2022年我们不能忽视的网络安全问题
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
