开发安全应用程序不仅仅是编写功能代码;它要求从开发过程的最初阶段就强调安全性。为了构建能够抵御漏洞和网络威胁的软件,开发人员必须具备并展示编写安全代码的能力。开放式网络应用安全项目(OWASP)作为全球公认的应用安全权威,致力于在包括网络应用、移动应用、低代码/无代码环境和基础设施即代码等多个开发领域培养这一关键能力。\n\n鉴于对安全编码技能标准化验证的日益需求,OWASP 正在推出一项名为 OWASP 认证安全软件开发人员(OCSD)计划的新认证项目。该认证旨在通过提供正式凭证来验证开发人员在安全编码实践方面的专业知识,从而赋能开发者。它也为招聘经理和组织提供了有价值的工具,使他们能够识别具备开发高韧性软件能力的候选人。\n\n将安全集成到代码中的重要性不容忽视。必须理解,编写安全代码与仅仅使用自动化工具测试安全漏洞有本质区别。安全必须嵌入开发阶段;如果开发人员忽视这一责任,后续安全团队的努力往往效果有限。OCSD 认证旨在弥补这一差距,重点关注开发人员主动预防安全缺陷所需的技能,而非仅依赖开发后测试。\n\n该认证计划拟回答的关键问题包括:组织应期望应用开发人员具备哪些安全能力?从开发人员角度,应验证哪些具体安全技能以提升其专业信誉和职业前景?通过提供评估和认可安全编码技能的结构化框架,OCSD 计划有望成为软件开发招聘和职业发展的标杆。\n\nOWASP 的这一举措反映了软件行业更广泛的转变,即安全考量正成为软件开发生命周期每个阶段的核心。随着威胁演变和攻击面扩大,赋予开发人员经过验证的安全技能是迈向更强大、更安全应用的关键步骤。关于该认证计划的更多细节和更新将在不久后公布,彰显 OWASP 推动全球安全软件开发实践的承诺。
