Neue Sicherheitslücken in den Spring-Bibliotheken: Wie Sie feststellen können, ob Sie gefährdet sind, und was Sie tun können
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) entdeckt. Um Ihnen zu helfen, besser zu verstehen, ob Sie von einer dieser Sicherheitslücken betroffen sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Details zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1: „Spring4Shell“ (CVE-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets, die Screenshots eines Proof-of-Concept-Exploits für Spring Core (SC) enthielten, der die Remote-Ausführung von Code in allen Versionen von Spring Core ermöglicht, einschließlich der zuletzt veröffentlichten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit wurde nur bestätigt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit betroffen sein könnten. Es wurde zwar noch nicht nachgewiesen, dass der Exploit gegen den integrierten Servlet-Container von Tomcat oder gegen andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich ist, doch ist nicht auszuschließen, dass die Bedrohung in Zukunft auch für diese Frameworks erfolgreich sein könnte.
Spring veröffentlichte eine offizielle Erklärung zu dieser Schwachstelle, in der klargestellt wird, dass gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Schwachstelle vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als traditionelle WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-Datei)
- Abhängigkeit von spring-webmvc oder spring-webflux
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert die Ausnutzung von „Spring4Shell“?
Die Ausnutzung basiert auf der Verwendung der „Datenbindung” (org.springFramework.webbind.WebDataBinder) in Anfragen, die einfache, alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Die Klasse Foo ist eine POJO-Klasse, die wie folgt definiert werden könnte. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Klassenlader verwendet, um die Klasse aufzulösen. Der Klassenlader ist dafür verantwortlich, die Klassen zur Laufzeit zu laden, ohne zuvor alle möglichen Typen in den Speicher vorzuladen. Er bestimmt, welche .jar-Datei geladen werden muss, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich möglicher Korrekturen oder alternativer Lösungen.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-333322963)
Am 27. März 2022 veröffentlichte Cyber Kendra Details zu einer 0-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Codeausführung (RCE) ermöglichte und für die es keinen Patch gab. Der Sicherheitslücke wurde die ID CVE-333322963 zugewiesen : Sicherheitslücke beim Zugriff auf Ressourcen von Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede andere nicht kompatible Version
Wie funktioniert die Ausbeutung?
Spring Cloud Function bietet Entwicklern die Möglichkeit, die Weiterleitung über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SpEL) unterstützt. Dank dieser Zero-Day-Sicherheitslücke haben wir entdeckt, dass diese Eigenschaft über die HTTP-Header einer Anfrage konfiguriert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt einbetten und somit beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um das Risiko zu mindern?
La Primavera hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, die dieses Problem beheben, indem sie nicht zulassen, dass diese Eigenschaft über HTTP-Header festgelegt wird, wodurch die Schwachstelle gemindert wird. Nach dem Update auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder sehen Sie sich unsere kostenlosen Richtlinien für sicheres Codieren im Secure Code Coach an .
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) entdeckt. Wir haben die bekannten Details zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt, damit Sie besser verstehen können, ob Sie gefährdet sind und was Sie in diesem Fall tun können.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) entdeckt. Um Ihnen zu helfen, besser zu verstehen, ob Sie von einer dieser Sicherheitslücken betroffen sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Details zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1: „Spring4Shell“ (CVE-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets, die Screenshots eines Proof-of-Concept-Exploits für Spring Core (SC) enthielten, der die Remote-Ausführung von Code in allen Versionen von Spring Core ermöglicht, einschließlich der zuletzt veröffentlichten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit wurde nur bestätigt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit betroffen sein könnten. Es wurde zwar noch nicht nachgewiesen, dass der Exploit gegen den integrierten Servlet-Container von Tomcat oder gegen andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich ist, doch ist nicht auszuschließen, dass die Bedrohung in Zukunft auch für diese Frameworks erfolgreich sein könnte.
Spring veröffentlichte eine offizielle Erklärung zu dieser Schwachstelle, in der klargestellt wird, dass gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Schwachstelle vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als traditionelle WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-Datei)
- Abhängigkeit von spring-webmvc oder spring-webflux
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert die Ausnutzung von „Spring4Shell“?
Die Ausnutzung basiert auf der Verwendung der „Datenbindung” (org.springFramework.webbind.WebDataBinder) in Anfragen, die einfache, alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Die Klasse Foo ist eine POJO-Klasse, die wie folgt definiert werden könnte. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Klassenlader verwendet, um die Klasse aufzulösen. Der Klassenlader ist dafür verantwortlich, die Klassen zur Laufzeit zu laden, ohne zuvor alle möglichen Typen in den Speicher vorzuladen. Er bestimmt, welche .jar-Datei geladen werden muss, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich möglicher Korrekturen oder alternativer Lösungen.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-333322963)
Am 27. März 2022 veröffentlichte Cyber Kendra Details zu einer 0-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Codeausführung (RCE) ermöglichte und für die es keinen Patch gab. Der Sicherheitslücke wurde die ID CVE-333322963 zugewiesen : Sicherheitslücke beim Zugriff auf Ressourcen von Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede andere nicht kompatible Version
Wie funktioniert die Ausbeutung?
Spring Cloud Function bietet Entwicklern die Möglichkeit, die Weiterleitung über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SpEL) unterstützt. Dank dieser Zero-Day-Sicherheitslücke haben wir entdeckt, dass diese Eigenschaft über die HTTP-Header einer Anfrage konfiguriert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt einbetten und somit beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um das Risiko zu mindern?
La Primavera hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, die dieses Problem beheben, indem sie nicht zulassen, dass diese Eigenschaft über HTTP-Header festgelegt wird, wodurch die Schwachstelle gemindert wird. Nach dem Update auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder sehen Sie sich unsere kostenlosen Richtlinien für sicheres Codieren im Secure Code Coach an .
