公司正在加速部署過程,即減少創建和分發軟體所需的時間,並越來越快地發布新版本的應用程式。
許多人沒有意識到的是,這種速度並不總是有益的,因為它可能使系統更容易受到各種類型的網路攻擊,因為在發布之前並不總是有足夠的時間進行嚴格的安全測試。
然而,時間並非應用程式能否完美且安全地運行的唯一決定因素。更糟的是,缺乏合格的專業人員來保護整個數位生態系統。隨著風險的增加,能夠確保應用程式安全的人才也隨之短缺。根據《2024年網路安全勞動力研究》 ,全球網路安全專業人員缺口已超過480萬,而應用安全是彌補這一缺口的關鍵領域之一。
「忽視應用程式安全的公司將面臨巨大的財務、聲譽和法律風險。然而,許多真正致力於投資該領域的公司往往面臨缺乏合格專業人員來提供必要支援的風險。」應用程式安全 (AppSec) 解決方案開發人員 Conviso 的執行長 Wagner Elias 強調。
巴西的情況也同樣令人擔憂。 Fortinet 估計,該國需要約 75 萬名網路安全專家,而 ISC² 則警告稱,到 2025 年,該國可能出現 14 萬名專業人員的缺口。這表明,儘管該國正在努力填補數十萬個職缺,但應用安全、營運和治理領域合格專業人員的短缺卻十分迫切。
「合格專業人員的需求遠遠超過供應。因此,許多公司沒有時間等待傳統培訓,而是選擇投資自己的培訓項目。」Elias 解釋道。
Conviso 學院就是一個例子,它是由總部位於庫裡提巴、專注於應用安全的 Conviso 公司發起的,該公司最近收購了 Site Blindado。該學院的成立是為了解決一個現實的市場問題:應用安全專業人員的短缺。所以我們決定培養這些人才! Conviso 學院講師 Luiz Custódio 解釋道。
「學院不再是幾百人上課的訓練營。現在班級規模較小,每週同步授課。從第一個模組開始,學員們就開始著手解決實際問題,應對威脅建模、安全架構和安全編碼方面的挑戰,就像應用安全團隊每天所做的那樣。」Custódio 說道。
執行長還強調:“在這一模式背後,Conviso 投入了方法論規劃,構建了符合安全專業人員實際培訓需求的教育方法。這種方法的指導思想是,教育不僅僅是理論或實踐,更是經驗的積累。”
在整個模組中,學員將學習如何繪製並確定可能影響業務連續性的威脅的優先順序;評估並提出適用於 Web、行動和雲端應用程式的安全架構;實施與 DevSecOps 整合的安全開發實踐;以及建立安全管道,在不減慢部署速度的情況下實現自動化檢查。所有這些都強化了「左移」,將安全性置於開發週期的最初階段,因為此時安全性效率最高且成本最低。
他強調:“結果不僅僅是技術性的;它還涉及了解應用程式安全如何保護公司並為其創造價值,準備與利益相關者交談,轉化風險,並幫助團隊安全地交付軟體。”
實際上,它是這樣的:參與者從一開始就親自動手,不僅培養技術安全技能,還培養溝通、團隊合作和自主學習等必備的軟技能。
「我們將人們已知的知識與他們需要學習的知識聯繫起來,讓他們意識到應用安全並非高深莫測。講師並非主角,而是一個調解員,幫助學員構建和充實自主開發的解決方案。」Conviso Academy 的講師說。
首期課程共收到400多份申請。然而,為了確保質量,每期課程名額有限,每期僅提供20個名額,其中30%至40%的名額預留給少數族裔(女性、黑人和LGBTQIAPN+群體)。
「我們的重點是那些想要進入應用程式安全領域的人,即使他們還沒有進入這個市場。你不需要學位或最低年齡,但你需要有真正的學習和挑戰自我的願望,」Custódio 說。
根據該機構組織介紹,第二期培訓現已開放報名,計劃於 2026 年開始。有興趣的人可造訪網站以了解更多資訊: https://www.convisoappsec.com/pt-br/conviso-academy
