Perspectivas sobre el código de seguridad

Cada pocos años, el mundo de la seguridad vive un momento que replantea la conversación. La publicación del OWASP Top 10: Edición 2025 es uno de esos momentos. Es la primera actualización importante desde 2021 y, aunque muchos de los sospechosos habituales siguen en la lista, la nueva estructura pone de relieve los riesgos a los que se enfrentan los equipos de software modernos. Pensemos en el caos de las dependencias, los sistemas distribuidos complejos y el papel cada vez más importante que desempeña la IA en la forma de escribir y desplegar el código.

Dos áreas en particular destacan en la lista de 2025: Fallos en la cadena de suministro de software y mala gestión de condiciones excepcionales. Ambas reflejan la realidad de que los desarrolladores ya no crean aplicaciones en entornos ordenados y aislados. Trabajan con bibliotecas de terceros, gestores de paquetes, API, servicios distribuidos y herramientas de IA que generan código para ellos. Los equipos de desarrollo son conscientes desde hace tiempo de que cuando se producen problemas o estados de error inesperados, el impacto puede producirse rápidamente en cascada. El reconocimiento de esta realidad por parte de OWASP confirma lo que los equipos han experimentado durante años.

Secure Code Warrior ha alineado completamente la plataforma con OWASP Top 10 2025, y queremos que esta transición sea lo más suave y práctica posible. A continuación se muestra lo que hemos actualizado, por qué es importante y cómo los equipos pueden empezar a utilizar el nuevo material hoy mismo.

Por qué es importante esta actualización

La revisión del Top 10 2025 de OWASP es más que un cambio de categoría. Reconoce las realidades del panorama actual del desarrollo, incluidos los modernos patrones de autenticación, las cadenas de dependencia, las arquitecturas distribuidas y la creciente influencia del código generado por IA. Estos cambios refuerzan la necesidad de que los desarrolladores adquieran habilidades prácticas y reales para identificar y prevenir problemas en una fase temprana. 

Aquí es donde el contenido OWASP actualizado de Secure Code Warriorresulta esencial. Temas como la exposición de la cadena de suministro, la gestión segura de errores y el riesgo de automatización requieren práctica, no teoría. Las búsquedas actualizadas de SCW, los temas sobre vulnerabilidades, el contenido autodidáctico de Learn y los Courses hacen que ese conocimiento sea accesible y práctico, dando a los desarrolladores la oportunidad de desarrollar una capacidad real en los lenguajes y marcos de trabajo que utilizan a diario.

Secure Code Warrior se lo pone fácil

La estructura OWASP Top 10 2025 está ahora entretejida en toda la experiencia de aprendizaje SCW, esto incluye actualizaciones a través de Quests, Vulnerability Topics, contenido a su propio ritmo en Learn, Courses, y el marco SCW Trust ^Score®. Los desarrolladores ahora aprenden las habilidades de OWASP Top 10 2025 de forma natural en el contexto de su lenguaje web, y los líderes pueden medir la capacidad utilizando el estándar más actual.

Cuestiones y temas de vulnerabilidad 

Una de las mayores ventajas de SCW es que OWASP ya está integrado en el núcleo de nuestras Quest basadas en vulnerabilidades. El nuevo Top 10 de OWASP está ahora integrado directamente en los estándares que dan forma a todos los objetivos de las Quest. Esto significa:

• Cada Quest en lenguaje web que utilizaba el estándar OWASP Top 10 2021 utiliza ahora el OWASP Top 10 2025 actualizado en su estructura
• Los objetivos Top 3, Top 5 y Top 10 Vulnerability Quest se extraerán automáticamente del OWASP Web Top 10 de 2025 para todos los lenguajes web pertinentes.
• Utilizamos las 10 normas principales de OWASP y otras normas clave del sector, como CERT-C, para garantizar que la formación de los desarrolladores contenga los temas más relevantes e importantes para los lenguajes y marcos de trabajo que utilizan.

Courses y más 

Todas las misiones y Courses relacionados con OWASP se han actualizado y reorganizado para adaptarse a la nueva estructura. También se ha actualizado el contenido de autoaprendizaje en Learn. El orden de los módulos, la terminología y el mapeo de categorías se han actualizado para que los desarrolladores reciban una orientación clara y precisa que se alinee con el estándar 2025. 

