최고 경영자, 회장 겸 공동 설립자
피터 다뉴
피터 단히우스는 최고 경영자, 회장, 공동 창립자입니다. Secure Code Warrior .
2020년, Pieter는 SC 어워드 유럽 2020의 다양성 챔피언 부문 최종 후보로 선정되었으며, 업계 최고의 전자 정보 보안 잡지인 사이버 디펜스 매거진(CDM)에서 올해의 최고 경영자로 편집자의 선택을 받았습니다. 2016년에는 호주 에서 가장 멋진 기술 인물(비즈니스 인사이더)의 80위였으며, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)를 수상했으며 포브스 기술 위원회의 회원입니다.
Pieter는 또한 SANS 연구소의 수석 강사로서 군사, 정부 및 민간 기관이 보안 약점에 대한 조직, 시스템 및 개인을 대상으로 평가하고 평가하는 방법에 대한 공격적인 기술을 교육합니다. 그는 또한 유럽의 사이버 보안 컨설팅 회사인 NVISO의 자문 위원으로도 활동하고 있습니다. 피터슨은 회사를 시작하기 전에 Ernst & Young 및 BAE Systems에서 근무했습니다. 그는 또한 브루콘의 공동 설립자 중 하나입니다, 이 지구상에서 가장 멋진 해킹 컨퍼런스 중 하나.
그는 초기에 정보 보안 경력을 시작했으며 벨기에에서 가장 젊은 사람 중 한 명으로 공인 정보 시스템 보안 전문가 (CISSP) 인증을 받았습니다. 그는 다양한 사이버 보안 인증서(CISA, GCFA, GCIH, GPEN, GWAP)를 수집했으며 현재 최고의 인증 GIAC 보안 전문가(GSE)를 보유한 전 세계적으로 몇 안 되는 인물 중 한 명입니다.
최고 경영자, 회장 겸 공동 설립자
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug.
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
Das National Institute of Standards & Technology (NIST) veröffentlichte ein aktualisiertes Whitepaper, in dem mehrere Aktionspläne zur Reduzierung von Softwareschwachstellen und Cyberrisiken detailliert beschrieben werden.
Ich hätte diesen Artikel mit all den Fakten und Zahlen beginnen können, die auf ein florierendes, wachstumsstarkes Startup hinweisen. Sie sind unbestreitbar beeindruckend und unser kontinuierlicher Unternehmenskurs ist stark. Für mich spiegeln diese Zahlen jedoch nicht wider, worauf ich 2019 am meisten stolz bin.
Unsere Geburtstagsmeilensteine sind eine wunderbare Erinnerung daran, über die Früchte unserer Arbeit nachzudenken, das Team zu feiern und das kommende Jahr mit Zuversicht anzugehen. Und jetzt, sieben Jahre seit der Gründung, frage ich mich: Haben wir es geschafft? Ist das schon ein echtes Unternehmen? Natürlich sind wir erwachsen geworden, aber ich hoffe wirklich, dass wir nie das Gefühl von Neugier, Leidenschaft und Geekiness verlieren, das wir von Anfang an hatten.
Diese Woche feiern wir offiziell acht Jahre Secure Code Warrior. Einerseits ist das die 350-fache Länge der Apollo-11-Mission und das Äquivalent von 45.000 Fußballspielen oder 5696 Spielen von Super Mario Odyssey bis zum Ende. Andererseits ist es nur ein Dreißigstel der Lebensdauer einer Riesenschildkröte (250 Jahre, falls Sie sich das fragen). In der Welt eines wachstumsstarken Startups ist es eine Reise mit vielen Wendungen, Lektionen und Errungenschaften, von denen viele unvorstellbar waren, als wir unseren Geschäftsplan zum ersten Mal verfassten.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus.
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der 25 gefährlichsten Softwarefehler von CWE, von denen 2019 die Welt betroffen war. Und das meiste davon war keine Überraschung.
Unsere Vision ist es, Entwickler in die Lage zu versetzen, die erste Verteidigungslinie in ihrem Unternehmen zu sein, indem wir Sicherheit deutlich sichtbar machen und ihnen die Fähigkeiten und Tools an die Hand geben, um sicheren Code von Anfang an zu schreiben.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
In der Cybersicherheit sind wir oft wie Jäger. Unsere Augen sind fest auf den Horizont gerichtet und suchen nach der nächsten Sicherheitslücke. Diese vorausschauende Ausrichtung kann jedoch den überraschenden Effekt haben, dass unser allgemeines Sicherheitsbewusstsein beeinträchtigt wird.
