Neue Schwachstelle in der Spring-Bibliothek: Wie Sie feststellen können, ob Sie gefährdet sind, und wie Sie damit umgehen sollten
Die Spring-Bibliothek, eine der derzeit beliebtesten Bibliotheken in der Java-Community, hat zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) veröffentlicht. Um das Risiko einer Sicherheitslücke und die erforderlichen Maßnahmen leicht verständlich darzustellen, wurden die bekannten Details zu „Spring4Shell“ und „Spring Cloud Function“ kategorisiert.
Schwachstelle 1 – „Spring 4 Shell“ (CVE-2022-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots, die einen Proof-of-Concept-Exploit für Spring Core (SC) zeigten. Dadurch ist es möglich, in allen Versionen von Spring Core, einschließlich der zuletzt veröffentlichten Version 5.3.17, Remote-Code auszuführen.
Welche Anwendungen sind gefährdet?
Derzeit ist nur bekannt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit bedroht sind. Es gibt zwar keine Hinweise darauf, dass Angriffe auf andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich waren, aber das bedeutet nicht, dass solche Angriffe auf diese Frameworks in Zukunft nicht erfolgreich sein könnten.
Offizielle Erklärung zur Veröffentlichung von Spring Es wird erläutert, dass eine Schwachstelle gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllen muss, um als Schwachstelle zu gelten.
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Mit bestehendem WAR gepackt (im Gegensatz zu Spring Boot-ausführbarer JAR)
- Spring-webmvc oder Spring-webflux Abhängigkeit
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert der Exploit „Spring4Shell“?
Der Missbrauch hängt davon ab, dass in Anfragen, die allgemeine Java-Objekte (POJO) in der Methodensignatur verwenden, „Datenbindung” (org.SpringFramework.web.bind.WebDataBinder) verwendet wird.
Hier ist die Foo-Klasse eine POJO-Klasse und kann wie folgt definiert werden. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Bei der Verarbeitung von Anfragen mit dieser Methode wird der Klassenlader zum Auflösen von Klassen verwendet. Der Klassenlader lädt Klassen zur Laufzeit, ohne zuvor alle möglichen Typen in den Speicher laden zu müssen. Bei der Verwendung einer neuen Klasse ermittelt er die zu ladende JAR-Datei.
Die aktuellsten und detailliertesten Informationen zu dieser Schwachstelle finden Sie direkt bei Spring. Blogbeitrag(einschließlich möglicher Korrekturen oder Lösungen)
Schwachstelle 2 – Spring Cloud Function (CVE-2022-22963)
Am 27. März 2022 veröffentlichte CyberKendra Details zu einer Zero-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Code-Ausführung (RCE) ermöglicht. Dieser Sicherheitslücke wurde die ID CVE-2022-22963 zugewiesen : Spring Expression Resource Access Vulnerability.
Welche Anwendungen sind gefährdet?
Diese Schwachstelle hat sich unter den folgenden Bedingungen auf die Anwendung ausgewirkt.
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder nicht unterstützte Versionen
Wie erfolgt die Ausbeutung?
Spring Cloud Functions bietet Entwicklern die Möglichkeit, die Art und Weise zu konfigurieren, wie das Routing über die Eigenschaft „spring.cloud.function.routing-expression“ abgewickelt wird, die normalerweise über die Konfiguration oder den Code erfolgt. Dies ist eine leistungsstarke Funktion, die „Spring Expression Language“ (SpEL) akzeptiert. Wir haben festgestellt, dass diese Eigenschaft über den HTTP-Header der Anfrage festgelegt werden kann, was eine Zero-Day-Sicherheitslücke darstellt. Das bedeutet, dass ein Angreifer beliebigen Code ausführen kann, indem er SeL-Code direkt in eine HTTP-Anfrage an den RoutingFunction-Endpunkt einbettet.
Was sollten Benutzer tun, um das Risiko zu mindern?
In den öffentlichen Versionen 3.1.7 und 3.2.3 von Spring Hase wird dieses Problem behoben, indem die Möglichkeit, diese Eigenschaft über HTTP-Header festzulegen, deaktiviert wird, um die Schwachstelle zu beheben. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie Sie Entwickler dabei unterstützen können, sichereren Code zu schreiben?Vereinbaren Sie eine Demo oder sehen Sie sich unseren kostenlosen Leitfaden für sicheres Codieren an : Security Code Coach.
