开发人员是落实DevOps资讯安全的关键，趋势科技揭露训练心法,,其中，要落实DevO

原标题：开发人员是落实DevOps资讯安全的关键，趋势科技揭露训练心法

图片来源: 周峻佑摄 企业在实践DevOps的过程中，若是忽视安全性的考量，一旦遭到攻击，所有的开发成果，便很可能付诸流水。其中，要落实DevOps的资讯安全，最为关键的部分，就是人才的养成。在DevOpsDays△2018 Taip...

图片来源:

周峻佑摄

企业在实践DevOps的过程中，若是忽视安全性的考量，一旦遭到攻击，所有的开发成果，便很可能付诸流水。其中，要落实DevOps的资讯安全，最为关键的部分，就是人才的养成。在DevOpsDays△2018 Taipei大会里，趋势科技产品授权服务经理曾凯平（KP），便借着介绍该公司开放一般开发者可用的教育训练网站，名为程式开发安全道场（Security△Coding△Dojo）的平台，透露他的团队训练心法。

基本上，在网站应用程序的开发流程里，大致可区分为初期的设计、程式码的编写、网站的架设与测试，以及上线营运之后的维护等。曾凯平说，无论那一个阶段，相关的执行人员，可是占有举足轻重的地位。而在DevOps策略的执行过程，除了大量采用自动化与系统化机制，减少人为疏失可能会带来的影响，事实上，在程式开发、编写，以及测试的阶段，就应该将安全性纳入程式码的内容。

从自家线上训练平台应用，强调学习过程比成绩重要

也许，这正是曾凯平特别提到了程式开发安全道场的原因。这个开放原始码的程式开发者资安教育训练平台，由趋势科技在去年开始免费提供，因此，一般的开发人员，都能直接申请帐号，参与其中的漏洞解题课程。

开发人员注册了这套训练系统后，便能从白带阶级一路挑战道场提供的题目，最终升级到最高级的黑带。这过程里，开发者总共要挑战21关卡，其中，每通过3个关卡之后，道场的学员就会晋升一级。每个关卡都与特定的网站漏洞有关，目的就是要让参与的学员能够习得相关的安全知识。

曾凯平展示他个人在程式开发安全道场（Security△Coding△Dojo）中的仪表板，个人通过的关卡名称。这每一行的文字，代表了一个个漏洞的探查测验。

除了个人的关卡挑战之外，为了增加从游戏中学习的乐趣，程式开发安全道场也提供了组队的机制，让学员能够参与团队竞赛。

这个开放一般开发人员都能使用的线上训练平台，主要诉求2大核心功能，包含让开发人员可充分学习安全开发的所需知识，以及提供团队合作，一同研究找出漏洞等。

曾凯平指出，自这个道场开放至今，不少开发人员在上面挑战各式关卡，他也听闻许多企业的主管，将它列为网站开发人员必须执行的测验，要求他们在指定时间内取得黑带资格。不过，曾凯平也强调，其实取得黑带与否，不是他们的道场成立的重点，而是学员能从挑战题目中，学习到研究可能潜在漏洞的精神，以及资安知识，假如只是为了过关，开发人员猜到答案而晋级，很可能什么都没有学到。因此，曾凯平说，他自己的团队实际在运用这套系统的时候，他会进一步确认，学员理解关卡题目内容的程度，以及他们如何从中找出答案，借此验证学员是否因此有所收获，而非只是答题的正确与否。

橙山网（Csnd.net）简评：其中，要落实DevOps的资讯安全，最为关键的部分，就是人才的养成。在DevOpsDays△2018 Taip...图片来源: 周峻佑摄 企业在实践DevOps的过程中，若是忽视安全性的考量，一旦遭到