高级安全情报:指导课程帮助开发人员为 NIST 做好准备
最近,网络安全行业出现了一些非常可喜的动向。看来许多组织对尽早在软件构建中优先考虑安全性的情绪已开始改善。再加上官方措施,例如 拜登关于网络安全的行政命令,已经明确表示,每个人都需要尽自己的一份力量来确保软件安全和数据安全。特别令人兴奋的是,围绕开发人员在维护安全编码标准方面的作用的讨论仍在继续发展,即使在政府层面也是如此。
但是,对话中缺少了一些东西。该行政命令表明 开发人员需要经过验证的安全技能,但目前还没有这样的官方认证。许多公司仍然遵循以下原则 NIST (他们在回应EO时提供了更新的指导方针),以寻求合规性和更高的软件安全标准,但是如果我们正在考虑大幅减少漏洞,同时采用正确的工具并保持发布速度的策略,那么大多数策略都过于笼统,无法产生预期的结果。这就是许多公司摆脱困境的地方,坚持有限的开发人员培训,或者没有在总体基础上再接再厉,使他们掌握实用的动手技能。
具有安全意识的开发人员不是一成不变的,但是使用正确的工具可以更快地培育和提升他们。为此,我们很高兴地宣布我们自己的专有产品 课程 根据美国政府行政命令的指导方针,遵循NIST的要求。
为开发人员提供有意义的代码级支持
使用行政命令关键(EO 关键)软件的 NIST 指南 这里,我们制定了课程以实现五个关键目标,这五个关键目标最终将提高政府最高层使用的重要软件的安全性,理想情况下,应该从头开始作为更高质量发展的基准。
要想在开发团队中实现真正的突破,任何技能提升都必须超越理论,而且其实施方式不会导致在工作和培训之间不断切换情境以寻找答案并保持敏捷性。细致的安全措施(更不用说安全团队了)被视为按时开发冲刺的障碍,并严重限制了以功能为中心的普通工程师的风格。
根据开发者需求量身定制的简短、可作为零食的微学习获得的欢迎远不那么冷淡,从而培养出令人难忘的实用技能。
看看我们是如何为 NIST 课程设计的:
目标 1:保护 EO 关键软件和 EO 关键软件平台免受未经授权的访问和使用。
攻击者依靠安全配置错误和不当的身份验证做法来成功渗透系统、接管帐户和窃取数据。它们是一个常见的错误,如果成功利用,可能会导致巨大的问题。
在 安全代码勇士学习平台,开发人员可以根据真实世界的代码片段进行挑战,这些代码片段准确反映了这些错误在日常工作中的出现,并让他们找到准确的解决方案来保护它们。对于开发运营工程师来说,保护基础设施需要细致的访问控制配置,在Terraform、CloudFormation和Ansible等基础设施即代码(IaC)语言以及Docker和Kubernetes中使用的代码中,要满足这一要求存在特殊的挑战。
目标 2:保护 EO 关键软件和 EO 关键软件平台所用数据的机密性、完整性和可用性。
为实现这一目标,所有道路都通向出入控制。最近,受损的访问控制取代了注入漏洞,成为该领域的头等大事 OWASP 2021 年前 10 名,这是一个严重的错误,需要具有安全意识的开发人员的技能才能尽早发现和修复。
该课程涉及诸如代码级别的最小权限之类的概念,并帮助灌输一种最佳实践,将用户帐户的访问权限限制在必要区域内的方法。
目标 3:确定并维护环境关键软件平台和部署到这些平台的软件,以保护环境关键软件免受攻击。
大型组织面临的最大挑战之一是对当前使用的所有不同软件、系统和组件进行安全监督。在风险管理和补丁方面,这些要素必须是任何安全程序的优先事项,开发人员必须处于高度戒备状态以进行安全维护。
在 Secure Code Warrior 学习平台上,开发人员可以挑战这些挑战,帮助他们识别和修复易受攻击的组件,以及基于权限的安全配置错误。
目标 4:快速检测、应对涉及 EO 关键软件和 EO 关键软件平台的威胁和事件,并从中恢复。
不幸的是,许多组织在处理网络安全问题时仍然专注于事件响应而不是预防,这很不幸(也是在浪费时间和金钱)。这是一种我们正在努力改变的文化,开发人员在接受过适当的安全最佳实践培训后,将掌控提供预防性火力。