Diese Veranstaltungen rund um Entwickler gehören zu meinen Favoriten im Kalender. Sie sind eine demütigende Erinnerung an die Community, die unermüdlich daran arbeitet, Softwareingenieure und Spezialisten weiterzubilden und zu befähigen, sich bei ihrer Arbeit für Sicherheit einzusetzen.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Die Betonung auf einen präventiven — im Gegensatz zu einem reaktiven — Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, insbesondere wenn kein großer, schwerwiegender Sicherheitsvorfall stattgefunden hat.
In diesem Jahr veröffentlichte der PCI Security Standards Council im Rahmen seines PCI Software Security Frameworks eine Reihe völlig neuer Softwaresicherheitsrichtlinien. Dieses Update zielt darauf ab, bewährte Verfahren zur Softwaresicherheit mit der modernen Softwareentwicklung in Einklang zu bringen.
Da CIOs ihre agilen Fähigkeiten im Unternehmen aggressiv ausbauen, werden sichere Programmierkenntnisse eine Innovationswaffe sein, und wenn sie nicht vorhanden sind, wird dies ein Instrument der Zerstörung sein.
In einem kürzlich erschienenen Bericht des britischen Huawei Cyber Security Evaluation Centre wurden wichtige Sicherheitsprobleme in den Softwareentwicklungsprozessen von Huawei identifiziert. Aber es ist ein Problem, das behoben werden kann.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Der jüngste Angriff auf GitHub-Repositorys verdeutlicht ein bekanntes Problem in der Sicherheitsbranche: Die meisten Entwickler sind einfach nicht ausreichend sicherheitsbewusst, und wertvolle Daten können jederzeit gefährdet sein.
Es gibt viele Lösungen, die Sicherheitslücken im Code finden, aber die Sicherheitsabteilung muss mehr Wert darauf legen, Entwicklern beizubringen, Sicherheitsrichtlinien zu befolgen, die verhindern, dass sie diese Fehler überhaupt machen.
Mit der Einführung der DSGVO und einer überarbeiteten Strategie nach einem mehrstufigen Angriff, bei dem die sensiblen Daten vieler Persönlichkeiten des öffentlichen Lebens — sowie von Servern der deutschen Bundesregierung — aufgedeckt wurden, ist klar, dass das Bewusstsein und die entsprechenden Maßnahmen für Cybersicherheit bei Führungskräften in der DACH-Region an erster Stelle stehen.
Die Vorstellung, was den Akt der sicheren Codierung ausmacht, steht zur Debatte. Jüngsten Untersuchungen in Zusammenarbeit mit Evans Data zufolge wurde dieses Gefühl schwarz auf weiß enthüllt. Die Umfrage State of Developer-Driven Security 2022 befasst sich mit den wichtigsten Erkenntnissen und Erfahrungen von 1200 aktiven Entwicklern und beleuchtet deren Einstellungen und Herausforderungen im Sicherheitsbereich.
Während sicheres Programmieren im Tertiärbereich zu einem obligatorischen Bestandteil der Softwaretechnik werden muss, sind einige Universitäten führend, wenn es darum geht, erstklassige Schulungen anzubieten und Sicherheit von Anfang an als Teil des Entwicklungsprozesses priorisiert.p
Kreative, inspirierende CISOs und CIOs haben die Macht, unsere digitale Welt zu innovieren und zu gestalten, aber sie können auch maßgeblich zur Transformation der Sicherheitskultur eines Unternehmens beitragen.
VxWorks ist dem Durchschnittsverbraucher zwar kein Begriff, aber dieses Softwareprodukt kommt vielen Menschen wie Ihnen und mir jeden Tag zugute. Und jetzt stehen wir vor der Möglichkeit, dass Hunderte Millionen von Geräten, die mit VxWorks betrieben werden, gefährdet sind.
Es ist diese besondere Zeit des Jahres (jedenfalls für uns), in der ich über unsere letzte Runde um die Sonne nachdenke und darüber, was in den letzten 365 Tagen getan wurde, um uns für ein neues Jahr voller Wachstum, Lektionen und unvermeidlicher Unvorhersehbarkeit zu rüsten.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Es spielt keine Rolle, ob Sie die C-Suite in Cybersicherheit ausbilden oder Entwicklern dabei helfen, sichere JAVA- oder C#-Programmierkenntnisse zu erlernen, hier ist Platz für Kreativität, Gamification und Spaß.