SCW Trust ^Score 

La puntuación de confianza de SCW refleja ahora la capacidad y el progreso de los desarrolladores dentro de la estructura actualizada de las categorías Top 10 2025 de OWASP. Es posible que los clientes vean pequeños ajustes en las puntuaciones de los desarrolladores Full Stack como parte de esta alineación. Esto es lo esperado y garantiza que Trust Score siga siendo preciso, actual y alineado con la taxonomía OWASP Top 10 2025.

Avanzar con OWASP Top 10 2025

La actualización OWASP Top 10 2025 es un hito importante para la industria. OWASP ha creado una estructura que refleja mejor cómo se construye el software hoy en día, y Secure Code Warrior se enorgullece de apoyar a los equipos a adoptarla rápidamente y con confianza. Todas las actualizaciones de Quests, Vulnerability Topics, Courses y Trust Score ya están aplicadas en la plataforma. Sus desarrolladores disponen ahora del contenido, la orientación y la estructura necesarios para crear software más seguro, y sus equipos de liderazgo disponen de la información necesaria para realizar un seguimiento de la capacidad con respecto al estándar global más reciente.

Si desea orientación sobre cómo implementar estas actualizaciones en sus programas existentes, su representante Secure Code Warrior o su Gestor de Éxito de Clientes están preparados para ayudarle. Pueden explicarle qué ha cambiado, cómo afecta a sus equipos y las mejores formas de aprovechar al máximo el nuevo contenido de OWASP Top 10 2025.

Adoptar un enfoque proactivo para proteger su software requiere que se mantenga a la vanguardia de las últimas normas y requisitos de cumplimiento. Después de todo, el panorama de la ciberseguridad está en constante movimiento con nuevas amenazas y vulnerabilidades, especialmente a medida que surgen nuevas tecnologías. Nunca ha sido esto más cierto que hoy, cuando nos encontramos colectivamente en un punto de inflexión de la IA en el que parecen surgir nuevas evoluciones y casos de uso cada día. 

Para hacer frente a estos retos, la Fundación OWASP ha publicado recientemente su versión actualizada del OWASP Top 10 for Large Language Model (LLM) Applications, que pretende informar a los desarrolladores, arquitectos y otros contribuyentes a la entrega de software de los riesgos potenciales a la hora de desplegar LLMs y aplicaciones de IA Generativa. Y en Secure Code Warrior nos complace anunciar que los cambios y actualizaciones de esta última versión ya están implementados y disponibles en nuestro código seguro learning platform. Con estos nuevos materiales disponibles y actualizados, todos nuestros usuarios pueden mantenerse a la vanguardia de la mitigación de riesgos al utilizar LLMs.

Novedades de esta actualización

OWASP ha eliminado dos elementos de su anterior Top 10:

• Diseño inseguro de plugins - que se refiere a cómo los LLM interactúan con los plugins y cómo los plugins interactúan con el almacenamiento externo o los servicios. 
• Robo de modelos: se refiere a la reproducción o adquisición no autorizada de modelos de aprendizaje automático o sistemas de IA.

De acuerdo con las versiones anteriores del Top 10 de OWASP, Secure Code Warrior tenía directrices asociadas a estas vulnerabilidades como parte de nuestro curso Top 10 de LLM. Estas Guías, que proveen información digerible sobre vulnerabilidades y conceptos de seguridad en un formato fácil de entender y leer, han sido removidas del currículum del Curso. Sin embargo, las directrices siguen estando disponibles en Explore, junto con el resto del material didáctico que ofrecemos. 

Manteniendo su Top 10 en un 10 oficial, OWASP ha añadido dos nuevos elementos:

• Filtración de avisos del sistema : cuando los avisos que guían el comportamiento de un modelo, normalmente ocultos, quedan expuestos a los usuarios.
• Vectorización e incrustación : pueden exponer información específica, exclusiva o en tiempo real que no está disponible públicamente.

Las directrices para estas vulnerabilidades han sido añadidas al Curso LLM Top 10, y al igual que las directrices que fueron eliminadas, estas dos también están accesibles en Explore para los usuarios que quieran aprovechar el aprendizaje a su propio ritmo.

Por último, OWASP también ha realizado algunos cambios en las categorías de vulnerabilidades existentes en su lista, renombrando algunas categorías para que sean más amplias o específicas, y modificando sus definiciones. Nuestras directrices sobre estos temas se han actualizado para reflejar tanto los cambios menores de la guía de OWASP como las nuevas convenciones de nomenclatura. Adicionalmente su listado en orden de prioridad ha sido actualizado para coincidir con el orden establecido en el Top 10 de OWASP LLM.