Quelle
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Die Spring-Bibliothek, eine der derzeit beliebtesten Bibliotheken in der Java-Community, hat zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) offengelegt. Die detaillierten Informationen zu „Spring4Shell” und „Spring Cloud Function” helfen dabei, zu verstehen, ob ein Risiko besteht und wie im Falle eines Risikos zu reagieren ist.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Die Spring-Bibliothek, eine der derzeit beliebtesten Bibliotheken in der Java-Community, hat zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) veröffentlicht. Um das Risiko einer Sicherheitslücke und die erforderlichen Maßnahmen leicht verständlich darzustellen, wurden die bekannten Details zu „Spring4Shell“ und „Spring Cloud Function“ kategorisiert.
Schwachstelle 1 – „Spring 4 Shell“ (CVE-2022-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots, die einen Proof-of-Concept-Exploit für Spring Core (SC) zeigten. Dadurch ist es möglich, in allen Versionen von Spring Core, einschließlich der zuletzt veröffentlichten Version 5.3.17, Remote-Code auszuführen.
Welche Anwendungen sind gefährdet?
Derzeit ist nur bekannt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit bedroht sind. Es gibt zwar keine Hinweise darauf, dass Angriffe auf andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich waren, aber das bedeutet nicht, dass solche Angriffe auf diese Frameworks in Zukunft nicht erfolgreich sein könnten.
Offizielle Erklärung zur Veröffentlichung von Spring Es wird erläutert, dass eine Schwachstelle gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllen muss, um als Schwachstelle zu gelten.
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Mit bestehendem WAR gepackt (im Gegensatz zu Spring Boot-ausführbarer JAR)
- Spring-webmvc oder Spring-webflux Abhängigkeit
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert der Exploit „Spring4Shell“?
Der Missbrauch hängt davon ab, dass in Anfragen, die allgemeine Java-Objekte (POJO) in der Methodensignatur verwenden, „Datenbindung” (org.SpringFramework.web.bind.WebDataBinder) verwendet wird.
Hier ist die Foo-Klasse eine POJO-Klasse und kann wie folgt definiert werden. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Bei der Verarbeitung von Anfragen mit dieser Methode wird der Klassenlader zum Auflösen von Klassen verwendet. Der Klassenlader lädt Klassen zur Laufzeit, ohne zuvor alle möglichen Typen in den Speicher laden zu müssen. Bei der Verwendung einer neuen Klasse ermittelt er die zu ladende JAR-Datei.
Die aktuellsten und detailliertesten Informationen zu dieser Schwachstelle finden Sie direkt bei Spring. Blogbeitrag(einschließlich möglicher Korrekturen oder Lösungen)
Schwachstelle 2 – Spring Cloud Function (CVE-2022-22963)
Am 27. März 2022 veröffentlichte CyberKendra Details zu einer Zero-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Code-Ausführung (RCE) ermöglicht. Dieser Sicherheitslücke wurde die ID CVE-2022-22963 zugewiesen : Spring Expression Resource Access Vulnerability.
Welche Anwendungen sind gefährdet?
Diese Schwachstelle hat sich unter den folgenden Bedingungen auf die Anwendung ausgewirkt.
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder nicht unterstützte Versionen
Wie erfolgt die Ausbeutung?
Spring Cloud Functions bietet Entwicklern die Möglichkeit, die Art und Weise zu konfigurieren, wie das Routing über die Eigenschaft „spring.cloud.function.routing-expression“ abgewickelt wird, die normalerweise über die Konfiguration oder den Code erfolgt. Dies ist eine leistungsstarke Funktion, die „Spring Expression Language“ (SpEL) akzeptiert. Wir haben festgestellt, dass diese Eigenschaft über den HTTP-Header der Anfrage festgelegt werden kann, was eine Zero-Day-Sicherheitslücke darstellt. Das bedeutet, dass ein Angreifer beliebigen Code ausführen kann, indem er SeL-Code direkt in eine HTTP-Anfrage an den RoutingFunction-Endpunkt einbettet.
Was sollten Benutzer tun, um das Risiko zu mindern?
In den öffentlichen Versionen 3.1.7 und 3.2.3 von Spring Hase wird dieses Problem behoben, indem die Möglichkeit, diese Eigenschaft über HTTP-Header festzulegen, deaktiviert wird, um die Schwachstelle zu beheben. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie Sie Entwickler dabei unterstützen können, sichereren Code zu schreiben?Vereinbaren Sie eine Demo oder sehen Sie sich unseren kostenlosen Leitfaden für sicheres Codieren an : Security Code Coach.
Quelle
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Die Spring-Bibliothek, eine der derzeit beliebtesten Bibliotheken in der Java-Community, hat zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) veröffentlicht. Um das Risiko einer Sicherheitslücke und die erforderlichen Maßnahmen leicht verständlich darzustellen, wurden die bekannten Details zu „Spring4Shell“ und „Spring Cloud Function“ kategorisiert.
