코더즈 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 과도한 데이터 노출
La vulnerabilidad de exposición excesiva de datos es distinta de otros problemas de API de la lista de OWASP, ya que implica un tipo de datos muy específico. La mecánica real detrás de la vulnerabilidad es similar a otras, pero la exposición excesiva de datos, en este caso, se define como la implicación de datos legalmente protegidos o altamente sensibles. Esto puede incluir cualquier información personal identificable, que a menudo se conoce como PII. También puede tratarse de información del sector de las tarjetas de pago, o PCI. Por último, la exposición excesiva de datos puede incluir cualquier información que esté sujeta a las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los Estados Unidos.
Como puedes imaginar, esto es motivo de gran preocupación, y es imperativo que los desarrolladores inteligentes aprendan a aplastar estos errores siempre que sea posible. Si ya estás preparado para enfrentarte a un dragón de exposición de datos, dirígete a nuestro reto gamificado:
¿Cuál fue su puntuación? Sigue leyendo y aprende más:
¿Cuáles son algunos ejemplos de exposición excesiva de datos?
Una de las principales razones por las que se produce una exposición excesiva de datos es porque los desarrolladores y codificadores no tienen suficiente conocimiento del tipo de datos que utilizarán sus aplicaciones. Por ello, los desarrolladores tienden a utilizar procesos genéricos en los que todas las propiedades de los objetos están expuestas a los usuarios finales.
Los desarrolladores también asumen a veces que los componentes del frontend realizarán el filtrado de datos antes de mostrar cualquier información a los usuarios. Para la mayoría de los datos genéricos, esto no suele ser un problema. Pero exponer datos legalmente protegidos o sensibles a los usuarios como parte de un identificador de sesión, por ejemplo, puede llevar a grandes problemas tanto desde el punto de vista de la seguridad como del legal.
Como ejemplo de la facilidad con la que los datos sensibles pueden ser compartidos accidentalmente, el informe de OWASP prevé un escenario en el que un guardia de seguridad tiene acceso a cámaras específicas basadas en el IoT en una instalación. Tal vez esas cámaras vigilan áreas selladas y seguras, mientras que otras cámaras que ven a las personas se supone que están restringidas a los guardias o supervisores con permisos superiores.
Para que el vigilante tenga acceso a las cámaras autorizadas, los desarrolladores pueden utilizar una llamada a la API como la siguiente.
/api/sites/111/cámaras
En respuesta, la aplicación enviaría detalles sobre las cámaras que el guardia puede ver en el siguiente formato:
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
A primera vista, esto parece funcionar bien. El vigilante, que utiliza la interfaz gráfica de usuario de la aplicación, sólo vería las imágenes de las cámaras que está autorizado a ver. El problema es que, debido al código genérico utilizado, la respuesta real de la API contendría una lista completa de todas las cámaras de las instalaciones. Cualquiera que husmee en la red y capture esos datos, o comprometa la cuenta del guardia, podría descubrir la ubicación y la nomenclatura de todas las cámaras de la red. Entonces podría acceder a esos datos sin restricciones.
Eliminación de la exposición excesiva de datos
La mayor clave para evitar la exposición excesiva de datos es la comprensión de los datos y las protecciones que los rodean. Crear APIs genéricas y dejar en manos del cliente la ordenación de los datos antes de mostrarlos a los usuarios es una opción peligrosa que da lugar a muchos fallos de seguridad evitables.
Además de entender las protecciones de datos relevantes, también es importante detener el proceso de enviar todo a un usuario con APIs genéricas. Por ejemplo, hay que evitar códigos como to_json() y to_string(). En su lugar, el código debe escoger específicamente las propiedades que deben ser devueltas a los usuarios autorizados y enviar exclusivamente esa información.
Como forma de garantizar que no se compartan accidentalmente datos protegidos, las organizaciones deberían considerar la implementación de un mecanismo de validación de respuestas basado en esquemas como una capa adicional de seguridad. Debería definir y hacer cumplir los datos que devuelven todos los métodos de la API, incluidas las reglas de notificación de errores.
Por último, todos los datos clasificados como PII o PCI, o la información que está protegida por las regulaciones como GDPR o HIPAA deben ser protegidos utilizando un cifrado fuerte. De esta manera, incluso si la ubicación de esos datos se escapa como parte de una vulnerabilidad de exposición de datos excesiva, hay una buena línea de defensa secundaria que debería proteger los datos incluso si caen en manos de un usuario malicioso o un actor de amenaza.
Consulte las páginas del Secure Code Warrior para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puede probar una demostración de la plataforma de formación Secure Code Warrior para mantener todos sus conocimientos de ciberseguridad perfeccionados y actualizados.