En Secure Code Warrior, nos comprometemos a ayudar a nuestros usuarios a mantenerse a la vanguardia. Con las últimas actualizaciones de OWASP ya reflejadas en nuestro ágil learning platform, hemos facilitado a nuestros usuarios el acceso a materiales de formación actualizados que cubren las vulnerabilidades más actuales y mitigan el riesgo al desplegar tecnologías LLM y Generative AI. Ya sea que esté navegando por las amenazas recientemente introducidas de System Prompt Leakage o Vector and Embedding, o actualizando su comprensión de Misinformation y Unbounded Consumption, nuestra plataforma proporciona los recursos que necesita para dominar estos conceptos críticos mejorando su postura de seguridad.

你知道吗 67% 的开发者承认发布了带有漏洞的代码？想象一下负责建造房屋的建筑工人团队。他们拥有所需的所有材料和工具，但他们正在努力遵循蓝图和建筑规范。结果，他们犯了错误，房屋不是按照代码建造的。

这个比喻可以用来说明开发人员在尝试练习安全编码时面临的挑战。正如建筑工人需要遵循蓝图和建筑法规来确保房屋安全一样，开发人员也需要遵循安全的编码惯例来确保其软件应用程序的安全。

安全编码可能具有挑战性的原因有很多。其中包括：

• 对安全编码实践缺乏认识。 86% 的开发人员表示，他们发现练习安全编码具有挑战性。‍
• 缺乏时间和资源。 在我们的调查中，有24％的受访者表示 “时间不够” 是集成安全代码的最大障碍。‍
• 安全编码的复杂性。 63% 的开发人员认为编写没有漏洞的安全代码很困难。‍
• 过度依赖工具。 57% 的应用程序安全团队在 DevSecOps 生命周期中使用六种或更多工具来发现漏洞。（GitLab，2023)

但是，尽管面临挑战，但安全编码至关重要。通过遵循安全编码惯例，开发人员可以帮助保护其应用程序免受攻击者利用的漏洞的侵害。正如精心建造的房屋不太可能倒塌一样，编码良好的应用程序也不太可能被黑客入侵。

对于想要改善安全编码实践的开发人员，以下是一些技巧：

• 接受有关安全编码的培训和教育。有许多资源可以帮助开发人员了解安全编码实践。
• 使用静态分析工具识别代码中的漏洞。静态分析工具可以帮助识别代码中可能难以手动发现的漏洞。
• 编写易于查看和理解的代码。易于查看和理解的代码更有可能是安全代码。
• 彻底测试代码。测试代码有助于在漏洞被利用之前识别和修复漏洞。

有兴趣了解更多吗？与我们一起解锁开发敏捷安全编码策略的秘密 安全代码学习蓝图。

‍

‍

‍

‍

这篇文章的一个版本出现在 安全大道。它已在此处更新和发布。

今年早些时候，PCI安全标准委员会公布了其支付卡行业数据安全标准（PCI DSS）的4.0版本。尽管组织要到2025年3月才能完全遵守4.0，但此次更新是他们迄今为止最具变革性的更新，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈的元素。除此之外，还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。

对于BFSI领域的公司来说，这是一个千载难逢的机会，可以认真加强其安全计划，开创以人为本的网络弹性的新时代。

为PCI DSS 4.0做好准备的最大挑战是什么？

正如组织的安全计划无所不包，其业务需求和可用资源所独有的复杂性一样，新的 PCI DSS 标准涵盖了很多领域。但是，它们表明，满足安全要求的方法已向灵活性发生了明显的转变，而在工具、威胁、战略和合规措施可以瞬间发生变化的行业中，这一点意义重大。

PCI DSS 4.0 所采用的概念是，有许多方法可以实现密闭安全最佳实践的相同目标。的确如此，但它似乎最适合具有高级安全成熟度且存在大量出错空间的组织，特别是那些在评估其真正的内部安全成熟度时不切实际的组织。归根结底，公司必须做好准备，将安全视为一个持续、不断演变的过程，而不是一次性的 “一劳永逸” 的过程。强有力的安全文化是必不可少的，整个组织都必须致力于提高安全意识。

