피터 다뉴

澳大利亚政府如何建立国家网络安全抵御能力并挺身而出抵御威胁

从澳大利亚政府认真对待网络安全的努力中可以明显看出，网络安全已被确定为国家层面的关键风险领域，但是他们的战略是否足够深远？

向左移动是不够的：为什么左移是实现卓越软件安全的关键

围绕 “向左移动” 的许多举措，即在开发过程的早期引入安全性，根本无法起到足够的作用。

认证安全意识：一项旨在提升开发人员能力的行政命令

美国联邦政府的最新行政命令涉及功能性网络安全的许多方面，但首次特别概述了开发者的影响，以及他们需要经过验证的安全技能和意识。

新的 NIST 指南：为什么定制培训对于创建安全软件至关重要

美国国家标准与技术研究所（NIST）发布了更新的白皮书，详细介绍了减少软件漏洞和网络风险的几项行动计划。

快速增长：5 岁生日快乐，安全代码勇士

我本可以从所有事实和数据开始写这篇文章，说明一家蓬勃发展、高速增长的初创公司；不可否认，它们给人留下了深刻的印象，而且我们持续的公司发展轨迹也很强劲。但是，对我来说，这些数字并不能反映我在2019年最引以为豪的事情。

Secure Code Warrior 工作了七年，开始感觉真实

我们的生日里程碑很好地提醒我们反思我们的劳动成果，庆祝团队，充满信心地迎接新的一年。现在，自成立七年以来，我想知道：我们做到了吗？这是一家真正的公司吗？当然，我们已经成熟了，但我当然希望我们永远不会失去从一开始就存在的好奇心、激情和极客意识。

激励开发人员是改善安全实践的关键

专业开发人员希望拥抱DevSecOps并编写安全代码，但是他们的组织要想发展这种努力，就需要支持这种seachange。

Secure Code Warrior 第 8 周岁：全部登上火箭飞船

本周，我们正式庆祝安全代码勇士问世八周年。一方面，这是阿波罗11号任务时长的350倍，相当于45,000场足球比赛，或者玩超级马里奥奥德赛到最后5696次。另一方面，它只是巨型乌龟寿命的三分之一（如果你想知道的话，是250年）。在一个高增长的初创公司的世界中，它代表着一段充满曲折、教训和成就的旅程，其中许多在我们第一次签署商业计划时是不可想象的。

API on Wheels：一次充满风险的漏洞之旅

将API安全性置于偶然的机会是日后引入问题的必经之路，最坏的情况是可能会带来毁灭性的后果，充其量只能说是令人沮丧的返工和低性能。

COVID-19 接触者追踪：安全编码情况如何？

接触者追踪应用程序背后的想法是合理的。这项技术如果运行良好，将确保迅速发现热点并进行全面测试，这两者都是对抗传染性病毒传播的重要组成部分。

驱动 Web 应用程序安全漏洞的被遗忘的人为因素

如果没有人教过开发人员为什么安全代码很重要，不安全代码的后果，最重要的是，如何防止在各自的编程框架中写入这些漏洞，那么开发人员应该如何编写安全代码？

复制/粘贴是一种危险的编码技术

这项工作的意义在于，我们为大量令人震惊的安全编码问题提供了经验证据，这些问题以前从未报告过

2019年最危险的软件错误：更多历史重演的证据

去年年底，MITRE的精彩社区发布了2019年CWE影响全球的25大最危险软件错误清单。而且大部分都不足为奇。

安全代码勇士-祝我们三岁生日快乐

我们的愿景是通过提高安全性，为开发人员提供从一开始就编写安全代码的技能和工具，使他们成为组织中的第一道防线。

왜 우리는 호기심 많은 보안 담당자를 처벌하기보다 지원해야 하는가

청소년 안전 연구원 빌 데밀카피가 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 과거를 떠올리게 한다. 나는 호기심 많은 아이였을 때 소프트웨어의 덮개를 열고 그 아래를 훔쳐보며 어떻게 작동하는지... 그리고 내가 그것을 해킹할 수 있을지 살펴보던 기억이 난다.

