마티아스 마두, Ph.

코드 시리즈 - 비즈니스 논리로 보안 인프라를 정복하는 코더

이 취약점은 코더가 비즈니스 논리 규칙을 제대로 구현하지 못하면 발생할 수 있으며, 악의적인 사용자가 응용 프로그램을 악용하도록 선택하면 응용 프로그램이 다양한 종류의 공격에 취약해질 수 있습니다.

눈에 띄지 않는 곳에 숨어 있는 이유: SolarWinds 공격이 악의적인 사이버 위험보다 더 많은 것으로 밝혀진 이유

사이버 보안 업계에서 크리스마스를 망칠 수있는 무언가가 있다면, 그것은 기록에 미국 정부에 영향을 미치는 가장 큰 사이버 스파이 이벤트가될 궤도에 파괴적인 데이터 유출이다.

Equifax 해킹의 근본 원인은 웹 앱 취약점입니다.

다시 한번, Equifax 해킹의 근본 원인은 웹 앱 취약점입니다. 이러한 유형의 취약점은 10년 이상 있었지만 오늘날에도 여전히 관련성이 있습니다.

OWASP의 2021 목록 셔플 : 새로운 전투 계획과 기본 적

사출 공격, 취약점의 악명 높은 왕 (카테고리별), 최악의 로 깨진 액세스 제어에 상단 자리를 잃었다, 개발자는 주의를 기울여야합니다.

학술 연구에서 산업으로의 이동은 사소한 일

139: 마티아스 마두가 안전한 개발 교육 및 소프트웨어 보안 테스트 연구에 대해 논의합니다.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 깨진 개체 수준 권한 부여

일반적으로 사용자의 입력을 사용하여 데이터 원본에 액세스하는 모든 기능에 대해 개체 수준 권한 부여 검사가 포함되어야 하며 그렇게 하지 않으면 큰 위험이 따릅니다.

스트라이크 선제, 스트라이크 하드: 왜 선별된 보안 코딩 courses 사이버 위협에 자비를 확장하지

개발자가 숙련도를 보여줘야 하는 정확한 모듈이 포함된 선별된 과정은 강력한 영향을 미치며 일상적인 업무에서 보안 모범 사례와 관련하여 실행 중인 지면에 도달할 수 있도록 합니다.

300,000명의 개발자가 실제로 하는 보안 관행은 무엇입니까?

약 95,000개의 애플리케이션에 걸쳐 약 300,000명의 개발자가 BSIMM8을 사용하여 소프트웨어 보안 이니셔티브(SSIs)를 계획, 실행 및 측정하는 데 도움을 줍니다.

ClickShare 취약점이 패치되었을 수 있지만 훨씬 더 큰 문제를 마스크합니다.

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다.

웨비나: DevOps에 "Sec"을 넣을 준비가 되셨습니까?

우리는 보안이 전체 조직 과 SDLC 전반에 걸쳐 공동 책임으로 간주되는 단계에 도착해야합니다. 이것은 당신이 완전히, 매우 지원 DevSecOps 환경에 투입 할 때 확실히 가능하다.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 누락 된 기능 수준 액세스 제어

누락된 함수 수준 액세스 제어 취약점을 통해 사용자는 제한해야 하는 기능을 수행하거나 보호해야 하는 리소스에 액세스할 수 있습니다.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 깨진 인증

인증은 응용 프로그램과 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하므로 공격자에 대한 대상을 유혹하는 경우가 많습니다. 인증 프로세스가 깨지거나 취약하면 공격자가 약점을 발견하고 악용할 가능성이 높습니다.

석유 및 가스에서 "폭발적인" 사이버 공격이 생명을 위협하고 있습니다.

폭발을 방지 한 유일한 것은 공격자 컴퓨터 코드의 실수였다, 수사관은 말했다.

끝없는 공격 표면의 시대에 예방

소프트웨어 개발은 더 이상 섬이 아니며, 클라우드, 가전 제품 및 차량의 임베디드 시스템, 모든 것을 연결하는 API는 말할 것도없고 중요한 인프라에서 소프트웨어 기반 위험의 모든 측면을 고려할 때 공격 표면은 경계가없고 통제 할 수 없습니다.

보안 인식 개발자: AppSec은 당신을 필요로!

개발자는 AppSec에 수익성 있는 점프를 할 수 있는 좋은 위치에 있습니다.

소프트웨어 공급업체는 귀하만큼 보안에 신경을 쓰나요?

