软件供应商是不是像你一样关心中心安全性?
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的部落安全计划的一部分一样。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