而且，那些使用代码级工具（开发群组）的人必须能够在任何处理数字资产和交易的商业环境中提供合规、安全的软件。

您的开发人员准备好交付合规软件了吗？

开发人员是实现卓越软件安全状态不可或缺的一部分，这不仅与代币 PCI DSS 合规性有关。开发人员必须全面了解 PCI DSS 4.0 可以控制的内容，并将其作为默认软件构建方法的一部分进行集成。

三个关键领域代表了与开发团队最相关的变化，可以细分如下：

• 身份验证： 可行的访问控制计划一直是PCI合规性的关键部分，但是，4.0版本将其提升了一个档次，需要在内部和外部仔细实施。多因素身份验证 (MFA) 将成为标准，有关密码复杂性和超时的强化规则也将成为标准。
  
  由于身份验证和访问控制安全问题现在是普通开发人员最可能面临的问题，因此必须推出精确的培训，以帮助他们在实际代码中识别和修复这些问题。
  
  
• 加密和密钥管理： 我们在一个可以通过多个接入点（例如我们的网上银行）访问一些最敏感信息的世界中运营。由于这些高价值数据面临风险，必须进行加密和强有力的加密实践。开发人员必须确保掌握有关信息传输地点、用户如何访问信息的最新知识，即使信息落入坏人之手，也要确保威胁行为者无法读取信息。
  
  
• 恶意软件： 在先前的指导方针中，围绕软件防范恶意代码的安全控制措施被称为 “防病毒软件”，但这过于简化了本应采用的多层方法来抵御的不仅仅是病毒。必须在必要时应用反恶意软件解决方案，并且必须进行持续的记录和监控。
  
  开发人员拥有涵盖识别易受攻击组件的学习途径也至关重要，尤其是在大多数代码库至少部分依赖第三方代码的情况下。

对开发人员而言，什么是 “足够” 的培训？

与先前的建议类似，PCI DSS 4.0提议每年 “至少” 对开发人员进行培训。但是，如果这意味着每年一次足以作为安全软件创建的接触点，那么这还远远不够，也不太可能产生更安全、合规的软件。

开发者教育应从OWASP Top 10中的基础教育开始，以及任何其他与语言相关且业务关键的漏洞。这应该成为正在进行的计划的一部分，以期继续在这些技能的基础上再接再厉，将安全性从一开始就嵌入到软件开发中，还要嵌入到他们的思维方式和工作方法中。此外，开发团队及其经理必须明确角色和责任。安全应该是一项共同的责任，但只有记录期望并确保可以正确满足这些期望才是公平的。

有了为PCI DSS 4.0合规做准备的准备时间，就有可能在组织范围内改善安全文化方面取得一些重大进展，这为发展有史以来最具安全意识的开发群体提供了肥沃的土壤。

‍

在 Secure Code Warrior，我们不断创新，帮助开发人员和组织掌握正确的技能，以应对当今不断变化的安全挑战。我们通过高度引人入胜、灵活且易于管理的安全代码支持来实现这一目标。

在投资技术堆栈或其他培训计划时，每个人都希望获得丰厚的投资回报。但是，在安全方面，你需要玩一个漫长的游戏。投资开发人员驱动的安全性不仅可以降低代价高昂的漏洞、生产力损失和累积的技术债务的风险，还可以制定积极且具有成本效益的策略，以保持当今威胁形势的领先地位。

在过去的一个季度中，Secure Core Warriors实施了新的编码实验室学习方式，现在所有Secure Code Warrior客户都可以使用该方法。我们很高兴地宣布对参与管理和课程版本控制进行了改进，并且我们创建了新的课程活动，例如指南！

¡Profundicemos más en el tema!

Ampliar la amplitud y profundidad de la plataforma SCW.

Secure Code Warrior对新内容的持续扩展有助于保持我们的模块的相关性、及时性，并根据您在当今网络安全环境中需要了解的内容量身定制。凭借业界领先的 55 种语言的广度和深度，可以轻松构建和扩展用于培训开发人员使用多种语言和框架的程序。

课程中提供的编码指南

新增的指南为开发人员提供了情境式和自定进度的学习，主要涵盖安全缓解措施。指南比视频更深入，侧重于特定的语言或框架。其他基于进攻的活动，例如挑战、任务和演练，已经要求开发人员了解漏洞。我们制定了指导方针，从防御角度补充这些活动。

开发者可以通读课程中的指南，管理员可以在课程模板中使用这些指南。指南涵盖了 OWASP 2021 年 Top 10 中列出的漏洞，并包含 C#、Java、JavaScript、Python、伪代码和 PHP 中的代码片段。

