Für Entwickler, die bei der Bekämpfung der Cyberkriminalität helfen wollen, besteht das Training aus zwei Teilen
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.
생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.
그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.
우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.
이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.
비계 학습은 성인 교육에 중요합니다.
과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.
스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.
이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.
그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.
진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동
보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.
일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.
기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.
대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.
작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.
이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.
Die Wettbewerbsbedingungen zwischen Helden und Bösewichten in der Cybersicherheit sind bekanntermaßen unfair. Sensible Daten sind das neue Gold, und Angreifer passen sich schnell an, um Abwehrmaßnahmen zu umgehen, und nutzen große und kleine Sicherheitslücken für potenzielle Gehälter aus.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.
생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.
그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.
우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.
이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.
비계 학습은 성인 교육에 중요합니다.
과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.
스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.
이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.
그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.
진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동
보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.
일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.
기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.
대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.
작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.
이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.
생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.
그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.
우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.
이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.
비계 학습은 성인 교육에 중요합니다.
과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.
스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.
이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.
그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.
진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동
보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.
일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.
기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.
대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.
작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.
이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
이 문서의 버전은 DevOps.com에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.
생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.
그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.
우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.
이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.
비계 학습은 성인 교육에 중요합니다.
과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.
스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.
이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.
그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.
진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동
보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.
일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.
기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.
대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.
작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.
이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.
목차
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드시작을 위한 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