이 취약점의 실제 메커니즘은 다른 취약점과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
La vulnerabilidad de exposición excesiva de datos es distinta de otros problemas de API de la lista de OWASP, ya que implica un tipo de datos muy específico. La mecánica real detrás de la vulnerabilidad es similar a otras, pero la exposición excesiva de datos, en este caso, se define como la implicación de datos legalmente protegidos o altamente sensibles. Esto puede incluir cualquier información personal identificable, que a menudo se conoce como PII. También puede tratarse de información del sector de las tarjetas de pago, o PCI. Por último, la exposición excesiva de datos puede incluir cualquier información que esté sujeta a las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los Estados Unidos.
Como puedes imaginar, esto es motivo de gran preocupación, y es imperativo que los desarrolladores inteligentes aprendan a aplastar estos errores siempre que sea posible. Si ya estás preparado para enfrentarte a un dragón de exposición de datos, dirígete a nuestro reto gamificado:
¿Cuál fue su puntuación? Sigue leyendo y aprende más:
¿Cuáles son algunos ejemplos de exposición excesiva de datos?
Una de las principales razones por las que se produce una exposición excesiva de datos es porque los desarrolladores y codificadores no tienen suficiente conocimiento del tipo de datos que utilizarán sus aplicaciones. Por ello, los desarrolladores tienden a utilizar procesos genéricos en los que todas las propiedades de los objetos están expuestas a los usuarios finales.
Los desarrolladores también asumen a veces que los componentes del frontend realizarán el filtrado de datos antes de mostrar cualquier información a los usuarios. Para la mayoría de los datos genéricos, esto no suele ser un problema. Pero exponer datos legalmente protegidos o sensibles a los usuarios como parte de un identificador de sesión, por ejemplo, puede llevar a grandes problemas tanto desde el punto de vista de la seguridad como del legal.
Como ejemplo de la facilidad con la que los datos sensibles pueden ser compartidos accidentalmente, el informe de OWASP prevé un escenario en el que un guardia de seguridad tiene acceso a cámaras específicas basadas en el IoT en una instalación. Tal vez esas cámaras vigilan áreas selladas y seguras, mientras que otras cámaras que ven a las personas se supone que están restringidas a los guardias o supervisores con permisos superiores.
Para que el vigilante tenga acceso a las cámaras autorizadas, los desarrolladores pueden utilizar una llamada a la API como la siguiente.
/api/sites/111/cámaras
En respuesta, la aplicación enviaría detalles sobre las cámaras que el guardia puede ver en el siguiente formato:
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
A primera vista, esto parece funcionar bien. El vigilante, que utiliza la interfaz gráfica de usuario de la aplicación, sólo vería las imágenes de las cámaras que está autorizado a ver. El problema es que, debido al código genérico utilizado, la respuesta real de la API contendría una lista completa de todas las cámaras de las instalaciones. Cualquiera que husmee en la red y capture esos datos, o comprometa la cuenta del guardia, podría descubrir la ubicación y la nomenclatura de todas las cámaras de la red. Entonces podría acceder a esos datos sin restricciones.
Eliminación de la exposición excesiva de datos
La mayor clave para evitar la exposición excesiva de datos es la comprensión de los datos y las protecciones que los rodean. Crear APIs genéricas y dejar en manos del cliente la ordenación de los datos antes de mostrarlos a los usuarios es una opción peligrosa que da lugar a muchos fallos de seguridad evitables.
Además de entender las protecciones de datos relevantes, también es importante detener el proceso de enviar todo a un usuario con APIs genéricas. Por ejemplo, hay que evitar códigos como to_json() y to_string(). En su lugar, el código debe escoger específicamente las propiedades que deben ser devueltas a los usuarios autorizados y enviar exclusivamente esa información.
Como forma de garantizar que no se compartan accidentalmente datos protegidos, las organizaciones deberían considerar la implementación de un mecanismo de validación de respuestas basado en esquemas como una capa adicional de seguridad. Debería definir y hacer cumplir los datos que devuelven todos los métodos de la API, incluidas las reglas de notificación de errores.
Por último, todos los datos clasificados como PII o PCI, o la información que está protegida por las regulaciones como GDPR o HIPAA deben ser protegidos utilizando un cifrado fuerte. De esta manera, incluso si la ubicación de esos datos se escapa como parte de una vulnerabilidad de exposición de datos excesiva, hay una buena línea de defensa secundaria que debería proteger los datos incluso si caen en manos de un usuario malicioso o un actor de amenaza.
Consulte las páginas del Secure Code Warrior para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puede probar una demostración de la plataforma de formación Secure Code Warrior para mantener todos sus conocimientos de ciberseguridad perfeccionados y actualizados.