一些首席信息安全官正在将安全技能短缺转化为机会

让开发人员从一开始就能够编写安全代码，这为首席信息安全官提供了从安全困境中抓住一些主动控制的机会，也有可能为安全和开发团队带来快速、简单和可衡量的改进。

向左移动

如果开发人员在使用 JavaScript 编码时写入了跨站脚本错误，并且他们能够在创建该漏洞后的几分钟内检测到该错误

2021 年网络预警安全预测：星际之战开启

我们预计，2021年是我们将一种全新类型的太空竞赛纳入主流的一年：保护我们的银河系免受网络欢迎。

网络犯罪分子正在攻击医疗保健（但我们可以反击）

医疗保健可能是下一个 “伟大” 的网络安全战场，犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。

DevSecOps：旧的安全漏洞仍在发挥新作用

在网络安全领域，我们通常就像猎人一样。我们的眼睛紧紧地注视着地平线，正在寻找下一个突破漏洞。但是，这种前瞻性的关注可能会产生令人惊讶的效果，削弱我们的整体安全意识。

2019 年 OWASP AppSec 日：培训育安全开发人员

这些开发以人为中心的活动是日历上我最喜欢的活动之一；它们是 “卑斯地提醒” 社区不是 “地下人” 和 “增强” 软件工程师和专家的能力，使他们能够在工作中保持安全。

我们需要在 AppSec 荒地中进行变革：我对2019年的预测

我们面临的真正战斗不是针对剧本小子或危险的有组织网络犯罪集团... 而是要让更多的人关心数据泄露的发生。

软件安全处于狂野西部（它会让我们被杀死）

软件安全一直是我的头等大事，我们日益数字化的个人信息共享生活方式所构成的真正危险也是如此。毕竟，我们处在一个基本上不受监管、无人监督、被忽视的领域。我们在狂野的西部。

您的安全计划是否侧重于事件响应？你做错了。

安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上，尤其是在没有发生重大而严重的安全事件的情况下。

网络安全培训和积极强化

修订后的PCI安全标准委员会指南：它们向左移动得足够远吗？

今年，PCI安全标准委员会发布了一套全新的软件安全指南，作为其PCI软件安全框架的一部分。此更新旨在使软件安全最佳实践与现代软件开发保持一致。

元宇宙中的恶意：在新领域对抗已知的网络威胁

当下的数字宠儿——元宇宙——的出现为代码级漏洞和社会工程增加了广阔的新攻击面。而且我们根本没有为在这个靠烟雾和镜子蓬勃发展的新竞争环境中战斗做好准备。

您的开发人员是第一道风险线还是防线？根据我们的安全编码清单为您的公司评分

随着首席信息官积极建立企业敏捷能力，安全编码技能将成为创新的武器，没有这些技能将是一种破坏工具。

华为英国安全问题表明需要安全编码

英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。但这是一个可以解决的问题。

保护 API：不可能完成的任务？

API 安全性很严峻，但只要有足够的培训、规划和对最佳实践的关注，即使是最阴险的漏洞也可以得到缓解。

静态 vs.动态网络安全培训：冲动合规，未来问题

尽管监管举措无疑将随着时间的推移而得到改善和发展，但如果各组织现在已经按下了紧急按钮并开始接受培训，他们可能会发现自己没有为未来做好准备。

왜 DevOps 구현은 종종 실패하는가(그리고 이를 해결하는 방법)

DevOps를 진정으로 성공적으로 구현하는 기업은 거의 없습니다. 그러나 기업 전체에 걸쳐 적절한 지원, 육성 및 이해를 제공하면 프로세스를 변화시킬 수 있습니다.