全新挑战内容

Secure Code Warrior 会定期更新并提出与组织需求相关、及时且量身定制的新挑战。我们很高兴地宣布，以下版本提供了更多挑战：

• Dart: Flutter-一种移动语言，用于在 Android 和 iOS 上构建流畅的跨平台应用程序
• Terraform：GCP-谷歌云提供的一种基础设施即代码开发语言。

开发人员可以分析代码，发现漏洞，并运用批判性思维来选择最佳的安全实现来防止列出的漏洞。

即将推出：新的前端开发者内容

前端开发人员也需要安全的代码支持！这就是我们将在任务和演练中发布更多前端漏洞的原因。前端开发者还可以在课程中访问前端特定任务。

这些更新力求全面涵盖前端特定的漏洞，从基于 DOM 的 XSS 等常见漏洞到 CSS 注入等不太常见的漏洞。

分步演练将为前端开发人员提供有关如何利用漏洞的可信指导。高级开发者还可以在锦标赛的前端任务中测试自己的技能。

简化管理员和开发人员体验

现在，通过对平台的关键可用性进行了改进，配置可扩展且引人入胜的安全代码教育计划比以往任何时候都更加容易。

‍

课程版本控制、存档和参与管理

现在，通过编辑现有计划的新方法来满足组织项目不断变化的需求。课程版本控制允许管理员编辑其现有课程，而无需创建全新的课程。管理员还可以删除未注册任何开发者的测试课程或相关课程，帮助他们整理档案。

此外，在课程管理页面上应用其他过滤器的功能将使管理员更容易向下筛选他们想要学习的课程。课程可以按多种属性进行筛选，例如课程状态、结束日期和已注册的团队。例如，管理员可以轻松找到所有有时间限制的课程，附上课程结束评估，或者课程是否处于草稿或预览阶段。

除了对课程进行版本控制和筛选外，管理员现在还可以批量重新邀请课程参与者，并根据需要将其从课程中删除。这为管理员提供了一个一键式解决方案，可以重新邀请处于 “受邀者” 状态的开发人员，从而节省了宝贵的时间和精力来提醒他们重返平台并开始学习！

‍

这是本季度新功能的总结！关注 推特上的安全代码勇士 获取有关最新版本和改进的更新。

有兴趣试用 Secure Code Warrior 但还没有账号吗？注册参加 免费试用账户 今天就开始吧。

En esta ocasión anual tan festiva para los profesionales de la ciberseguridad, el Mes Nacional de la Concienciación sobre la C iberseguridad es un momento que muchas empresas utilizan para reflexionar y evaluar el ritmo general de la concienciación sobre la seguridad en toda la organización. Y con el 62% de las empresas que experimentaron un ataque de phishing o ingeniería social solo en 2018, no se puede exagerar la importancia de garantizar que cada individuo en la empresa, ya sea en un papel de seguridad o no, tenga una formación adecuada de concienciación sobre la ciberseguridad.

Como evento cada vez más global, el mes representa un punto de encuentro para discutir las mejores prácticas, y las iniciativas son deliberadamente superficiales. Sin embargo, incluso las organizaciones con sólidos programas de seguridad y especialistas internos pueden aprovechar este momento para evaluar a los equipos más técnicos en cuanto a lo que necesitan para ser más conscientes de la seguridad en el contexto de su función.

Para los especialistas en seguridad de las aplicaciones, los líderes de los equipos de desarrollo y los miembros más expertos en seguridad de la cohorte de ingenieros, puede parecer un poco como si les enseñaran a chupar huevos, pero son estos campeones dentro de la empresa los que pueden llevar la seguridad y la protección a nuevas cotas, en toda la empresa.

Cómo elevar el mes de la concienciación sobre la ciberseguridad

Esta es una oportunidad de oro para que el equipo de seguridad extienda una especie de rama de olivo al equipo de desarrollo, quizás en forma de actividades y programas entre equipos que puedan ayudar a los desarrolladores a sentirse más positivos respecto a la seguridad en el contexto de su trabajo.

Algunas ideas de inicio son:

1. Ayude a los desarrolladores a obtener el apoyo que necesitan para aprender a codificar de forma segura. No disponer de las herramientas adecuadas para el trabajo es una buena manera de justificar el hecho de que una tarea sea demasiado difícil. Si los desarrolladores no tienen la formación y las herramientas adecuadas para considerar la seguridad como una prioridad en el proceso de codificación, no es de extrañar que muchos equipos estén mal equipados para mantener las vulnerabilidades comunes fuera de su código.
   
