Hay algunas cosas que he visto que tienen buen éxito.
Estándares para desarrolladores : esto incluiría bibliotecas para usar, cifrados cifrados y fortalezas para usar, información sobre pruebas de saneamiento de entradas, etc. La clave aquí es trabajar muy de cerca con los líderes en el desarrollo org.
Mientras los datos estén actualizados, sean precisos y estén bien reunidos, se ahorra mucho tiempo a los desarrolladores. Esto asegurará que sus desarrolladores pasen el menor tiempo pensando en configuraciones de seguridad predeterminadas y puedan centrarse en la solución de problemas para la que realmente están ahí. Esto también es muy útil ya que a los nuevos desarrolladores les lleva menos tiempo realmente ponerse al día.
Desafíos de piratería : estos pueden requerir muchos ajustes, pero como mencionó Schroeder, los desarrolladores desafiantes para resolver rompecabezas pueden ser una forma divertida de aprender. Puede instalar un sistema que sea vulnerable a una vulnerabilidad relativamente común y desafiar a los desarrolladores a obtener algún tipo de datos que no deben hacer. El idioma / plataforma / sistema operativo, etc., depende un poco del código de sus desarrolladores.
Análisis estático : desarrolle buenas herramientas de análisis estático y exponga los resultados a sus desarrolladores. Ayúdelos a aprender a interpretarlos para que puedan escribir códigos más seguros. Este es potencialmente un montón de trabajo, pero vale la pena dependiendo de cuántos desarrolladores tengas que entrenar.
Campeones de seguridad : al igual que con cualquier otro tema, algunos desarrolladores están más fascinados por la seguridad que otros. Encuentre a estas personas en sus diversos equipos, envíeles información específica, asegúrese de que le informen sobre extraños problemas de seguridad, etc. Puede ayudarles a enseñarles el uso más avanzado de las herramientas de seguridad y darles al menos un conocimiento básico de la auditoría de códigos para que puedan ayudar a revisar el código de su equipo. Dales camisetas, pequeños premios y otros reconocimientos y siempre, asegúrate de GRACIAS. :)