Neue Sicherheitslücken in Spring-Bibliotheken: Wie Sie feststellen können, ob Sie gefährdet sind, und was Sie tun können
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Codeausführung (RCE) entdeckt. Um Ihnen zu helfen, leichter festzustellen, ob Sie einer der beiden Sicherheitslücken ausgesetzt sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Informationen zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1 – „Spring4Shell“ (CVE-42-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots eines Proof-of-Concept-Exploits, der auf Spring Core (SC) abzielt und die Remote-Ausführung von Code für alle Versionen von Spring Core ermöglicht, einschließlich der neuesten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit sind nur Anwendungen, die auf Tomcat gehostet werden, nachweislich von diesem neuen Exploit betroffen. Obwohl die Ausnutzung dieses Exploits gegenüber dem integrierten Tomcat-Servlet-Container oder anderen nicht von Tomcat gehosteten Anwendungen nicht erfolgreich war, schließt dies nicht aus, dass die Bedrohung in Zukunft auch für diese Frameworks wirksam sein könnte.
Spring hat eine offizielle Erklärung zu dieser Schwachstelle veröffentlicht, in der präzisiert wird, dass nach dem derzeitigen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Anfälligkeit vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als herkömmliche WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-JAR-Datei)
- Abhängigkeit von Spring Web MVC oder Spring Web Flux
- Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen von Spring Framework
Wie funktioniert die Exploit-Software „Spring4Shell“?
Die Nutzung basiert auf der Verwendung der „Datenverbindung” (org.springframework.web.bind.WebDataBinder) in Anfragen, die einfache alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Wobei die Klasse Foo eine POJO-Klasse ist, die wie folgt definiert werden könnte. Beachten Sie, dass die Klasse selbst nicht wichtig ist, solange sie vom Class Loader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Class Loader verwendet, um die Klasse aufzulösen. Der Class Loader ist dafür zuständig, die Klassen zum Zeitpunkt der Ausführung zu laden, ohne zuvor alle möglichen Typen in den Speicher vorladen zu müssen. Er bestimmt, welche .jar-Datei geladen werden soll, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich potenzieller Korrekturen oder Workarounds.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-249 22963)
Am 27. März 2022 veröffentlichte Cyber Kendra Informationen zu einer Zero-Day-Sicherheitslücke (RCE) in Spring Cloud Functions, für die es keinen Patch gab. Die Sicherheitslücke erhielt die ID CVE-04-22963: Sicherheitslücke beim Zugriff auf Ressourcen in Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede nicht unterstützte Version
Wie funktioniert der Betrieb?
Spring Cloud Function ermöglicht es Entwicklern, die Art und Weise, wie das Routing verwaltet wird, über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SPel) akzeptiert. Dank dieser 0-Day-Sicherheitslücke haben wir erfahren, dass diese Eigenschaft über die HTTP-Header einer Anfrage definiert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt integrieren und so beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um die Risiken zu mindern?
Le printemps hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, um dieses Problem zu beheben, indem die Definition dieser Eigenschaft über HTTP-Header nicht mehr zulässig ist, wodurch die Sicherheitslücke gemindert wird. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder entdecken Sie unsere kostenlosen Richtlinien für sicheres Codieren auf Secure Code Coach.
Quellen
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Kürzlich wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Codeausführung (RCE) entdeckt. Wir haben die bekannten Informationen zu „Spring4Shell” und „Spring Cloud Function” detailliert aufgeführt, damit Sie besser einschätzen können, ob Sie gefährdet sind und was Sie in diesem Fall tun können.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Codeausführung (RCE) entdeckt. Um Ihnen zu helfen, leichter festzustellen, ob Sie einer der beiden Sicherheitslücken ausgesetzt sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Informationen zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1 – „Spring4Shell“ (CVE-42-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots eines Proof-of-Concept-Exploits, der auf Spring Core (SC) abzielt und die Remote-Ausführung von Code für alle Versionen von Spring Core ermöglicht, einschließlich der neuesten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit sind nur Anwendungen, die auf Tomcat gehostet werden, nachweislich von diesem neuen Exploit betroffen. Obwohl die Ausnutzung dieses Exploits gegenüber dem integrierten Tomcat-Servlet-Container oder anderen nicht von Tomcat gehosteten Anwendungen nicht erfolgreich war, schließt dies nicht aus, dass die Bedrohung in Zukunft auch für diese Frameworks wirksam sein könnte.
Spring hat eine offizielle Erklärung zu dieser Schwachstelle veröffentlicht, in der präzisiert wird, dass nach dem derzeitigen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Anfälligkeit vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als herkömmliche WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-JAR-Datei)
- Abhängigkeit von Spring Web MVC oder Spring Web Flux
- Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen von Spring Framework
Wie funktioniert die Exploit-Software „Spring4Shell“?