目标 4 要求开发人员根据其职责在软件和网络层面持续监控其环境和端点的安全性。记录和监控不足是另一个常见的阴险错误,工程师能够在日常任务中成功解决这个问题至关重要。
在 Secure Code Warrior 学习平台上,开发人员可以通过挑战来磨练这些技能,无论是使用 Web、API 还是云语言。
安全意识与可持续性。
目标5:加强对人类行为的理解和表现,以促进关键环境软件和环境关键软件平台的安全。
这个目标很笼统,但它是最重要的... 如果不掌握前四个目标,你就无法做到这一点。该指南要求经常开展安全意识活动,所有有关环境关键软件的 “人为行动” 都应由在其角色和职责范围内接受过适当培训的人执行。
除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。
开始添加 以您的开发团队今天的经验值和安全智商为例。
除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
最近,网络安全行业出现了一些非常可喜的动向。看来许多组织对尽早在软件构建中优先考虑安全性的情绪已开始改善。再加上官方措施,例如 拜登关于网络安全的行政命令,已经明确表示,每个人都需要尽自己的一份力量来确保软件安全和数据安全。特别令人兴奋的是,围绕开发人员在维护安全编码标准方面的作用的讨论仍在继续发展,即使在政府层面也是如此。
但是,对话中缺少了一些东西。该行政命令表明 开发人员需要经过验证的安全技能,但目前还没有这样的官方认证。许多公司仍然遵循以下原则 NIST (他们在回应EO时提供了更新的指导方针),以寻求合规性和更高的软件安全标准,但是如果我们正在考虑大幅减少漏洞,同时采用正确的工具并保持发布速度的策略,那么大多数策略都过于笼统,无法产生预期的结果。这就是许多公司摆脱困境的地方,坚持有限的开发人员培训,或者没有在总体基础上再接再厉,使他们掌握实用的动手技能。
具有安全意识的开发人员不是一成不变的,但是使用正确的工具可以更快地培育和提升他们。为此,我们很高兴地宣布我们自己的专有产品 课程 根据美国政府行政命令的指导方针,遵循NIST的要求。
为开发人员提供有意义的代码级支持
使用行政命令关键(EO 关键)软件的 NIST 指南 这里,我们制定了课程以实现五个关键目标,这五个关键目标最终将提高政府最高层使用的重要软件的安全性,理想情况下,应该从头开始作为更高质量发展的基准。
要想在开发团队中实现真正的突破,任何技能提升都必须超越理论,而且其实施方式不会导致在工作和培训之间不断切换情境以寻找答案并保持敏捷性。细致的安全措施(更不用说安全团队了)被视为按时开发冲刺的障碍,并严重限制了以功能为中心的普通工程师的风格。
根据开发者需求量身定制的简短、可作为零食的微学习获得的欢迎远不那么冷淡,从而培养出令人难忘的实用技能。
看看我们是如何为 NIST 课程设计的:
目标 1:保护 EO 关键软件和 EO 关键软件平台免受未经授权的访问和使用。
攻击者依靠安全配置错误和不当的身份验证做法来成功渗透系统、接管帐户和窃取数据。它们是一个常见的错误,如果成功利用,可能会导致巨大的问题。
在 安全代码勇士学习平台,开发人员可以根据真实世界的代码片段进行挑战,这些代码片段准确反映了这些错误在日常工作中的出现,并让他们找到准确的解决方案来保护它们。对于开发运营工程师来说,保护基础设施需要细致的访问控制配置,在Terraform、CloudFormation和Ansible等基础设施即代码(IaC)语言以及Docker和Kubernetes中使用的代码中,要满足这一要求存在特殊的挑战。
目标 2:保护 EO 关键软件和 EO 关键软件平台所用数据的机密性、完整性和可用性。
为实现这一目标,所有道路都通向出入控制。最近,受损的访问控制取代了注入漏洞,成为该领域的头等大事 OWASP 2021 年前 10 名,这是一个严重的错误,需要具有安全意识的开发人员的技能才能尽早发现和修复。
