Doki 之死:一个新的 Docker 漏洞,存在严重问题(以及你可以做些什么)
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