Die Nutzung basiert auf der Verwendung der „Datenverbindung” (org.springframework.web.bind.WebDataBinder) in Anfragen, die einfache alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Wobei die Klasse Foo eine POJO-Klasse ist, die wie folgt definiert werden könnte. Beachten Sie, dass die Klasse selbst nicht wichtig ist, solange sie vom Class Loader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Class Loader verwendet, um die Klasse aufzulösen. Der Class Loader ist dafür zuständig, die Klassen zum Zeitpunkt der Ausführung zu laden, ohne zuvor alle möglichen Typen in den Speicher vorladen zu müssen. Er bestimmt, welche .jar-Datei geladen werden soll, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich potenzieller Korrekturen oder Workarounds.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-249 22963)
Am 27. März 2022 veröffentlichte Cyber Kendra Informationen zu einer Zero-Day-Sicherheitslücke (RCE) in Spring Cloud Functions, für die es keinen Patch gab. Die Sicherheitslücke erhielt die ID CVE-04-22963: Sicherheitslücke beim Zugriff auf Ressourcen in Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede nicht unterstützte Version
Wie funktioniert der Betrieb?
Spring Cloud Function ermöglicht es Entwicklern, die Art und Weise, wie das Routing verwaltet wird, über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SPel) akzeptiert. Dank dieser 0-Day-Sicherheitslücke haben wir erfahren, dass diese Eigenschaft über die HTTP-Header einer Anfrage definiert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt integrieren und so beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um die Risiken zu mindern?
Le printemps hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, um dieses Problem zu beheben, indem die Definition dieser Eigenschaft über HTTP-Header nicht mehr zulässig ist, wodurch die Sicherheitslücke gemindert wird. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder entdecken Sie unsere kostenlosen Richtlinien für sicheres Codieren auf Secure Code Coach.
Quellen
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Codeausführung (RCE) entdeckt. Um Ihnen zu helfen, leichter festzustellen, ob Sie einer der beiden Sicherheitslücken ausgesetzt sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Informationen zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1 – „Spring4Shell“ (CVE-42-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots eines Proof-of-Concept-Exploits, der auf Spring Core (SC) abzielt und die Remote-Ausführung von Code für alle Versionen von Spring Core ermöglicht, einschließlich der neuesten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit sind nur Anwendungen, die auf Tomcat gehostet werden, nachweislich von diesem neuen Exploit betroffen. Obwohl die Ausnutzung dieses Exploits gegenüber dem integrierten Tomcat-Servlet-Container oder anderen nicht von Tomcat gehosteten Anwendungen nicht erfolgreich war, schließt dies nicht aus, dass die Bedrohung in Zukunft auch für diese Frameworks wirksam sein könnte.
Spring hat eine offizielle Erklärung zu dieser Schwachstelle veröffentlicht, in der präzisiert wird, dass nach dem derzeitigen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Anfälligkeit vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als herkömmliche WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-JAR-Datei)
- Abhängigkeit von Spring Web MVC oder Spring Web Flux
- Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen von Spring Framework
Wie funktioniert die Exploit-Software „Spring4Shell“?
Die Nutzung basiert auf der Verwendung der „Datenverbindung” (org.springframework.web.bind.WebDataBinder) in Anfragen, die einfache alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Wobei die Klasse Foo eine POJO-Klasse ist, die wie folgt definiert werden könnte. Beachten Sie, dass die Klasse selbst nicht wichtig ist, solange sie vom Class Loader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Class Loader verwendet, um die Klasse aufzulösen. Der Class Loader ist dafür zuständig, die Klassen zum Zeitpunkt der Ausführung zu laden, ohne zuvor alle möglichen Typen in den Speicher vorladen zu müssen. Er bestimmt, welche .jar-Datei geladen werden soll, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich potenzieller Korrekturen oder Workarounds.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-249 22963)
Am 27. März 2022 veröffentlichte Cyber Kendra Informationen zu einer Zero-Day-Sicherheitslücke (RCE) in Spring Cloud Functions, für die es keinen Patch gab. Die Sicherheitslücke erhielt die ID CVE-04-22963: Sicherheitslücke beim Zugriff auf Ressourcen in Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede nicht unterstützte Version
Wie funktioniert der Betrieb?
Spring Cloud Function ermöglicht es Entwicklern, die Art und Weise, wie das Routing verwaltet wird, über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SPel) akzeptiert. Dank dieser 0-Day-Sicherheitslücke haben wir erfahren, dass diese Eigenschaft über die HTTP-Header einer Anfrage definiert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt integrieren und so beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um die Risiken zu mindern?
Le printemps hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, um dieses Problem zu beheben, indem die Definition dieser Eigenschaft über HTTP-Header nicht mehr zulässig ist, wodurch die Sicherheitslücke gemindert wird. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder entdecken Sie unsere kostenlosen Richtlinien für sicheres Codieren auf Secure Code Coach.