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) entdeckt. Um Ihnen zu helfen, besser zu verstehen, ob Sie von einer dieser Sicherheitslücken betroffen sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Details zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1: „Spring4Shell“ (CVE-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets, die Screenshots eines Proof-of-Concept-Exploits für Spring Core (SC) enthielten, der die Remote-Ausführung von Code in allen Versionen von Spring Core ermöglicht, einschließlich der zuletzt veröffentlichten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit wurde nur bestätigt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit betroffen sein könnten. Es wurde zwar noch nicht nachgewiesen, dass der Exploit gegen den integrierten Servlet-Container von Tomcat oder gegen andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich ist, doch ist nicht auszuschließen, dass die Bedrohung in Zukunft auch für diese Frameworks erfolgreich sein könnte.
Spring veröffentlichte eine offizielle Erklärung zu dieser Schwachstelle, in der klargestellt wird, dass gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Schwachstelle vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als traditionelle WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-Datei)
- Abhängigkeit von spring-webmvc oder spring-webflux
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert die Ausnutzung von „Spring4Shell“?
Die Ausnutzung basiert auf der Verwendung der „Datenbindung” (org.springFramework.webbind.WebDataBinder) in Anfragen, die einfache, alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Die Klasse Foo ist eine POJO-Klasse, die wie folgt definiert werden könnte. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Klassenlader verwendet, um die Klasse aufzulösen. Der Klassenlader ist dafür verantwortlich, die Klassen zur Laufzeit zu laden, ohne zuvor alle möglichen Typen in den Speicher vorzuladen. Er bestimmt, welche .jar-Datei geladen werden muss, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich möglicher Korrekturen oder alternativer Lösungen.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-333322963)
Am 27. März 2022 veröffentlichte Cyber Kendra Details zu einer 0-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Codeausführung (RCE) ermöglichte und für die es keinen Patch gab. Der Sicherheitslücke wurde die ID CVE-333322963 zugewiesen : Sicherheitslücke beim Zugriff auf Ressourcen von Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede andere nicht kompatible Version
Wie funktioniert die Ausbeutung?
Spring Cloud Function bietet Entwicklern die Möglichkeit, die Weiterleitung über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SpEL) unterstützt. Dank dieser Zero-Day-Sicherheitslücke haben wir entdeckt, dass diese Eigenschaft über die HTTP-Header einer Anfrage konfiguriert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt einbetten und somit beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um das Risiko zu mindern?
La Primavera hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, die dieses Problem beheben, indem sie nicht zulassen, dass diese Eigenschaft über HTTP-Header festgelegt wird, wodurch die Schwachstelle gemindert wird. Nach dem Update auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder sehen Sie sich unsere kostenlosen Richtlinien für sicheres Codieren im Secure Code Coach an .
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) entdeckt. Um Ihnen zu helfen, besser zu verstehen, ob Sie von einer dieser Sicherheitslücken betroffen sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Details zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1: „Spring4Shell“ (CVE-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets, die Screenshots eines Proof-of-Concept-Exploits für Spring Core (SC) enthielten, der die Remote-Ausführung von Code in allen Versionen von Spring Core ermöglicht, einschließlich der zuletzt veröffentlichten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit wurde nur bestätigt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit betroffen sein könnten. Es wurde zwar noch nicht nachgewiesen, dass der Exploit gegen den integrierten Servlet-Container von Tomcat oder gegen andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich ist, doch ist nicht auszuschließen, dass die Bedrohung in Zukunft auch für diese Frameworks erfolgreich sein könnte.
Spring veröffentlichte eine offizielle Erklärung zu dieser Schwachstelle, in der klargestellt wird, dass gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Schwachstelle vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als traditionelle WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-Datei)
- Abhängigkeit von spring-webmvc oder spring-webflux
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert die Ausnutzung von „Spring4Shell“?
Die Ausnutzung basiert auf der Verwendung der „Datenbindung” (org.springFramework.webbind.WebDataBinder) in Anfragen, die einfache, alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Die Klasse Foo ist eine POJO-Klasse, die wie folgt definiert werden könnte. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Klassenlader verwendet, um die Klasse aufzulösen. Der Klassenlader ist dafür verantwortlich, die Klassen zur Laufzeit zu laden, ohne zuvor alle möglichen Typen in den Speicher vorzuladen. Er bestimmt, welche .jar-Datei geladen werden muss, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich möglicher Korrekturen oder alternativer Lösungen.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-333322963)
Am 27. März 2022 veröffentlichte Cyber Kendra Details zu einer 0-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Codeausführung (RCE) ermöglichte und für die es keinen Patch gab. Der Sicherheitslücke wurde die ID CVE-333322963 zugewiesen : Sicherheitslücke beim Zugriff auf Ressourcen von Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede andere nicht kompatible Version
Wie funktioniert die Ausbeutung?
Spring Cloud Function bietet Entwicklern die Möglichkeit, die Weiterleitung über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SpEL) unterstützt. Dank dieser Zero-Day-Sicherheitslücke haben wir entdeckt, dass diese Eigenschaft über die HTTP-Header einer Anfrage konfiguriert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt einbetten und somit beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um das Risiko zu mindern?
La Primavera hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, die dieses Problem beheben, indem sie nicht zulassen, dass diese Eigenschaft über HTTP-Header festgelegt wird, wodurch die Schwachstelle gemindert wird. Nach dem Update auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder sehen Sie sich unsere kostenlosen Richtlinien für sicheres Codieren im Secure Code Coach an .
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Inhaltsverzeichnis
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.