GitHub 用户因纯文本痛苦而被勒索赎金

最近对GitHub存储库的攻击凸显了安全行业中一个众所周知的问题：大多数开发人员根本不够安全意识，宝贵的数据随时可能面临风险。

DevSecOps 的更光明未来？它比你想象的要近

有许多解决方案可以发现代码中的漏洞，但是安全性需要更加重视教导开发人员遵循安全准则，以防止他们从一开始就犯这些错误。

揭开政府供应链管道中网络漏洞的面纱

很明显，网络安全很重要，但它在供应链背景下到底意味着什么？

DACH 中的 DevSecOps：安全编码试点计划的主要发现

随着GDPR的出台，以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后的战略的修订，很明显，网络安全意识和行动是DACH地区领导人的头等大事。

更多漏洞，更多问题：第三方应用程序的信任成本

我们必须停止将安全视为公司创新道路上的刺激性障碍。

需要一个村庄：社区精神如何创造更安全的开发者

有来自各行各业的各种类型的开发人员，而且我们所做的每件事都具有社区意识。

开发人员如何定义 “安全编码”？

对什么构成安全编码行为的看法尚有待商榷。根据与Evans Data合作的最新研究，这种情绪以黑白形式展现出来。2022年开发者驱动的安全状况调查深入研究了1200名活跃开发者的关键见解和经验，阐明了他们在安全领域的态度和挑战。

안전 분야의 여성: 파테마 베이드운에 주목하다

우리의 고객 성공 부사장인 파테마 베이드운(Fatemah Beydoun)은 최근 매우 열정적인 청중을 대상으로 "미래를 이끌다: 여성 사이버 보안 인재 양성에서 우리가 더 나아질 수 있는 방법"이라는 주제로 강연을 진행했습니다. 그녀는 사이버 보안 업계의 긍정적인 변화를 주도하는 데 있어 항상 핵심적인 역할을 해왔습니다.

심층 보안 교육은 교육에 대한 의문을 제기하고 있다.

보안 코딩은 고등 차원에서 소프트웨어 엔지니어링의 필수 구성 요소가 되어야 하지만, 일부 대학은 처음부터 개발 프로세스의 일환으로 최고 수준의 교육을 제공하고 보안을 우선 순위를 지정하는 업무를 주도하고 있습니다.p

富创造力的首席信息安全官员和首席信息官员如何创新和转变其安全计划

富有创造力、鼓舞人心的首席信息安全官员和首席信息官员能量创新，塑造我们的数字世界，但他们也可以改变变量组织的安全文明方面发作重要作用。

全球大补丁：VxWorks 漏洞将危及数百万台设备

尽管对于普通消费者来说，VxWorks 并不是家喻户晓的名字，但这款软件产品每天都会使许多人受益，就像你我一样。现在，我们面临着数亿台基于VxWorks的设备遭到入侵的可能性。

왜 게임화가 소프트웨어 보안 향상의 핵심인가

우리는 대화 방식을 바꾸어 보안이 모든 개발자의 업무 생활에서 필수적인 부분이 되도록 노력해야 합니다. 이를 위한 최선의 방법 중 하나는 게임화 등을 통해 개발자에게 보안 측면에서 권한을 부여하고 그들과 소통하는 것이라고 생각합니다.

安全代码勇士六年：我们长大了吗？

这是一年中的那个特殊时刻（无论如何，对我们来说），我回顾了我们最近一次绕太阳的圈子，以及在过去的365天里为迎接充满成长、经验教训和不可避免的不可预测性的新的一年所做的工作。

安全代码勇士和漏洞人群：安全极客天堂的天作之合

这是官方消息：我们正在与Bugcrowd联手对开发人员进行安全编码方面的教育、赋权和启发。

开发者锦标赛：AppSec 改善安全文化和参与度的秘密武器

你不认为是时候改头换面了吗？这就像改变对话然后让一切变得更积极一点一样简单（更不用说有趣了！）对于双方，尤其是开发团队。

从这个读心者那里吸取教训，让安全再次变得有趣！

无论你是对高管进行网络安全培训，还是帮助开发人员掌握 JAVA 或 C# 安全编程技能，都有创造力、游戏化和乐趣的地方。

国际工程界女性日：认识我们的明星

6月23日是极客日历中的一个特别条目，旨在纪念国际工程界女性日。这是我们阐明女性对软件开发的贡献的机会。

同情、感恩和保持谦虚：我们文化的基础

软件安全行业并不完全以其温暖而模糊的感受、异想天开的观察和生活评论而闻名，但是，也许随着年龄的增长，我发现自己正在反思我们所有人可能对世界产生的影响。

一款改善招聘流程的电子游戏

要了解网络安全最佳实践，请查看金融行业

随着网络攻击的增加——影响各个垂直领域的各类组织——代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小，而是像肿瘤一样生长。

