2022年我们不能忽视的网络安全问题
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
