评估时记录表扬等激励措施。让公司培训部门和人力资源团队参与进来，可以使提升安全技能对职业发展的影响更加明显，但SSG应继续监控公司内的安全知识，而不应完全放弃控制或监督。咖啡杯和T恤可以提升士气，但通常需要真实的职业发展机会才能真正改变行为。供应商和外包员工接受适当的软件安全培训，其水平与员工所接受的培训相当。在一开始就花时间和精力帮助供应商做好安全防护，要远比事后试图查明问题出在哪里简单得多，尤其是在开发团队已经转向其他项目的情况下。培训个人承包商比培训整个外包公司更自然，也是一个合理的起点。无论员工的雇佣状态如何，重要的是所有使用公司软件的人都应具备适当的培训水平，以提高他们满足其岗位软件安全期望的能力。当然，一些供应商和外包工作人员可能已经从他们自己的公司接受了充分的培训，但这总是需要进行核实。未来的安全冠军是通过注意那些在展示技能和热情的机会中表现突出的人来招募的，例如培训课程、办公时间、夺旗赛、黑客马拉松等，然后鼓励他们加入冠军团队。特别注意那些贡献代码、安全配置或缺陷发现规则的从业者。冠军计划通常开始于一组被指定的人，这些人分散在整个组织中，他们表现出高于平均水平的安全兴趣或对新技术栈和开发方法拥有高级知识（参见 [SM2.3]）。主动识别未来成员是创建一个促进安全融入软件开发和运维的社交网络的一步。一个由热情且有技能的志愿者组成的团队比一个被强制加入的团队更容易管理。