网络安全的未来：未来一年不会发生的事情

在我们的行业中，许多安全专家已经开始预测今年的热点问题，但是由于2019年有超过50亿条敏感数据记录被盗，我们认为预测在可预见的将来网络安全不会发生的事情会更加准确。

如何推出有效的开发人员安全培训：5 个重要课程

关于如何推出有效的开发人员安全培训的 5 条重要课程

重新思考组织层次结构中的组织层次结构

通过帮助在严密的层次结构中定义我们的应用程序和软件，并以最低权限执行这些政策，我们可以确认我们的应用程序和软件在面前保护我们的应用程序和软件，也能生存和发展。

我们是否足够成熟，可以实施开源软件安全动员计划？

开源软件安全动员计划代表了开发人员驱动的安全性迈出的积极一步。但是，我们都必须进行盘点并诚实地评估我们的组织是否足够成熟，以及我们的开发团队是否具有适当水平的安全意识和技能，以实施最新、最出色的防御策略。

最佳早午餐：我们的 AppSec 领导者分享他们的智慧

针对诸如如何充分利用组织的 AppSec 预算等热点问题，以及听众提出的几个棘手问题，AppSec小组提供了一些真正的早间魔法，将帮助安全专家在其组织内制定可行的计划。

4 岁生日快乐 Secure Code Warrior，你这个厚脸皮的小孩

我女儿和公司年纪越大，我就越意识到创业之旅和 “初次做母亲” 的旅程之间有很多相似之处。我现在都已经是第四年了。pi

모든 개발자는 잠재적 고용주에게 이 백만 달러짜리 질문을 던져야 한다

모든 개발자는 반드시 스스로에게 질문해야 합니다. 신입이든 경력자든 상관없이. 그 답은 매우 중요합니다.

网络安全行业分析：我们必须纠正的另一个反复出现的漏洞

我们没有得到切合实际的建议，也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然，每种漏洞都有自己的不同，并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制，但最佳实践方法似乎每时每刻都存在更多缺陷。

COBOL 应用程序开发安全 | 安全代码勇士

传统的 COBOL 虽然是一种较旧的计算机语言，但至今仍然有效。从 Secure Code Warrior 了解有关 COBOL 安全应用程序开发的更多信息。

泄露的API有可能使公司的声誉化为乌有

API 安全性是大多数安全专家心目中不远的问题，也是我们需要掌握应对的知识。

PCI-DSS 4.0 将比您想象的更快问世，这是提升组织网络弹性的机会

今年早些时候，PCI安全标准委员会公布了其支付卡行业数据安全标准（PCI DSS）的4.0版本。尽管组织要到2025年3月才能完全遵守4.0，但此次更新是他们迄今为止最具变革性的更新，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈的元素。除此之外，还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。

Secure Code Warriorcienceux 首席执行官员 ceircienceux 联合创始人彼得斯·丹希厄表示：“每一个人都应该在他们的网络安全中开启并接受网络安全中所在的扮演角色”

CyberNews 与 Secure Code Warrior 首席执行官兼联合创始人彼得斯·丹希克斯进行问答。

主动防护：利用国家网络安全战略进行高级威胁防御

CISA的国家网络安全战略是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。

LLMs：一种（im）完全人性化的安全编码方法？

尽管LLM式的人工智能技术似乎不可避免地会改变我们处理许多方面的工作方式，而不仅仅是软件开发，但我们必须退后一步，考虑头条新闻之外的风险。作为编程伙伴，它的缺陷可能是它最为 “人性化” 的属性。

