专家访谈:奥斯卡·昆塔斯的《基础设施即代码》
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