Schwachstelle 1 – „Spring 4 Shell“ (CVE-2022-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots, die einen Proof-of-Concept-Exploit für Spring Core (SC) zeigten. Dadurch ist es möglich, in allen Versionen von Spring Core, einschließlich der zuletzt veröffentlichten Version 5.3.17, Remote-Code auszuführen.
Welche Anwendungen sind gefährdet?
Derzeit ist nur bekannt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit bedroht sind. Es gibt zwar keine Hinweise darauf, dass Angriffe auf andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich waren, aber das bedeutet nicht, dass solche Angriffe auf diese Frameworks in Zukunft nicht erfolgreich sein könnten.
Offizielle Erklärung zur Veröffentlichung von Spring Es wird erläutert, dass eine Schwachstelle gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllen muss, um als Schwachstelle zu gelten.
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Mit bestehendem WAR gepackt (im Gegensatz zu Spring Boot-ausführbarer JAR)
- Spring-webmvc oder Spring-webflux Abhängigkeit
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert der Exploit „Spring4Shell“?
Der Missbrauch hängt davon ab, dass in Anfragen, die allgemeine Java-Objekte (POJO) in der Methodensignatur verwenden, „Datenbindung” (org.SpringFramework.web.bind.WebDataBinder) verwendet wird.
Hier ist die Foo-Klasse eine POJO-Klasse und kann wie folgt definiert werden. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Bei der Verarbeitung von Anfragen mit dieser Methode wird der Klassenlader zum Auflösen von Klassen verwendet. Der Klassenlader lädt Klassen zur Laufzeit, ohne zuvor alle möglichen Typen in den Speicher laden zu müssen. Bei der Verwendung einer neuen Klasse ermittelt er die zu ladende JAR-Datei.
Die aktuellsten und detailliertesten Informationen zu dieser Schwachstelle finden Sie direkt bei Spring. Blogbeitrag(einschließlich möglicher Korrekturen oder Lösungen)
Schwachstelle 2 – Spring Cloud Function (CVE-2022-22963)
Am 27. März 2022 veröffentlichte CyberKendra Details zu einer Zero-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Code-Ausführung (RCE) ermöglicht. Dieser Sicherheitslücke wurde die ID CVE-2022-22963 zugewiesen : Spring Expression Resource Access Vulnerability.
Welche Anwendungen sind gefährdet?
Diese Schwachstelle hat sich unter den folgenden Bedingungen auf die Anwendung ausgewirkt.
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder nicht unterstützte Versionen
Wie erfolgt die Ausbeutung?
Spring Cloud Functions bietet Entwicklern die Möglichkeit, die Art und Weise zu konfigurieren, wie das Routing über die Eigenschaft „spring.cloud.function.routing-expression“ abgewickelt wird, die normalerweise über die Konfiguration oder den Code erfolgt. Dies ist eine leistungsstarke Funktion, die „Spring Expression Language“ (SpEL) akzeptiert. Wir haben festgestellt, dass diese Eigenschaft über den HTTP-Header der Anfrage festgelegt werden kann, was eine Zero-Day-Sicherheitslücke darstellt. Das bedeutet, dass ein Angreifer beliebigen Code ausführen kann, indem er SeL-Code direkt in eine HTTP-Anfrage an den RoutingFunction-Endpunkt einbettet.
Was sollten Benutzer tun, um das Risiko zu mindern?
In den öffentlichen Versionen 3.1.7 und 3.2.3 von Spring Hase wird dieses Problem behoben, indem die Möglichkeit, diese Eigenschaft über HTTP-Header festzulegen, deaktiviert wird, um die Schwachstelle zu beheben. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie Sie Entwickler dabei unterstützen können, sichereren Code zu schreiben?Vereinbaren Sie eine Demo oder sehen Sie sich unseren kostenlosen Leitfaden für sicheres Codieren an : Security Code Coach.
Quelle
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Die Spring-Bibliothek, eine der derzeit beliebtesten Bibliotheken in der Java-Community, hat zwei Sicherheitslücken im Zusammenhang mit der Remote-Code-Ausführung (RCE) veröffentlicht. Um das Risiko einer Sicherheitslücke und die erforderlichen Maßnahmen leicht verständlich darzustellen, wurden die bekannten Details zu „Spring4Shell“ und „Spring Cloud Function“ kategorisiert.
Schwachstelle 1 – „Spring 4 Shell“ (CVE-2022-22965)
Am 29. März 2022 entdeckte die Community eine Reihe von Tweets mit Screenshots, die einen Proof-of-Concept-Exploit für Spring Core (SC) zeigten. Dadurch ist es möglich, in allen Versionen von Spring Core, einschließlich der zuletzt veröffentlichten Version 5.3.17, Remote-Code auszuführen.