La vulnerabilidad de exposición excesiva de datos es distinta de otros problemas de API de la lista de OWASP, ya que implica un tipo de datos muy específico. La mecánica real detrás de la vulnerabilidad es similar a otras, pero la exposición excesiva de datos, en este caso, se define como la implicación de datos legalmente protegidos o altamente sensibles. Esto puede incluir cualquier información personal identificable, que a menudo se conoce como PII. También puede tratarse de información del sector de las tarjetas de pago, o PCI. Por último, la exposición excesiva de datos puede incluir cualquier información que esté sujeta a las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los Estados Unidos.
Como puedes imaginar, esto es motivo de gran preocupación, y es imperativo que los desarrolladores inteligentes aprendan a aplastar estos errores siempre que sea posible. Si ya estás preparado para enfrentarte a un dragón de exposición de datos, dirígete a nuestro reto gamificado:
¿Cuál fue su puntuación? Sigue leyendo y aprende más:
¿Cuáles son algunos ejemplos de exposición excesiva de datos?
Una de las principales razones por las que se produce una exposición excesiva de datos es porque los desarrolladores y codificadores no tienen suficiente conocimiento del tipo de datos que utilizarán sus aplicaciones. Por ello, los desarrolladores tienden a utilizar procesos genéricos en los que todas las propiedades de los objetos están expuestas a los usuarios finales.
Los desarrolladores también asumen a veces que los componentes del frontend realizarán el filtrado de datos antes de mostrar cualquier información a los usuarios. Para la mayoría de los datos genéricos, esto no suele ser un problema. Pero exponer datos legalmente protegidos o sensibles a los usuarios como parte de un identificador de sesión, por ejemplo, puede llevar a grandes problemas tanto desde el punto de vista de la seguridad como del legal.
Como ejemplo de la facilidad con la que los datos sensibles pueden ser compartidos accidentalmente, el informe de OWASP prevé un escenario en el que un guardia de seguridad tiene acceso a cámaras específicas basadas en el IoT en una instalación. Tal vez esas cámaras vigilan áreas selladas y seguras, mientras que otras cámaras que ven a las personas se supone que están restringidas a los guardias o supervisores con permisos superiores.
Para que el vigilante tenga acceso a las cámaras autorizadas, los desarrolladores pueden utilizar una llamada a la API como la siguiente.
/api/sites/111/cámaras
En respuesta, la aplicación enviaría detalles sobre las cámaras que el guardia puede ver en el siguiente formato:
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
A primera vista, esto parece funcionar bien. El vigilante, que utiliza la interfaz gráfica de usuario de la aplicación, sólo vería las imágenes de las cámaras que está autorizado a ver. El problema es que, debido al código genérico utilizado, la respuesta real de la API contendría una lista completa de todas las cámaras de las instalaciones. Cualquiera que husmee en la red y capture esos datos, o comprometa la cuenta del guardia, podría descubrir la ubicación y la nomenclatura de todas las cámaras de la red. Entonces podría acceder a esos datos sin restricciones.
Eliminación de la exposición excesiva de datos
La mayor clave para evitar la exposición excesiva de datos es la comprensión de los datos y las protecciones que los rodean. Crear APIs genéricas y dejar en manos del cliente la ordenación de los datos antes de mostrarlos a los usuarios es una opción peligrosa que da lugar a muchos fallos de seguridad evitables.
Además de entender las protecciones de datos relevantes, también es importante detener el proceso de enviar todo a un usuario con APIs genéricas. Por ejemplo, hay que evitar códigos como to_json() y to_string(). En su lugar, el código debe escoger específicamente las propiedades que deben ser devueltas a los usuarios autorizados y enviar exclusivamente esa información.
Como forma de garantizar que no se compartan accidentalmente datos protegidos, las organizaciones deberían considerar la implementación de un mecanismo de validación de respuestas basado en esquemas como una capa adicional de seguridad. Debería definir y hacer cumplir los datos que devuelven todos los métodos de la API, incluidas las reglas de notificación de errores.
Por último, todos los datos clasificados como PII o PCI, o la información que está protegida por las regulaciones como GDPR o HIPAA deben ser protegidos utilizando un cifrado fuerte. De esta manera, incluso si la ubicación de esos datos se escapa como parte de una vulnerabilidad de exposición de datos excesiva, hay una buena línea de defensa secundaria que debería proteger los datos incluso si caen en manos de un usuario malicioso o un actor de amenaza.
