リーク性のある API は企業の評判を海に流す恐れがある
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