提高安全编码的标准：将敏捷学习融入面向未来的企业

我们宣布结束C轮融资，为下一阶段的使命筹集了5000万美元：帮助更多开创性组织利用其开发团队的力量来遏制常见漏洞。

：一个激动人心的合作伙伴关系，在提示升企业敏捷学习和开发人员驱动的性能方面

刚刚开始了我们的轮融资，我也很高兴地宣传布我们公司的发展历程又是迈出来了。安全行业领导者新思科科技欢迎其产品套件中一令人兴奋的新增内容内容：由安全代码勇士提供支持的新思科科技开发人员安全培训。

귀사의 보안 프로그램은 CISA의 사이버 보안 전략 계획에 대한 준비가 되어 있나요?

사이버 보안 전략 계획은 대부분의 조직이 사이버 보안에 접근하는 방식에 큰 변화를 추진하고 있으며, 개발자는 이러한 새로운 목표를 달성하는 데 도움을 줄 수 있는 특별한 위치에 있습니다.

나인 파워: 격동의 사이버 보안 시대에 보안 코드 전사들의 유산을 계승하다

오늘은 우리의 아홉 번째 생일입니다. 상황이 지속적으로 빠르게 변화하는 가운데, 사이버 보안 분야에서 우리가 이룬 성과와 지속적인 입지를 매우 자랑스럽게 생각하며 감사드립니다.

리눅스의 XZ 유틸리티 백도어는 더 광범위한 공급망 보안 문제를 지적하며, 이를 막기 위해서는 커뮤니티 정신 이상의 것이 필요합니다.

주요 Linux 배포판에서 사용되는 XZ Utils 데이터 압축 라이브러리에서 CVE-2024-3094라는 심각한 취약점이 발견되었습니다. 이 취약점은 위협 행위자가 백도어를 통해 도입한 것입니다.이 고위험 취약점은 원격 코드 실행을 가능하게 하여 소프트웨어 빌드 프로세스에 중대한 위험을 초래합니다. 해당 결함은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ 유틸리티에 영향을 미쳤으며, 각 기관에 긴급 패치 적용을 촉구합니다. 이 사건은 오픈소스 소프트웨어 유지보수에서 커뮤니티 자원봉사자의 핵심적 역할을 부각시키며, 소프트웨어 개발 생명주기 전반에 걸쳐 보안 조치와 접근 통제를 강화할 필요성을 강조합니다.

捍卫者十年：安全代码勇士十岁了

Secure Code Warrior 的创始团队一直团结在一起，在整整十年中指导飞船度过每一次教训、胜利和挫折。作为开发者风险管理领域的领导者，我们正在扩大规模，准备迎接我们的下一个篇章——SCW 2.0。

Vibe Coding 会把你的代码库变成兄弟会派对吗？

Vibe 编程就像大学兄弟会派对，而人工智能是所有庆祝活动的核心，小桶。放松身心，发挥创造力，看看你的想象力可以带你走向何方，这很有趣，但是在喝了几个小桶之后，适量饮酒（或者使用人工智能）无疑是更安全的长期解决方案。

도구가 악용될 때: AI 도구의 중독 현상과 AI가 이중 스파이 역할을 하는 것을 막는 방법

소프트웨어 개발에 에이전트 AI를 빠르게 도입하세요! (스포일러: 아마 하지 말아야 할 것입니다.)

사이버 보안 업계가 에이전트 AI에 너무 빠르게 대응하고 있나요? AI 보안의 미래가 다가오고 있으며, 이제 전문가들이 성찰에서 현실로 옮겨야 할 때입니다.

SCW 11주년: 적응력과 지속적인 개선에 관한 실시간 교훈

2025년은 인공지능과 사이버 보안, 그리고 SCW에게 중요한 해였습니다. 저는 2026년을 조용한 자신감과 오직 노력의 결실이 가져다주는 낙관으로 맞이하고 있습니다.