   Aprovecha este mes para entender qué falta en la pila tecnológica de desarrollo, qué gestores pueden trabajar juntos para mejorar la comunicación y aumentar la visibilidad de la seguridad, y quién puede seguir defendiendo y defendiendo la seguridad en el futuro.
   
2. Organice un evento "Lunch and Learn". Las comunidades de ciberseguridad y desarrollo están, en general, repletas de gente increíblemente generosa que está encantada de compartir su experiencia. Ponte en contacto con los ponentes de las conferencias, los compañeros de tecnología de otras empresas o incluso los capítulos locales de OWASP, y mira quién podría venir a charlar con el equipo o grabar un seminario web con alguien de la organización. Es una ganancia relativamente rápida, y puede ser un gran beneficio para los desarrolladores prometedores para ver diferentes vías de carrera de seguridad en frente de ellos.
   
3. Reúnete para una competición amistosa. Aprender sobre seguridad es mucho más divertido cuando se hace algo un poco diferente y especial. La codificación segura tournaments es una forma estupenda de que los desarrolladores pongan a prueba sus habilidades de codificación segura y compitan con sus compañeros en un entorno de juego. Organiza un concurso de disfraces y sé creativo con los equipos (¿qué tal si los desarrolladores se enfrentan a sus jefes?). Pida pizza y bebidas, y ponga música enérgica, y puede ser un evento para recordar para toda la organización.

Retribuir a la comunidad: Descargue su aplicación gratuita Secure Code Bootcamp

Yo mismo soy desarrollador y siempre hemos buscado lo que podemos compartir y utilizar de forma gratuita. Es un orgullo hacer algún programa gratuito que pueda ayudar a los demás, y este mes es un buen momento para reflexionar sobre nuestras raíces y ver lo que podemos aportar a la comunidad.

Para ello, nos complace anunciar nuestra nueva aplicación gratuita, Secure Code Bootcamp. Se trata de un compañero de codificación segura de bolsillo para los programadores que quieran desafiarse a sí mismos, aumentando progresivamente su conciencia de la seguridad en cualquier lugar y en cualquier momento.

Descargue ahora la aplicación para iOS y Android y aprenda a localizar e identificar las vulnerabilidades OWASP en Node.JS, Python:Django, Java:Spring, C# .NET: MVC:

我们的主要使命是确保软件及其开发的安全，这已经不是什么秘密了；从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准，使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。

因此，考虑到这一点，你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是，这非常令人沮丧。很明显，作为一个行业，我们一次又一次地犯同样的错误，因为大多数安全教育还不够强大，不足以最大限度地降低风险和阻止这些漏洞。

最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员，你会收到一封电子邮件，通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据，但我们在这里。

这对每个人来说都是一个糟糕的情况；不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是，有一个问题：这并不完全是他们的错。

你看，该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码，导致其全球客户数据中有5％遭到泄露。

黑客究竟是如何设法利用这个系统的？他们 操作了单行 JavaScript 代码，由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法，该代码是在一个不是为容纳而构建的页面上使用的，如果他们知道的话，他们会将其识别为安全漏洞。

该漏洞本身本质上是文件上传/存储库安全问题，其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码，收集个人数据并将其重新路由给攻击者，这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞，也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。

当然，如果不依赖某些第三方应用程序，几乎不可能经营企业。但是，你无法控制他们如何构建软件，他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格，你可能会为漏洞敞开大门 您的公司。

那么，解决方案是什么？简而言之：我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。

为开发团队提供正确的工具和知识来拥抱安全性，阻止不良代码的发生，这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法，但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训，以帮助团队安全地编码。

我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。

你会发现一些小贴士，包括：

* 如何使安全培训对开发人员具有相关性和吸引力

* 如何教开发人员识别和修复自己的问题

* 如何帮助开发人员安全地构建自己的代码。

我邀请你参加 下载此资源 并使用它来维护组织的安全，培养团队的技能，并站在制定更高代码标准的最前沿。

我们必须停止将安全视为公司创新道路上的刺激性障碍。

如果我问你在已经投入使用的设备中只修改一行计算机代码要花多少钱，你会想到什么数字？几百美元？也许成千上万？

据《今日航空》报道，它 耗资100万美元 让一家商业航空公司更新其飞机中的一行代码。由于成本如此之高，他们可能需要一个令人信服的理由来采取必要的措施对飞机系统进行任何更新，这确实让我思考了许多因素。