Der 23. Juni ist ein besonderer Eintrag im Geek-Kalender, der den Internationalen Tag der Frauen in der Ingenieurskunst markiert. Dies ist unsere Chance, den Beitrag von Frauen zur Softwareentwicklung zu beleuchten.
Die Softwaresicherheitsbranche ist nicht gerade für ihre warmen und verschwommenen Gefühle, skurrilen Beobachtungen und Lebenskommentare bekannt, aber vielleicht denke ich mit zunehmendem Alter darüber nach, welchen Einfluss wir alle auf die Welt haben können.
Angesichts der zunehmenden Cyberangriffe, die alle Arten von Unternehmen in allen Branchen betreffen, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die wichtigsten Probleme für das Jahr vorherzusagen. Angesichts der Tatsache, dass 2019 mehr als fünf Milliarden vertrauliche Datensätze gestohlen wurden, dachten wir, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit im Bereich Cybersicherheit nicht passieren wird.
Indem wir helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software auch trotz der Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Der Open Source Software Security Mobilization Plan ist ein positiver Schritt für entwicklerorientierte Sicherheit. Wir müssen jedoch alle Bilanz ziehen und ehrlich beurteilen, ob wir in unserer Organisation ausgereift genug sind — und ob unsere Entwicklungsteams über das richtige Maß an Sicherheitsbewusstsein und Fähigkeiten verfügen —, um die neuesten und besten Abwehrstrategien umzusetzen.
Das Panel Leaders in AppSec befasste sich mit wichtigen Themen wie der optimalen Nutzung des AppSec-Budgets eines Unternehmens sowie mit mehreren lockigen Fragen des Publikums und bot eine echte Morgenmagie, die Sicherheitsspezialisten bei der Entwicklung tragfähiger Programme in ihren Organisationen unterstützen wird.
Je älter meine Tochter und das Unternehmen werden, desto mehr wird mir klar, dass es so viele Ähnlichkeiten zwischen einer Startup-Reise und der ersten Elternreise gibt. Ich bin jetzt beide in meinem vierten Jahr.pi
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Die nationale Cybersicherheitsstrategie von CISA ist die beste Chance, die wir haben, um die Softwarestandards allgemein zu erhöhen und endlich eine neue Ära sicherheitskompetenter Entwickler einzuleiten.
Es scheint zwar unvermeidlich, dass die KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir viele Aspekte der Arbeit angehen — nicht nur die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen stehen. Und als Begleiter beim Programmieren sind ihre Schwächen vielleicht das „menschlichste“ Merkmal.
Unmittelbar nach der Ankündigung unserer Serie-C-Finanzierung freue ich mich, einen weiteren Schritt auf dem Weg unseres Unternehmens ankündigen zu können. Der Marktführer in der Sicherheitsbranche, Synopsys, hat eine spannende Neuerung seiner Produktsuite begrüßt: das Synopsys Developer Security Training, das von Secure Code Warrior unterstützt wird.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
중대한 보안 취약점인 CVE-2024-3094가 주요 리눅스 배포판에서 사용되는 데이터 압축 라이브러리 XZ Utils에서 발견되었습니다. 이 취약점은 위협 행위자에 의해 백도어로 도입되었으며, 원격 코드 실행 가능성을 허용하는 고위험 문제로 소프트웨어 빌드 프로세스에 심각한 위험을 초래합니다. 이 결함은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ Utils에 영향을 미칩니다. 기업들은 패치 적용을 시급히 권고받습니다. 이번 사건은 오픈소스 소프트웨어 유지보수에서 커뮤니티 자원봉사자들의 결정적 역할을 부각시키며, 소프트웨어 개발 주기 내 보안 관행 및 접근 통제의 개선 필요성을 강조합니다.
Das Gründungsteam von Secure Code Warrior ist zusammen geblieben und hat das Schiff ein ganzes Jahrzehnt lang durch jede Lektion, jeden Triumph und jeden Rückschlag gesteuert. Wir expandieren und sind bereit für unser nächstes Kapitel, SCW 2.0, als Marktführer im Bereich Risikomanagement für Entwickler.
Vibe Coding ist wie eine Studentenparty, und KI ist das Herzstück aller Feierlichkeiten, das Fass. Es macht viel Spaß, loszulassen, kreativ zu werden und zu sehen, wohin Ihre Fantasie Sie führen kann, aber nach ein paar Fassständen ist es zweifellos die sicherere langfristige Lösung, in Maßen zu trinken (oder KI einzusetzen).