지난 몇 년 동안 사이버 보안 표준에 큰 변화가 있었다고 해도 과언이 아니며, 의무 사항은 아니지만 모든 조직이 이를 준수하고 공급업체의 보안 관행을 자체 내부 보안 프로그램의 일부인 것처럼 면밀히 검토하는 것이 목표가 되어야 합니다.

코더정복 보안 OWASP 상위 10 API 시리즈 - 질량 할당

대량 할당 취약점은 개발자가 클라이언트의 입력을 코드 변수 및 내부 개체로 자동으로 바인딩하는 기능을 사용하도록 장려하는 많은 최신 프레임워크의 결과로 발생했습니다.

내 워크플로우를 방해 중지! 적시에 올바른 보안 교육을 받을 수 있는 방법

필요할 때 교육을 받는 데 걸림돌을 줄이기 위해 무엇을 할 수 있는지, 그리고 마이크로 러닝이 워크플로우에 보다 원활하게 구현될 수 있는 방법에 대해 생각하기 시작했습니다.

불쌍한 코딩 패턴은 큰 보안 문제로 이어질 수 있습니다 ... 그렇다면 왜 우리는 그들을 격려합니까?

개발자는 취약점이 어떻게 작동하는지, 왜 위험한지, 어떤 패턴이 취약점을 유발하는지, 그리고 어떤 디자인 또는 코딩 패턴이 취약점을 자신의 세계에서 의미있는 맥락에서 수정하는지에 대한 기본적인 이해 없이는 취약성 감소에 긍정적 인 영향을 미치지 않을 것입니다. 스캐폴드 접근 방식을 통해 지식 계층은 안전하게 코딩하고, 코드베이스를 방어하고, 보안 인식 개발자로 일어서는 것이 무엇을 의미하는지에 대한 전체 그림을 제공할 수 있습니다.

제로 데이 공격이 증가하고 있습니다. 수비 우위를 계획해야 할 때입니다.

제로 데이 공격은 정의에 따라 개발자에게 위협 행위자 먼저 얻었기 때문에 악용될 수 있는 기존 취약점을 찾고 패치할 시간을 제로로 제공합니다. 손상이 완료되고 소프트웨어와 비즈니스에 대한 평판 손상을 모두 해결하기 위한 미친 출격입니다. 공격자는 항상 우위를 점하고 있으며 가능한 한 그 가장자리를 닫는 것이 중요합니다.

지루한 PCI-DSS 준수를 모두를 위한 의미 있는 운동으로 전환: 파트 1 - AppSec

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

개발자가 보안 인식으로 코딩하기를 원하십니까? 그들에게 훈련을 가져.

우리는 이미 근무일에 너무 많은 일이 일어나고 있다는 것을 알고 있으므로 개발자는 정적 이론 기반 교육에 액세스하기 위해 5 단계를 거치려면 어떤 인센티브를 교실로 옮기거나 컨텍스트 스위치를 수행해야합니까?

AppSec 툴링이 실버 글머리 기호라면 왜 그렇게 많은 회사가 그것을 발사하지 않는이유는 무엇입니까?

AppSec 도구가 우리가 기대했던 대로 활용되지 않는 몇 가지 이유가 있으며 도구와 기능에 대해서는 덜 하며 보안 프로그램 전체와 통합하는 방법에 대해 더 많이 설명합니다.

전문가 인터뷰: 오스카 퀸타스와 코드로 인프라

우리는 우리의 전문가 중 하나에 스포트라이트를 빛나고 싶습니다, 오스카 퀸타스. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다.

생일 SQL 주입, 스쿼시 할 수없는 버그

그것은 SQL 주입의 22 번째 생일, 그리고이 취약점을 마실 정도로 오래 되 고에도 불구 하 고, 우리는 그것은 좋은 그것을 분쇄 하는 대신 우리 더 나은 얻을 수 있도록.

개발자가 사이버 범죄 짐승을 처치하는 데 도움을 주기 위해 교육은 두 부분으로 의 한 탐구입니다.

사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 자원의 부족과 속도 제한

이 취약점은 너무 많은 요청이 동시에 들어올 때 발생하며 API에는 이러한 요청을 처리할 수 있는 컴퓨팅 리소스가 충분하지 않습니다. 그런 다음 API를 사용할 수 없거나 새 요청에 응답하지 못할 수 있습니다.

2022년에 무시할 수 없는 사이버 보안 문제

사이버 범죄자들과 싸울 때, 우리는 예방 적 사고 방식으로 놀이터를 선점하면서 가능한 한 그들과 함께 한 걸음 더 나아갈 필요가 있습니다. 내년에 파도를 일으키기 시작할 수 있다고 생각합니다.

