程序员征服安全:分享与学习系列-NoSQL 注入
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