该课程涉及诸如代码级别的最小权限之类的概念,并帮助灌输一种最佳实践,将用户帐户的访问权限限制在必要区域内的方法。
目标 3:确定并维护环境关键软件平台和部署到这些平台的软件,以保护环境关键软件免受攻击。
大型组织面临的最大挑战之一是对当前使用的所有不同软件、系统和组件进行安全监督。在风险管理和补丁方面,这些要素必须是任何安全程序的优先事项,开发人员必须处于高度戒备状态以进行安全维护。
在 Secure Code Warrior 学习平台上,开发人员可以挑战这些挑战,帮助他们识别和修复易受攻击的组件,以及基于权限的安全配置错误。
目标 4:快速检测、应对涉及 EO 关键软件和 EO 关键软件平台的威胁和事件,并从中恢复。
不幸的是,许多组织在处理网络安全问题时仍然专注于事件响应而不是预防,这很不幸(也是在浪费时间和金钱)。这是一种我们正在努力改变的文化,开发人员在接受过适当的安全最佳实践培训后,将掌控提供预防性火力。
目标 4 要求开发人员根据其职责在软件和网络层面持续监控其环境和端点的安全性。记录和监控不足是另一个常见的阴险错误,工程师能够在日常任务中成功解决这个问题至关重要。
在 Secure Code Warrior 学习平台上,开发人员可以通过挑战来磨练这些技能,无论是使用 Web、API 还是云语言。
安全意识与可持续性。
目标5:加强对人类行为的理解和表现,以促进关键环境软件和环境关键软件平台的安全。
这个目标很笼统,但它是最重要的... 如果不掌握前四个目标,你就无法做到这一点。该指南要求经常开展安全意识活动,所有有关环境关键软件的 “人为行动” 都应由在其角色和职责范围内接受过适当培训的人执行。
除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。
开始添加 以您的开发团队今天的经验值和安全智商为例。
最近,网络安全行业出现了一些非常可喜的动向。看来许多组织对尽早在软件构建中优先考虑安全性的情绪已开始改善。再加上官方措施,例如 拜登关于网络安全的行政命令,已经明确表示,每个人都需要尽自己的一份力量来确保软件安全和数据安全。特别令人兴奋的是,围绕开发人员在维护安全编码标准方面的作用的讨论仍在继续发展,即使在政府层面也是如此。
但是,对话中缺少了一些东西。该行政命令表明 开发人员需要经过验证的安全技能,但目前还没有这样的官方认证。许多公司仍然遵循以下原则 NIST (他们在回应EO时提供了更新的指导方针),以寻求合规性和更高的软件安全标准,但是如果我们正在考虑大幅减少漏洞,同时采用正确的工具并保持发布速度的策略,那么大多数策略都过于笼统,无法产生预期的结果。这就是许多公司摆脱困境的地方,坚持有限的开发人员培训,或者没有在总体基础上再接再厉,使他们掌握实用的动手技能。
具有安全意识的开发人员不是一成不变的,但是使用正确的工具可以更快地培育和提升他们。为此,我们很高兴地宣布我们自己的专有产品 课程 根据美国政府行政命令的指导方针,遵循NIST的要求。
为开发人员提供有意义的代码级支持
使用行政命令关键(EO 关键)软件的 NIST 指南 这里,我们制定了课程以实现五个关键目标,这五个关键目标最终将提高政府最高层使用的重要软件的安全性,理想情况下,应该从头开始作为更高质量发展的基准。
要想在开发团队中实现真正的突破,任何技能提升都必须超越理论,而且其实施方式不会导致在工作和培训之间不断切换情境以寻找答案并保持敏捷性。细致的安全措施(更不用说安全团队了)被视为按时开发冲刺的障碍,并严重限制了以功能为中心的普通工程师的风格。
根据开发者需求量身定制的简短、可作为零食的微学习获得的欢迎远不那么冷淡,从而培养出令人难忘的实用技能。
看看我们是如何为 NIST 课程设计的:
目标 1:保护 EO 关键软件和 EO 关键软件平台免受未经授权的访问和使用。
攻击者依靠安全配置错误和不当的身份验证做法来成功渗透系统、接管帐户和窃取数据。它们是一个常见的错误,如果成功利用,可能会导致巨大的问题。
