Copiar y pegar es una técnica de codificación peligrosa
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
La importancia de este trabajo es que proporcionamos evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, que no se habían reportado anteriormente.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