코드 시리즈로 보안 인프라를 정복코더: 기능 수준 액세스 제어 누락

완벽한 순서로 인프라 수준 액세스 제어가 없으면 이 취약점을 무단 스누핑 또는 전체 공격에 대한 게이트웨이로 사용할 수 있는 공격자에게 전체 엔터프라이즈가 열립니다.

도키에 의해 죽음 : 심각한 물린 새로운 Docker 취약점 (그리고 당신이 그것에 대해 무엇을 할 수 있습니다)

사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 과도한 데이터 노출

이 취약점의 실제 역학은 다른 사람과 유사하지만 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다.

좋은 전자 레인지가 나쁜 갈 때 : 임베디드 시스템 보안이 개발자를위한 다음 보스 전투인 이유

웹 기반 소프트웨어, API 및 모바일 장치와 마찬가지로 공격자가 야생에서 발견되면 임베디드 시스템의 취약한 코드를 악용할 수 있습니다.

지루한 PCI-DSS 컴플라이언스를 모두를 위한 의미 있는 운동으로 전환: 파트 2 - CISOs 및 개발자 인식

이는 조직 내 PCI-DSS 컴플라이언스의 미니 시리즈 2부입니다. 이 마지막 장에서는 CIT와 CIS가 사이버 위험을 줄이고 프로세스를 원활하고 성공적으로 만드는 데 있어 어떻게 우위를 점할 수 있는지 자세히 설명합니다. 그리고 어쩌면 개발자를위한 약간의 재미.

조직이 정말 DevSec 준비가 되어 있습니까? 테스트에 넣어.

조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오. DevSec 테스트에 넣을 때 요금은 어떻게 되나요?

SQL 주사가 AppSec 세계의 바퀴벌레인 이유 (그리고 CIS가 한 번에 그들을 근절 할 수있는 방법)

바퀴벌레가 기본적으로 무엇이든 살아남을 수 있다는 잘 알려진 이론이 있습니다 - 심지어 핵 폭발.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 부족한 로깅 및 모니터링

실패한 모든 인증 시도, 액세스 거부 및 입력 유효성 검사 오류로 인해 실패한 사이버 보안 계획의 결과로 로깅 및 모니터링 결함이 부족합니다.

코드 시리즈로 보안 인프라를 정복 코더: 안전하지 않은 암호화

요즘에는 암호, 개인 정보 및 재무 기록과 같은 중요한 데이터가 쉬어지는 동안 사이버 보안 방어의 초석입니다.

NIST로 이동하기: 사이버 방어의 미래에 대한 인간 주도의 입장

Biden Administration의 최근 사이버 보안 행정 명령은 확실히 보안 업계, 특히 일상적인 업무에서 안전한 코딩 모범 사례를 적용하는 것의 중요성에 개발자를 이기고자하는 사람들, 특히 대화를 나눴습니다.

사이버 공격은 39초마다 발생합니다. 정부는 마침내 반격할 준비가 되어 있습니까?

우리는 사이버 보안 모범 사례에 대한 인간 주도의 접근 방식을 강화해야 하며, 이미 내장되고 발견된 문제에 대한 자동화, 도구 및 반응에 대한 의존도보다 더 나은 결과를 얻을 수 있습니다.

높은 보안 인텔리전스: 안내 courses 개발자가 NIST 준비를 할 수 있도록 지원

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다.

소개 Missions : 개발자 중심의 보안 교육의 다음 단계

새로운 기능 출시를 발표하게 되어 기쁩니다. Secure Code Warrior 플랫폼: Missions . 이 새로운 챌린지 범주는 개발자가 정한 보안 교육의 다음 단계로, 사용자를 보안 지식 의 리콜에서 실제 시뮬레이션 환경에 적용하는 것으로 이동합니다.

업무의 미래는 유연하며 사이버 보안에 적합합니다.

불편함은 새로운 업무 방식의 미지의 것, 약간의 불신, 또는 원격 작업을 믿지 않는 것에서 비롯되든, 나는 그것에 저항하는 회사가 최고의 인재를 유치하고, 글로벌 범위를 유지하고, 솔직히 시대를 따라 움직이는 측면에서 뒤처지는 경향이 있음을 알게 됩니다.

코드 시리즈로 보안 인프라를 정복 코더: 암호의 일반 텍스트 스토리지

요즘 대부분의 컴퓨터 보안의 핵심은 암호입니다. 이중 인증 또는 생체 인식과 같은 다른 보안 방법이 사용되더라도 대부분의 조직은 여전히 암호 기반 보안을 보호의 하나로 사용합니다.