Quellen
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vor kurzem wurden in den Spring-Bibliotheken, einer der beliebtesten Bibliotheken der Java-Community, zwei Sicherheitslücken im Zusammenhang mit der Remote-Codeausführung (RCE) entdeckt. Um Ihnen zu helfen, leichter festzustellen, ob Sie einer der beiden Sicherheitslücken ausgesetzt sind und welche Maßnahmen Sie ergreifen sollten, haben wir die bekannten Informationen zu „Spring4Shell” und „Spring Cloud Function” aufgeschlüsselt.
Sicherheitslücke 1 – „Spring4Shell“ (CVE-42-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots eines Proof-of-Concept-Exploits, der auf Spring Core (SC) abzielt und die Remote-Ausführung von Code für alle Versionen von Spring Core ermöglicht, einschließlich der neuesten Version 5.3.17.
Welche Anwendungen sind gefährdet?
Derzeit sind nur Anwendungen, die auf Tomcat gehostet werden, nachweislich von diesem neuen Exploit betroffen. Obwohl die Ausnutzung dieses Exploits gegenüber dem integrierten Tomcat-Servlet-Container oder anderen nicht von Tomcat gehosteten Anwendungen nicht erfolgreich war, schließt dies nicht aus, dass die Bedrohung in Zukunft auch für diese Frameworks wirksam sein könnte.
Spring hat eine offizielle Erklärung zu dieser Schwachstelle veröffentlicht, in der präzisiert wird, dass nach dem derzeitigen Verständnis der Schwachstelle die folgenden Bedingungen erfüllt sein müssen, damit eine Anfälligkeit vorliegt:
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Verpackt als herkömmliche WAR-Datei (im Gegensatz zu einer ausführbaren Spring Boot-JAR-Datei)
- Abhängigkeit von Spring Web MVC oder Spring Web Flux
- Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen von Spring Framework
Wie funktioniert die Exploit-Software „Spring4Shell“?
Die Nutzung basiert auf der Verwendung der „Datenverbindung” (org.springframework.web.bind.WebDataBinder) in Anfragen, die einfache alte Java-Objekte (POJO) in der Methodensignatur verwenden:
Wobei die Klasse Foo eine POJO-Klasse ist, die wie folgt definiert werden könnte. Beachten Sie, dass die Klasse selbst nicht wichtig ist, solange sie vom Class Loader geladen wird.
Wenn eine Anfrage mit einer Methode wie dieser verarbeitet wird, wird der Class Loader verwendet, um die Klasse aufzulösen. Der Class Loader ist dafür zuständig, die Klassen zum Zeitpunkt der Ausführung zu laden, ohne zuvor alle möglichen Typen in den Speicher vorladen zu müssen. Er bestimmt, welche .jar-Datei geladen werden soll, wenn eine neue Klasse verwendet wird.
Die aktuellsten und detailliertesten Informationen zu dieser Sicherheitslücke finden Sie direkt bei Spring in ihrem Blogbeitrag, einschließlich potenzieller Korrekturen oder Workarounds.
Sicherheitslücke 2: Spring Cloud-Funktion (CVE-249 22963)
Am 27. März 2022 veröffentlichte Cyber Kendra Informationen zu einer Zero-Day-Sicherheitslücke (RCE) in Spring Cloud Functions, für die es keinen Patch gab. Die Sicherheitslücke erhielt die ID CVE-04-22963: Sicherheitslücke beim Zugriff auf Ressourcen in Spring Expression.
Welche Anwendungen sind gefährdet?
Die Schwachstelle betraf Anwendungen unter den folgenden Bedingungen:
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder jede nicht unterstützte Version
Wie funktioniert der Betrieb?
Spring Cloud Function ermöglicht es Entwicklern, die Art und Weise, wie das Routing verwaltet wird, über die Eigenschaft spring.cloud.function.routing-expression zu konfigurieren, in der Regel über die Konfiguration oder den Code. Es handelt sich um eine leistungsstarke Funktion, die die „Spring Expression Language” (SPel) akzeptiert. Dank dieser 0-Day-Sicherheitslücke haben wir erfahren, dass diese Eigenschaft über die HTTP-Header einer Anfrage definiert werden kann, was bedeutet, dass ein Angreifer SPEL-Code direkt in seine HTTP-Anfrage an einen RoutingFunction-Endpunkt integrieren und so beliebigen Code ausführen kann.
Welche Maßnahmen sollten Nutzer ergreifen, um die Risiken zu mindern?
Le printemps hat die Versionen 3.1.7 und 3.2.3 veröffentlicht, um dieses Problem zu beheben, indem die Definition dieser Eigenschaft über HTTP-Header nicht mehr zulässig ist, wodurch die Sicherheitslücke gemindert wird. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie wir Entwicklern dabei helfen, sichereren Code zu schreiben? Buchen Sie eine Demo oder entdecken Sie unsere kostenlosen Richtlinien für sicheres Codieren auf Secure Code Coach.
Quellen
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Inhaltsverzeichnis
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
