Coders Conquer Security: Share & Learn Series - Remote File Inclusion
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Denjenigen, die diese Blogserie lesen, werden viele Ähnlichkeiten zwischen der Sicherheitsanfälligkeit für die entfernte Dateieinbindung und der zuvor besprochenen Sicherheitsanfälligkeit für die lokale Dateieinbindung und Pfadüberwindung auffallen. Ihre Ursachen sind ähnlich, ebenso wie die empfohlenen Korrekturen.
In vielerlei Hinsicht ist die Sicherheitslücke bei der Einbindung entfernter Dateien viel gefährlicher und auch leichter auszunutzen als ihr Gegenstück bei lokalen Dateien. Als solche sollte sie so schnell wie möglich gefunden und behoben werden. Oder besser noch, Webanwendungen sollten so gestaltet werden, dass sie gar nicht erst auftreten.
In dieser Folge lernen wir:
- Wie Hacker die Remote File Inclusion-Schwachstelle ausnutzen
- Warum das Zulassen der Einbindung entfernter Dateien gefährlich ist
- Techniken, die dieses Problem beheben können.
Wie nutzen Angreifer die Remote File Inclusion aus?
Die Sicherheitsanfälligkeit durch Remote-Dateieinbindung nutzt den Befehl oder Mechanismus "Dynamic File Include" aus, der in den meisten Programmier-Frameworks vorhanden ist. Diese Fähigkeit soll es Entwicklern ermöglichen, Dateien, die sich auf einem sekundären Server befinden, zur Ausführung von Aktivitäten auf dem Anwendungsserver zu verwenden. Natürlich kann dies in den falschen Händen gefährlich sein.
Angreifer nutzen diese Fähigkeit aus, indem sie eine beliebige Website oder Anwendung finden, die unkontrollierte Benutzereingaben zulässt, die z. B. aus HTTP-Headern oder Eingabebereichen in interaktiven Formularen stammen können. Sie verwenden dies als Ausgangspunkt, um Datei-Include-Befehle zu generieren.
Wenn eine Website beispielsweise die GET-Funktion zum Laden von Seiten verwendet, z. B. page = request.getParameter("page'); include page; dann könnte ein Angreifer eine Abfrage mit dem page-Befehl senden, jedoch mit der URL einer von ihm kontrollierten Website und dem Dateipfad zu der Datei, die er ausführen möchte. Die Abfrage wird dann an den Server weitergeleitet und die Remote-Datei wird auf dem Host ausgeführt. Die Aktivität ist erlaubt, da sie nun Teil der vertrauenswürdigen App ist.
Warum ist die Sicherheitslücke "Remote File Inclusion" so gefährlich?
Der Grad der Gefahr, die von Remote File Inclusion ausgeht, ist extrem hoch. Anders als bei lokalen Dateieinbindungs-Schwachstellen, bei denen Dateien, die ein Angreifer ausführt, auf einem Host vorhanden sein müssen und vom Angreifer auch durch Ausprobieren gefunden werden müssen, gibt es bei der entfernten Dateieinbindung keine derartigen Einschränkungen. Natürlich kennt ein Angreifer den Speicherort der Dateien, die er ausnutzen möchte, da sie wahrscheinlich auf seinen eigenen Rechnern oder auf von ihm kontrollierten Websites vorhanden sind. Die Dateien können auch von ihnen selbst ausgewählt werden und müssen vor dem Exploit nicht auf dem Zielcomputer vorhanden sein. Die Datei kann sogar aus Skripten bestehen, die speziell für die Ausnutzung eines entfernten Hosts geschrieben wurden.
Kurz gesagt: Sobald ein Angreifer in der Lage ist, eine Remote File Inclusion-Schwachstelle zu finden und auszunutzen, gibt es nichts, was ihn daran hindert, die vollständige Kontrolle über eine Anwendung oder sogar eine ganze Website zu erlangen. Sicherlich werden keine dort gespeicherten Daten vor ihrem Eindringen sicher sein.
Beseitigung der Sicherheitsanfälligkeit "Remote File Inclusion
Lassen Sie niemals zu, dass Benutzereingaben direkt an einen Datei-Einbindungsbefehl zur Ausführung übergeben werden. Verwenden Sie stattdessen eine indirekte Referenz-Map von Befehlen und führen Sie Befehle nur von dort aus. Eine indirekte Referenz-Map ordnet nicht vertrauenswürdige Benutzereingaben einem Satz von fest kodierten vertrauenswürdigen Werten auf dem Server zu. Stellen Sie sicher, dass Sie alle Bereiche, in denen Benutzer Daten eingeben können, auf eine Whitelist setzen, und vergessen Sie nicht, HTTP-Header, Formularparameter und sogar Cookies in diese Liste aufzunehmen. Dadurch wird jedes Fenster geschlossen, das ein Angreifer zum Erstellen eines Datei-Include-Befehls nutzen kann.
Als Bonus wird die korrekte Bereinigung und Validierung von benutzergenerierten Inhalten und die Verwendung von Referenzkarten zur Ausführung von Befehlen nicht nur die entfernte Dateieinschluss-Schwachstelle beseitigen, sondern auch einige andere, einschließlich des gefährlichen Cousins dieses Fehlers, des lokalen Dateieinschluss- und Pfadüberquerungs-Exploits.
Weitere Informationen über Remote File Inclusion
Als weitere Lektüre können Sie einen Blick auf den OWASP-Referenzleitfaden für Remote File Inclusion Exploits werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.