企业内部面向研发测试安全培训
企业研发测试岗为什么需要关注安全问题?
成本的角度
越早解决成本越低
在企业中看到过很大一部分安全问题,都是基础安全问题,如SQL注入、XSS、命令注入,只需要研发在开发时,稍微关注提高安全意识,进行基础过滤,就可以解决
从成本的角度来说,研发时期解决掉了安全问题,成本是最低的
解决问题更快
研发更加熟悉业务,能够想到更好的解决方案
为什么选择这套owasp shepherd课程 ?
-
方便管理和追踪学习进度
每个人可申请唯一标识,管理员可以查看学习进度 -
课程分级别类
可以根据受众设置不同等级的课程,比如研发测试只需要学习前两类课程 -
持续更新
作者还在持续开发这套课程,增加最新的安全漏洞 -
完善的课程教程
owasp shepherd cn已经将该课程进行了全面的研究,整理了一套人人易懂的解决方案
吸引企业中的研发和测试加入进来
-
前期推广
需要种子用户,可以找认识的,对安全感兴趣的同学,加入进来,给予特定奖励,比如都完成了课程,可以免费参加聚餐,小组聚餐,方便交流和大家继续探讨安全开发相关问题 -
等大部分同学都完成了课程
可以强制推广,要求未完成的同学在规定的时间内完成课程学习,新人入职强制要求进行学习
怎样把研发测试团队培训做好-恩威并施
吸引(恩)固然重要,但由于宣传力度,奖励机制,很难覆盖所有,同时企业中难免有些完全沉浸在自我项目中,对其它没有任何兴趣的同学。
因此还需要从另一个角度(威)去推广,狠狠的打击,当发现安全漏洞时,大范围的宣传影响,每季度对安全漏洞进行汇总,对各个团队进行评测,比出个高低,让团队的负责人真正的重视起来(大部分人还是爱面子的)推动团队成员来做安全开发
长期作战
企业存在比较多的人,有完全不同的分工,希望大家投入更多的时间/精力在安全上,把安全做好,需要不断的、长期的跟进和投入,但一套完整的流程,去培训、去宣讲还是非常有帮助的
从各个角度,owasp shepherd还是非常不错的,基本满足企业在技术岗培训上的需求, 其开源性,可以更加方便的与企业进行融合