2022年我们不能忽视的网络安全问题
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