Consulte las páginas del Secure Code Warrior para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puede probar una demostración de la plataforma de formación Secure Code Warrior para mantener todos sus conocimientos de ciberseguridad perfeccionados y actualizados.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
La vulnerabilidad de exposición excesiva de datos es distinta de otros problemas de API de la lista de OWASP, ya que implica un tipo de datos muy específico. La mecánica real detrás de la vulnerabilidad es similar a otras, pero la exposición excesiva de datos, en este caso, se define como la implicación de datos legalmente protegidos o altamente sensibles. Esto puede incluir cualquier información personal identificable, que a menudo se conoce como PII. También puede tratarse de información del sector de las tarjetas de pago, o PCI. Por último, la exposición excesiva de datos puede incluir cualquier información que esté sujeta a las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los Estados Unidos.
Como puedes imaginar, esto es motivo de gran preocupación, y es imperativo que los desarrolladores inteligentes aprendan a aplastar estos errores siempre que sea posible. Si ya estás preparado para enfrentarte a un dragón de exposición de datos, dirígete a nuestro reto gamificado:
¿Cuál fue su puntuación? Sigue leyendo y aprende más:
¿Cuáles son algunos ejemplos de exposición excesiva de datos?
Una de las principales razones por las que se produce una exposición excesiva de datos es porque los desarrolladores y codificadores no tienen suficiente conocimiento del tipo de datos que utilizarán sus aplicaciones. Por ello, los desarrolladores tienden a utilizar procesos genéricos en los que todas las propiedades de los objetos están expuestas a los usuarios finales.
Los desarrolladores también asumen a veces que los componentes del frontend realizarán el filtrado de datos antes de mostrar cualquier información a los usuarios. Para la mayoría de los datos genéricos, esto no suele ser un problema. Pero exponer datos legalmente protegidos o sensibles a los usuarios como parte de un identificador de sesión, por ejemplo, puede llevar a grandes problemas tanto desde el punto de vista de la seguridad como del legal.
Como ejemplo de la facilidad con la que los datos sensibles pueden ser compartidos accidentalmente, el informe de OWASP prevé un escenario en el que un guardia de seguridad tiene acceso a cámaras específicas basadas en el IoT en una instalación. Tal vez esas cámaras vigilan áreas selladas y seguras, mientras que otras cámaras que ven a las personas se supone que están restringidas a los guardias o supervisores con permisos superiores.
Para que el vigilante tenga acceso a las cámaras autorizadas, los desarrolladores pueden utilizar una llamada a la API como la siguiente.
/api/sites/111/cámaras
En respuesta, la aplicación enviaría detalles sobre las cámaras que el guardia puede ver en el siguiente formato:
{ "id":"xxx","live_access_token":"xxxxbbbbb","building_id":"yyy"}
A primera vista, esto parece funcionar bien. El vigilante, que utiliza la interfaz gráfica de usuario de la aplicación, sólo vería las imágenes de las cámaras que está autorizado a ver. El problema es que, debido al código genérico utilizado, la respuesta real de la API contendría una lista completa de todas las cámaras de las instalaciones. Cualquiera que husmee en la red y capture esos datos, o comprometa la cuenta del guardia, podría descubrir la ubicación y la nomenclatura de todas las cámaras de la red. Entonces podría acceder a esos datos sin restricciones.
Eliminación de la exposición excesiva de datos
La mayor clave para evitar la exposición excesiva de datos es la comprensión de los datos y las protecciones que los rodean. Crear APIs genéricas y dejar en manos del cliente la ordenación de los datos antes de mostrarlos a los usuarios es una opción peligrosa que da lugar a muchos fallos de seguridad evitables.
Además de entender las protecciones de datos relevantes, también es importante detener el proceso de enviar todo a un usuario con APIs genéricas. Por ejemplo, hay que evitar códigos como to_json() y to_string(). En su lugar, el código debe escoger específicamente las propiedades que deben ser devueltas a los usuarios autorizados y enviar exclusivamente esa información.
Como forma de garantizar que no se compartan accidentalmente datos protegidos, las organizaciones deberían considerar la implementación de un mecanismo de validación de respuestas basado en esquemas como una capa adicional de seguridad. Debería definir y hacer cumplir los datos que devuelven todos los métodos de la API, incluidas las reglas de notificación de errores.
Por último, todos los datos clasificados como PII o PCI, o la información que está protegida por las regulaciones como GDPR o HIPAA deben ser protegidos utilizando un cifrado fuerte. De esta manera, incluso si la ubicación de esos datos se escapa como parte de una vulnerabilidad de exposición de datos excesiva, hay una buena línea de defensa secundaria que debería proteger los datos incluso si caen en manos de un usuario malicioso o un actor de amenaza.
Consulte las páginas del Secure Code Warrior para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otros fallos de seguridad. También puede probar una demostración de la plataforma de formación Secure Code Warrior para mantener todos sus conocimientos de ciberseguridad perfeccionados y actualizados.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
