主页 / 开发人员技能 / 应用程序开发

使用GitHub安全代码游戏构建代码安全技能

学习查找和修复安全问题,同时享受安全代码游戏的乐趣,现在有新的挑战,重点是JavaScript、Python、Go和GitHub操作!

·@jkcso公司
| 4分钟

2023年3月,我们推出了安全代码游戏,一种回购学习体验,玩家可以修复有漏洞的代码,这样开发人员可以建立安全的编码思维方式一边玩!自那时以来,已经有3500多名开发人员参与其中,我们很高兴看到它如何帮助企业、开源和教育社区实现他们的目标。今天,我们很高兴能发布第二季,在JavaScript、Python、Go和GitHub Actions中有五个社区贡献的挑战!

游戏如何运作

游戏仍然尽可能简单:检查代码,修复错误,并运行测试以进入下一个级别!最好的部分?通过以下方式将其作为云中完全配置的环境启动不到两分钟GitHub代码空间,每月最多60小时免费。它是为希望提高代码安全技能、学习如何在工作流中构建安全性以及如何使用GitHub高级安全(GHAS).

为什么要玩游戏?

我们最初的动机是解决开发人员社区在安全编码培训中遇到的困难。在我们与社区的互动中,我们收集了以下反馈:

  • “枯燥的课程遵循纯粹的理论方法,通常以视频为基础。”
  • “在开发环境之外学习。”
  • “通过多项选择题进行评估,而在现实世界中,无法保证在不引入新问题的情况下解决安全问题。”
  • “缺乏基于所使用的编程语言和框架的个性化,包括由于编码风格而频繁出现的安全问题。”

我们选择了一种游戏化的方法,这让我们的学习者感到兴奋,并且在代码空间内部或本地的报告中的体验,使其成为开发人员第一,让开发人员在他们擅长的地方:他们的代码编辑器。然后,我们给玩家一个三重挑战:发现安全问题,修复它们,并保持代码的功能与最初一样,以继续下一个级别。这使玩家认识到在不引入任何现有功能回归的情况下有效解决问题的现实挑战。最后,通过开源我们的游戏,我们也给了社区一个贡献的机会。他们抓住了机会,为新赛季五分之四的挑战做出了贡献!

为安全代码游戏做出贡献意味着通过开源在更广泛的安全领域产生影响。我在第二季中加入了一些挑战,这些挑战来自于现实生活中的场景,以帮助其他人以一种吸引人的、有趣的、亲身实践的方式学习。

-Deniz Onur Düzgün,HashiCorp高级产品安全专家和开源贡献者

在过去的一年里,从我们的社区得知他们是如何使用这个游戏的,这是非常值得的。例如PropTech公司这家初创公司召集其开发人员参加了首次基于安全代码游戏的黑客马拉松。在尝试其他培训失败并发现代码中的漏洞继续堆积后,他们决定解决他们面临的一些常见安全问题,并将其转化为安全代码游戏挑战,让他们的工程师以两人一组的方式竞争。因此,他们注意到,在合并时,安全问题减少了96%全球统一会计准则安全代码游戏安全团队每周需要帮助开发人员进行安全修复的时间减少了近97%。

我们的工程师玩得很开心!我们注意到,开发人员的主人翁意识增强,并愿意直接向我们的安全工程师学习。

-PropTech初创公司首席信息安全官(CISO)

此外,诺维萨德大学的课堂上使用了安全代码游戏,在学生的积极参与下进行交互式讲座。

我注意到,与传统的被动受众交流相比,这是一种更有效的分享知识的方式。学生们立即有机会实践概念并在实践中学习。他们还意识到,安全性不应该是事后才考虑的,因为他们在实践中经历过,当它被固定在一个功能丰富的应用程序之上时,已经太晚了,而且有风险。

-Ervin Varga,诺维萨德大学技术科学学院副教授

你升级的机会!

我们迫不及待地想知道你将如何应对第二季的挑战。对于有创意的读者,不要错过贡献自己的机会!我们欢迎您的想法来塑造游戏的未来。看看我们的缴款指南了解更多详细信息。

那么,你还在等什么?现在开始玩!

标签:

编写人

相关职位