코드 한 줄, 100만 달러

항공 전자 장비의 한 줄에 코드를 변경하는 비용은 $ 1 백만이며 구현하는 데 1 년이 걸립니다. 보잉 737을 기반으로 하는 사우스웨스트 항공의 경우 "파산"할 것입니다.

보안 도구의 파도로 고통 받고 있습니다.

복잡한 보안 도구의 범람으로 인해 사이버 보안은 CISO에게 더욱 어려운 과제가 되고 있습니다.

SSDLC의 모든 단계에서 안전한 코딩 기술 구축

Secure Code Warrior GitHub 코드 검색에 컨텍스트 학습을 제공하는 GitHub 작업을 구축했습니다. 즉, 개발자는 Snyk 컨테이너 작업과 같은 타사 작업을 사용하여 취약점을 찾은 다음 CWE별 하이퍼 관련 학습으로 출력을 보강할 수 있습니다.

내 펜트레스터, 내 원수? 개발자는 펜테스트 및 정적 분석 결과에 대해 실제로 어떻게 생각하는지 공개합니다.

침투 테스트 및 정적 분석 스캐닝 도구(SAST라고 더 잘 알려진)는 보안 위험을 완화하기 위한 전체 프로세스의 일부일 뿐이며, 코드가 핫픽스를 위해 우리에게 반송될 때까지 우리가 하는 일과는 독립적으로 작동합니다!

"왼쪽 왼쪽"시작: 보안 코드는 항상 품질 코드입니까?

일정 수준의 품질 코드는 정의에 의해도 안전하지만 모든 보안 코드가 반드시 좋은 품질은 아닙니다. 순수한 보안 코딩 표준을 보장하기 위해 수식을 "왼쪽"으로 시작하고 있습니까?

코더는 보안 인프라를 코드 시리즈로 정복 - 신뢰할 수 없는 소스의 구성 요소를 사용

여기서 초점을 맞출 취약점 유도 동작은 신뢰할 수 없는 출처의 코드를 사용하는 것이며, 이는 큰 문제를 일으키는 것처럼 보이는 양성 관행입니다.

2016년에 발견된 Equifax 보안 문제

앞으로 건너 뛰기 2016 및 보안 연구원은 주요 Equifax 웹 사이트에서 크로스 사이트 스크립팅 (XSS)으로 알려진 일반적인 취약점을 발견, 이름 x0rz로 가는 연구원의 트윗에 따르면.

코더는 보안 OWASP 상위 10 API 시리즈를 정복 - 부적절한 자산 관리

이 취약점은 이전 API가 더 새롭고 더 안전한 버전으로 대체되어야 하는 후에도 오래 유지될 수 있는 인간 또는 관리 문제에 더 가까울 수 있습니다.

챔피언 대 코치: 모든 개발 팀이 모두 필요한 이유

사이버 보안 접근 방식에서 목표를 걷어차는 많은 기업들이 공식 보안 챔피언 프로그램을 구현하여 팀과 일반 치어리더 간 연락부터 모범 사례 감독에 이르기까지 이러한 역할에 대한 적성과 열정을 보이는 개인에게 주요 보안 책임을 부여했습니다.

Rust는 다섯 번째로 가장 사랑받는 프로그래밍 언어입니다. 그것은 우리의 새로운 보안 구세주입니까?

Rust는 일반적으로 사용되는 언어의 알려진 기능적 요소를 통합하여 복잡성을 처리하는 다른 철학을 연구하면서 성능과 안전을 도입합니다.

코더는 보안 OWASP 상위 10 API 시리즈 정복 - 비활성화 된 보안 기능 / 디버그 기능 사용 / 부적절한 권한

API에서 좀 더 널리 퍼질 가능성이 있지만 공격자는 종종 패치되지 않은 결함과 보호되지 않은 파일 또는 네트워크 의 어느 곳에서나 디렉토리를 찾으려고 시도합니다. 디버깅을 사용하도록 설정하거나 보안 기능을 사용하지 않도록 설정한 API를 통해 오면 악의적인 작업이 좀 더 쉬워집니다.

킥-엉덩이 DevSecOps 엔지니어가 되는 방법

세계는 과거 폭포, 민첩, 그리고 지금 DevOps에 이동하기 시작, 그래서 다음 해결책은 무엇입니까? 그리고 개발자로서 이러한 접근 방식의 변화에 보조를 맞추는 데 어떤 역할을 해야 합니까?

스캐폴드 학습이 보안이 강력한 개발자를 구축하는 이유

업계로서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만 조직은 더 높은 품질의 소프트웨어를 생산할 수 있도록 개발자 를 위한 새로운 표준을 채택할 수 있습니다.