Welche Anwendungen sind gefährdet?
Derzeit ist nur bekannt, dass Anwendungen, die auf Tomcat gehostet werden, von diesem neuen Exploit bedroht sind. Es gibt zwar keine Hinweise darauf, dass Angriffe auf andere Anwendungen, die nicht auf Tomcat gehostet werden, erfolgreich waren, aber das bedeutet nicht, dass solche Angriffe auf diese Frameworks in Zukunft nicht erfolgreich sein könnten.
Offizielle Erklärung zur Veröffentlichung von Spring Es wird erläutert, dass eine Schwachstelle gemäß dem aktuellen Verständnis der Schwachstelle die folgenden Bedingungen erfüllen muss, um als Schwachstelle zu gelten.
- JDK 9 oder höher
- Apache Tomcat als Servlet-Container
- Mit bestehendem WAR gepackt (im Gegensatz zu Spring Boot-ausführbarer JAR)
- Spring-webmvc oder Spring-webflux Abhängigkeit
- Spring Framework Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und frühere Versionen
Wie funktioniert der Exploit „Spring4Shell“?
Der Missbrauch hängt davon ab, dass in Anfragen, die allgemeine Java-Objekte (POJO) in der Methodensignatur verwenden, „Datenbindung” (org.SpringFramework.web.bind.WebDataBinder) verwendet wird.
Hier ist die Foo-Klasse eine POJO-Klasse und kann wie folgt definiert werden. Beachten Sie, dass die tatsächliche Klasse nicht wichtig ist, solange sie vom Klassenlader geladen wird.
Bei der Verarbeitung von Anfragen mit dieser Methode wird der Klassenlader zum Auflösen von Klassen verwendet. Der Klassenlader lädt Klassen zur Laufzeit, ohne zuvor alle möglichen Typen in den Speicher laden zu müssen. Bei der Verwendung einer neuen Klasse ermittelt er die zu ladende JAR-Datei.
Die aktuellsten und detailliertesten Informationen zu dieser Schwachstelle finden Sie direkt bei Spring. Blogbeitrag(einschließlich möglicher Korrekturen oder Lösungen)
Schwachstelle 2 – Spring Cloud Function (CVE-2022-22963)
Am 27. März 2022 veröffentlichte CyberKendra Details zu einer Zero-Day-Sicherheitslücke in Spring Cloud Functions, die eine Remote-Code-Ausführung (RCE) ermöglicht. Dieser Sicherheitslücke wurde die ID CVE-2022-22963 zugewiesen : Spring Expression Resource Access Vulnerability.
Welche Anwendungen sind gefährdet?
Diese Schwachstelle hat sich unter den folgenden Bedingungen auf die Anwendung ausgewirkt.
- JDK 9 oder höher
- Spring Cloud Functions Version 3.1.6 (oder niedriger), 3.2.2 (oder niedriger) oder nicht unterstützte Versionen
Wie erfolgt die Ausbeutung?
Spring Cloud Functions bietet Entwicklern die Möglichkeit, die Art und Weise zu konfigurieren, wie das Routing über die Eigenschaft „spring.cloud.function.routing-expression“ abgewickelt wird, die normalerweise über die Konfiguration oder den Code erfolgt. Dies ist eine leistungsstarke Funktion, die „Spring Expression Language“ (SpEL) akzeptiert. Wir haben festgestellt, dass diese Eigenschaft über den HTTP-Header der Anfrage festgelegt werden kann, was eine Zero-Day-Sicherheitslücke darstellt. Das bedeutet, dass ein Angreifer beliebigen Code ausführen kann, indem er SeL-Code direkt in eine HTTP-Anfrage an den RoutingFunction-Endpunkt einbettet.
Was sollten Benutzer tun, um das Risiko zu mindern?
In den öffentlichen Versionen 3.1.7 und 3.2.3 von Spring Hase wird dieses Problem behoben, indem die Möglichkeit, diese Eigenschaft über HTTP-Header festzulegen, deaktiviert wird, um die Schwachstelle zu beheben. Nach dem Upgrade auf eine der beiden Versionen sind keine weiteren Schritte erforderlich.
Möchten Sie mehr darüber erfahren, wie Sie Entwickler dabei unterstützen können, sichereren Code zu schreiben?Vereinbaren Sie eine Demo oder sehen Sie sich unseren kostenlosen Leitfaden für sicheres Codieren an : Security Code Coach.
Quelle
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Inhaltsverzeichnis
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
