提升级别：软件安全的游戏化之道

融入游戏元素，激起开发者不只要将安全置于首位，并且以引人入胜、赋有奖赏的方法来完成。

译自Level up: Gamify Your Software Security，作者 Aviram Shmueli 是Jit的联合创始人，现在担任首席研讨和立异官。Aviram是一位软件工程师和安全研讨人员。他在工程范畴有着超越20年的实践经验，并曾担任高档办理职务…

应战在软件开发中不只仅是编写代码，还包括保证安全性贯穿整个软件开发生命周期。

与工程的其他范畴相同，咱们了解到，游戏化供给了立异的方法来应对这一应战——无论是经过运用比如Wilco的渠道提高技术，仍是经过Secure Code Warrior学习安全最佳实践。游戏化使整个生态体系得以不断演进和发展技术。

游戏化不只仅用于练习和提高技术。将相似游戏的元素融入实际工程和出产体系的安全实践中，能够鼓舞开发人员不只优先考虑安全性，并且以更风趣和有益的方法来做。

这可能听起来有点可怕，就像是在戏弄出产体系，但实际上并非如此。在努力保证咱们勾选正确的安全选项时，以下是经过游戏化嵌入安全性的一些新颖方法，可能会让开发人员觉得这并不是一项烦琐的使命。

成果解锁：安全禅境的游戏化

游戏化在安全范畴并非新趋势。咱们经过CtF（夺旗）应战和红/蓝团队模仿取得了一些最重要的学习和知识，为实际操作的学习增加了竞赛要素。

游戏化已经成为行业内提高技术的重要途径，跟着对手变得更为复杂，强健的安全变得对业务连续性至关重要。

以下是一些风趣的构思，能够将游戏化嵌入到工程作业流程中，以增强开发人员在进行软件安全实践时的趣味。

10种开发人员可享受的安全游戏化方法

1. 每日安全应战

首先是互动应战。这些应战来自现实国际的安全问题。引进与安全相关的小型日常应战，比如在代码片段中辨认潜在危险，鼓舞开发人员迅速考虑并在学习有关不断演化的要挟的同时应用最佳实践，以便在实在出产体系中应对要挟。

经过以快速、每日参加的方法引进安全应战，游戏化使安全保持在开发人员的首要注意力中，使其了解新式要挟。

2. 基于团队的学习

与引进个体应战的方法相同，您能够经过团队竞赛鼓舞协作解决问题和同行学习。

您能够在特定时刻段内进行团队冲刺或其他相似的应战，以嵌入安全性。

共同解决安全应战促进了协作文化，并增添了一些健康而风趣的竞赛精力。

3. 安全施行的奖赏制度

咱们都喜爱外在的鼓舞要素，无论是 GitHub 上的星星，仍是论坛和群组中的徽章和贴纸。那么为什么不为安全性创建一个奖赏制度呢？

这使得开发人员有可能经过成功将安全措施整合到其代码中来取得积分、徽章或位置，并对他们的成果进行认可。

4. 个性化仪表板与游戏化指标

浅色仍是深色模式？每个人都有自己的个人偏好，这就是为什么大多数用户界面今日都供给这两种体会的原因。

Visual Studio Code 和其他应用供给了很多的主题和可定制性，开发人员喜爱能够控制他们花费大部分时刻的环境。

供给主题化和可定制的界面是保持培训在视觉上引人入胜且个性化的绝佳方法。引人入胜的视觉仪表板能够盯梢和显现安全指标，创造出愈加个人化的体会，使发展和成果可见且有奖赏。

5. 发展和等级

就像那些让玩家不断回来解锁下一个成果的游戏相同，这是任何游戏化项目的基础和支柱。

施行一个学习体系和计划，参加者完成使命后能够提高等级，在他们的成果和技术水平上感到成果感。每个等级将为学习者供给一个上升通道和梯度体会，能够盯梢和欣赏他们的发展。

6. 排行榜和认可计划

以下与支持工程师常常因其解决问题的速度和数量而受到奖赏相似，能够选用相似的主意来推进安排中的安全实践和卫生标准。运用排行榜来鼓舞健康的竞赛精力，并认可个人或团队对安全做出的杰出奉献。这些排行榜能够在整个安排中共享，例如每天在专用的 Slack 频道上发布。

这是除了上面提到的徽章和其他奖赏之外的另一种方法。我曾见过安排中针对其他战略行动的认可计划，如“最佳博客作者”或“最佳演讲者”，甚至为取得这些头衔的人颁布特别的连帽衫或纪念品，赋予其独特性和威望。

这能够为一个对公司而言应该比外部活动更具战略意义的范畴带来巨大的价值：咱们体系和产品的安全性。奖赏和认可在很大程度上有助于告知团队，他们的奉献是受到重视的。

7. 面向不同技术水平的设计

当咱们长大时，晋升到不同的空手道带级需要花费很长时刻。竞技体育也自那时以来发生了改变，今日有“中级”两种颜色的带级，使儿童和青少年能够看到进步，并期望继续投入健身和技术发展。

学习安全性也是如此。经过保证游戏化元素习惯各种技术水平，从初学者到经验丰富的开发人员，能够使安全实践对所有人都变得可拜访和引人入胜——并更容易保持学习的承诺——因为完成成果之间的里程碑更容易到达。

8. 与日常作业流程的整合

毋庸置疑，要使这些主意真正为您的团队发挥作用，游戏化元素应无缝整合到日常开发者作业流程中。如果您不努力使安全实践成为开发进程的自但是常规的一部分，它们就不会被采用。

如果您挑选其间一些或其间几个主意，请保证它们与现有的流程和作业流程紧密结合，以便您能够取得最多的奖赏和优点。

9. 定期更新和不断演化的应战

终究，咱们期望提高开发人员的技术，以应对不断增长的要挟和攻击面，安全工程团队单凭本身无法完成这项使命。这就是为什么保持内容新鲜，应战和场景与最新的安全趋势保持一致至关重要。

保证引进新的应战和场景，以保持参加度并保证继续学习，以协助防止在您的出产体系中发生下一次重大事件。

10. 继续改进的反应循环

终究，如果开发人员不采用游戏化计划，那就未能到达方针。与任何新产品、流程、特性或计划相同，建立一个反应循环是重要的，让开发人员对游戏化元素供给意见。

这将有助于保证渠道根据他们的需求和应战发展，与实在的作业流程保持一致，参加其间令人满意，并使结果足够有价值。

总结考虑

终究，将游戏化整合到软件安全实践中为提高软件开发团队的安全防护姿态供给了令人兴奋的时机。

经过使安全更具互动性、吸引力和奖赏性，开发人员更有可能将安全视为作业流程的基本组成部分，从而产生更强大和安全的软件产品。

这只是如何将这些原则应用于开发人员日常作业流程的一些示例，以尝试以开发人员喜爱的方法提高安排中的安全技术。

本文在如此众生（yylives.cc/）首发，欢迎我们拜访。