在 安全代码勇士学习平台,开发人员可以根据真实世界的代码片段进行挑战,这些代码片段准确反映了这些错误在日常工作中的出现,并让他们找到准确的解决方案来保护它们。对于开发运营工程师来说,保护基础设施需要细致的访问控制配置,在Terraform、CloudFormation和Ansible等基础设施即代码(IaC)语言以及Docker和Kubernetes中使用的代码中,要满足这一要求存在特殊的挑战。
目标 2:保护 EO 关键软件和 EO 关键软件平台所用数据的机密性、完整性和可用性。
为实现这一目标,所有道路都通向出入控制。最近,受损的访问控制取代了注入漏洞,成为该领域的头等大事 OWASP 2021 年前 10 名,这是一个严重的错误,需要具有安全意识的开发人员的技能才能尽早发现和修复。
该课程涉及诸如代码级别的最小权限之类的概念,并帮助灌输一种最佳实践,将用户帐户的访问权限限制在必要区域内的方法。
目标 3:确定并维护环境关键软件平台和部署到这些平台的软件,以保护环境关键软件免受攻击。
大型组织面临的最大挑战之一是对当前使用的所有不同软件、系统和组件进行安全监督。在风险管理和补丁方面,这些要素必须是任何安全程序的优先事项,开发人员必须处于高度戒备状态以进行安全维护。
在 Secure Code Warrior 学习平台上,开发人员可以挑战这些挑战,帮助他们识别和修复易受攻击的组件,以及基于权限的安全配置错误。
目标 4:快速检测、应对涉及 EO 关键软件和 EO 关键软件平台的威胁和事件,并从中恢复。
不幸的是,许多组织在处理网络安全问题时仍然专注于事件响应而不是预防,这很不幸(也是在浪费时间和金钱)。这是一种我们正在努力改变的文化,开发人员在接受过适当的安全最佳实践培训后,将掌控提供预防性火力。
目标 4 要求开发人员根据其职责在软件和网络层面持续监控其环境和端点的安全性。记录和监控不足是另一个常见的阴险错误,工程师能够在日常任务中成功解决这个问题至关重要。
在 Secure Code Warrior 学习平台上,开发人员可以通过挑战来磨练这些技能,无论是使用 Web、API 还是云语言。
安全意识与可持续性。
目标5:加强对人类行为的理解和表现,以促进关键环境软件和环境关键软件平台的安全。
这个目标很笼统,但它是最重要的... 如果不掌握前四个目标,你就无法做到这一点。该指南要求经常开展安全意识活动,所有有关环境关键软件的 “人为行动” 都应由在其角色和职责范围内接受过适当培训的人执行。
除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。
开始添加 以您的开发团队今天的经验值和安全智商为例。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
最近,网络安全行业出现了一些非常可喜的动向。看来许多组织对尽早在软件构建中优先考虑安全性的情绪已开始改善。再加上官方措施,例如 拜登关于网络安全的行政命令,已经明确表示,每个人都需要尽自己的一份力量来确保软件安全和数据安全。特别令人兴奋的是,围绕开发人员在维护安全编码标准方面的作用的讨论仍在继续发展,即使在政府层面也是如此。
但是,对话中缺少了一些东西。该行政命令表明 开发人员需要经过验证的安全技能,但目前还没有这样的官方认证。许多公司仍然遵循以下原则 NIST (他们在回应EO时提供了更新的指导方针),以寻求合规性和更高的软件安全标准,但是如果我们正在考虑大幅减少漏洞,同时采用正确的工具并保持发布速度的策略,那么大多数策略都过于笼统,无法产生预期的结果。这就是许多公司摆脱困境的地方,坚持有限的开发人员培训,或者没有在总体基础上再接再厉,使他们掌握实用的动手技能。
具有安全意识的开发人员不是一成不变的,但是使用正确的工具可以更快地培育和提升他们。为此,我们很高兴地宣布我们自己的专有产品 课程 根据美国政府行政命令的指导方针,遵循NIST的要求。
