OWASP 的 2021 年名单洗牌:新的战斗计划和主要敌人
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