코드 시리즈로 보안 인프라를 정복코더: 전송 계층 보호 부족

때때로 응용 프로그램은 전체 워크로드의 일부로 다른 프로그램과 데이터를 공유합니다. 전송 계층이 보호되지 않는 한 외부 스누핑과 무단 내부 보기 모두에 취약합니다.

국가 사이버 보안 인식의 달: 피싱 탐험 이상

모든 조직은 사이버 보안 인식의 달을 활용하여 보안 인식을 새로 고칠 수 있으며, 올해는 코딩 커뮤니티를 위한 새롭고 무료 앱을 출시했습니다!

신뢰 구축: AppSec과 개발자 간의 진정한 보안 시너지 를 위한 경로

불신의 흔들리는 기초 위에 세워진 관계는 낮은 기대치로 가장 잘 접근합니다. 슬프게도, 이것은 조직 내의 개발자와 AppSec 팀 간의 작업 관계의 상태일 수 있습니다.

코드 시리즈로 보안 인프라를 정복 코더: 보안 잘못 구성 - 부적절한 권한

보안 오수, 특히 부적절한 권한의 다양성은 개발자가 작업을 수행하기 위해 새 사용자를 만들거나 응용 프로그램에 대한 권한을 도구로 부여할 때마다 가장 자주 발생합니다.

코드 시리즈: 비활성화된 보안 기능으로 보안 인프라를 정복하는 코더

공격자는 항상 쉽게 악용가능한 취약점을 먼저 찾으려고 시도하며 스크립트를 사용하여 일반적인 약점을 실행할 수도 있습니다. 그것은 어떤 문이 잠금 해제되어 있는지 확인하기 위해 거리의 모든 자동차를 확인하는 도둑과 는 달리, 이는 창을 분쇄하는 것보다 훨씬 쉽다.

조직의 보안 성숙도를 과대평가하고 계신가요?

전 세계의 소프트웨어 수요를 충족하기 위해 작성되는 코드의 홍수 속에서 지속적인 기술 부족으로 인해 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤처지고 있습니다. 이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 우리 앞에 놓인 실행 가능한 빠른 승리를 평가해야 할 때입니다.

2023년에 세계적 수준의 CISO가 더 많은 예산과 이사회의 신뢰를 얻는 방법

CISO는 점점 더 곤란한 상황에 처해 있습니다: 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 표면을 줄여야 하며, 급격히 감소하는 재정 자원으로 이를 수행해야 합니다. 사이버 보안이 비용 센터로 간주되는 것은 피할 수 없는 사실이며, 조직의 보안 프로그램이 위협 행위자가 미래의 재앙적인 헤드라인을 장식하는 데 방해가 될 수 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 부서의 전반적인 비즈니스 가치를 설득하고 증명하기 위해 더 많은 노력을 기울여야 합니다.

적절한 지원을 통해 개발자는 조직을 우수한 PCI DSS 4.0 규정 준수로 이끌 수 있습니다.

기업의 보안 설계 이니셔티브를 위한 의미 있는 성공 추진

최신 연구 논문인 '보안 기술 벤치마킹: 기업에서 보안을 기반으로 한 설계 간소화'는 기업 수준에서 실제 보안을 기반으로 한 설계 이니셔티브에 대한 심층 분석과 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.

개발자를 위한 보안 기술 벤치마킹의 이점

보안 코드와 보안 설계 원칙에 대한 관심이 높아지면서 개발자는 SDLC를 시작할 때부터 사이버 보안에 대한 교육을 받아야 하며, Secure Code Warrior의 신뢰 점수 같은 도구를 사용하여 진행 상황을 측정하고 개선할 수 있습니다.

사후 대응형 보안과 예방적 보안: 예방이 더 나은 치료법

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

신뢰 점수를 통해 보안 설계 기반 업스킬링 이니셔티브의 가치 확인

저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.

보안 기술 벤치마킹: 기업에서 보안 설계 간소화

보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.

요새를 구축하세요: 소프트웨어 보안에서 개발자 지원을 위한 6가지 필수 요소

이 백서에서는 보안 전문가이자 Secure Code Warrior CTO 겸 공동 창립자인 마티아스 마두 박사가 개발 코호트를 위한 효과적인 보안 교육 및 지원을 배포하는 데 필요한 6가지 요소에 대해 설명합니다. 엔터프라이즈 수준에서 보안 프로그램을 구현한 10명의 경영진이 얻은 교훈과 성공을 향한 여정에서 피해야 할 일반적인 함정.