为开发人员提供有意义的代码级支持
使用行政命令关键(EO 关键)软件的 NIST 指南 这里,我们制定了课程以实现五个关键目标,这五个关键目标最终将提高政府最高层使用的重要软件的安全性,理想情况下,应该从头开始作为更高质量发展的基准。
要想在开发团队中实现真正的突破,任何技能提升都必须超越理论,而且其实施方式不会导致在工作和培训之间不断切换情境以寻找答案并保持敏捷性。细致的安全措施(更不用说安全团队了)被视为按时开发冲刺的障碍,并严重限制了以功能为中心的普通工程师的风格。
根据开发者需求量身定制的简短、可作为零食的微学习获得的欢迎远不那么冷淡,从而培养出令人难忘的实用技能。
看看我们是如何为 NIST 课程设计的:
目标 1:保护 EO 关键软件和 EO 关键软件平台免受未经授权的访问和使用。
攻击者依靠安全配置错误和不当的身份验证做法来成功渗透系统、接管帐户和窃取数据。它们是一个常见的错误,如果成功利用,可能会导致巨大的问题。
在 安全代码勇士学习平台,开发人员可以根据真实世界的代码片段进行挑战,这些代码片段准确反映了这些错误在日常工作中的出现,并让他们找到准确的解决方案来保护它们。对于开发运营工程师来说,保护基础设施需要细致的访问控制配置,在Terraform、CloudFormation和Ansible等基础设施即代码(IaC)语言以及Docker和Kubernetes中使用的代码中,要满足这一要求存在特殊的挑战。
目标 2:保护 EO 关键软件和 EO 关键软件平台所用数据的机密性、完整性和可用性。
为实现这一目标,所有道路都通向出入控制。最近,受损的访问控制取代了注入漏洞,成为该领域的头等大事 OWASP 2021 年前 10 名,这是一个严重的错误,需要具有安全意识的开发人员的技能才能尽早发现和修复。
该课程涉及诸如代码级别的最小权限之类的概念,并帮助灌输一种最佳实践,将用户帐户的访问权限限制在必要区域内的方法。
目标 3:确定并维护环境关键软件平台和部署到这些平台的软件,以保护环境关键软件免受攻击。
大型组织面临的最大挑战之一是对当前使用的所有不同软件、系统和组件进行安全监督。在风险管理和补丁方面,这些要素必须是任何安全程序的优先事项,开发人员必须处于高度戒备状态以进行安全维护。
在 Secure Code Warrior 学习平台上,开发人员可以挑战这些挑战,帮助他们识别和修复易受攻击的组件,以及基于权限的安全配置错误。
目标 4:快速检测、应对涉及 EO 关键软件和 EO 关键软件平台的威胁和事件,并从中恢复。
不幸的是,许多组织在处理网络安全问题时仍然专注于事件响应而不是预防,这很不幸(也是在浪费时间和金钱)。这是一种我们正在努力改变的文化,开发人员在接受过适当的安全最佳实践培训后,将掌控提供预防性火力。
目标 4 要求开发人员根据其职责在软件和网络层面持续监控其环境和端点的安全性。记录和监控不足是另一个常见的阴险错误,工程师能够在日常任务中成功解决这个问题至关重要。
在 Secure Code Warrior 学习平台上,开发人员可以通过挑战来磨练这些技能,无论是使用 Web、API 还是云语言。
安全意识与可持续性。
目标5:加强对人类行为的理解和表现,以促进关键环境软件和环境关键软件平台的安全。
这个目标很笼统,但它是最重要的... 如果不掌握前四个目标,你就无法做到这一点。该指南要求经常开展安全意识活动,所有有关环境关键软件的 “人为行动” 都应由在其角色和职责范围内接受过适当培训的人执行。
除了安全配置和访问控制外,开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养,要达到NIST概述的高标准,动手实践课程结构可能只是解决这个问题的有效方法,尤其是对于大型开发团队而言。
开始添加 以您的开发团队今天的经验值和安全智商为例。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