分解成本

尽管这篇文章没有概述100万美元的成本，但我认为这是一个可行的数字。我不是专门研究航空公司软件更新的专家，但我可以假设航空公司在这种情况下被迫采取了一些措施。

首先，航空公司需要发现需要更新的缺陷或漏洞。引用的例子包括美国国土安全部（DHS）对波音757的研究。结果——仅工作两天后就遭到远程黑客攻击——足够有说服力，任何航空公司都值得注意。

然后，软件开发人员需要分析调查结果，编写新代码，并在安全的环境中对其进行测试，以确保问题得到解决。现在是棘手的部分。航空公司需要停飞每架易受攻击或存在缺陷的飞机，应用新守则，对其进行测试以确保其适用于该特定飞机，然后重新认证该商业飞行计划。

根据airfleets.net的数据，西南航空的机队中目前有499架波音737-700飞机。考虑一下如果这种特定的飞机模型中出现安全漏洞，所涉及的时间和金钱投入。

不只是航空公司的挑战

显然，从一开始就采用健全的安全编码原则应该符合航空公司的既得利益。经过片刻的思考，我可以看到许多行业和情况可能会产生类似的成本。与其担心飞机会因为被黑客入侵的漏洞而从天上掉下来，那呢 起搏器等医疗设备？召回和更新50万件可以挽救生命的电子产品要花多少钱？

在汽车行业，我们继续听到人们的谈话和安全问题 关于自动驾驶汽车。但是，即使是我们的 “典型” 车辆也比以往任何时候都更加依赖互联网连接，这直接带来了一些麻烦- 如果有趣 -安全问题。

一个简单的事实是，在设备或系统发布到生产环境后或批量生产之前，更新设备或系统要花费更多的钱，花费更多的精力和时间，而不是在初始开发过程中建立安全性。但是，我们仍然每天都看到新的可预防的软件漏洞和网络安全漏洞，这凸显了公司需要寻找方法 构建安全的软件开发 融入他们的发展文化。

更改一台航空电子设备上的一行代码的成本为100万美元，实施需要一年的时间。对于其机队以波音737飞机为基础的西南航空来说，如果网络漏洞是针对737飞机上的系统的，它将使他们 “破产”

‍

本月早些时候，我有机会参加 2019 年 OWASP 应用安全日 在美丽的墨尔本。这些以开发人员为中心的活动是我在日历上最喜欢的活动之一；它们谦卑地提醒了社区不懈地努力教育和增强软件工程师和专家的能力，使他们能够在工作中捍卫安全。

嘉宾阵容轰动一时——更不用说令人耳目一新的多样化了——即使在该行业工作了这么多年，我也能留下灵感，这真是太棒了。诸如此类 Tanya Janca， 托尼·詹姆斯 和 泰瑞·拉迪切尔 进行了令人难以置信的演讲，而 Wireghoul“Eldar Marcussen的现场安全编码挑战考验了整个礼堂，但很高兴看到与会者有如此深刻的安全意识。

今年，安全代码勇士是该活动的白金赞助商。我不得不微笑，因为我回忆起就在四年前，正是OWASP AppSec Day背后的团队通过免费展位和促销来帮助我们自力更生的初创公司。看到我们作为一家公司取得了多大的成就，这是一个自豪的时刻，也是对这样一个由不可思议的人组成的慷慨社区的存在表示感激的时刻。

托尼·詹姆斯：从开发者的角度看安全

如果说我们需要在这个世界上更多地培育一件事，那就是同理心。而且，在全面提高软件安全性方面，了解开发人员的困境至关重要。

我真的很喜欢 Toni 的演示，而且我敢肯定，每位开发者都能立即感受到它的相关性。这个故事不仅仅是 “编写安全代码”，虽然我当然相信经过有效安全培训的开发人员是我们对抗漏洞的最佳机会，但必须考虑他们的日常挑战。

软件开发人员的工作可以向数百万用户展示，为关键基础设施提供支持，并成为我们认为理所当然的服务背后的推动力。功能构建、执行业务创新和坚持精益交付的最后期限会带来很大的压力，而那是在AppSec团队大放异彩并仔细研究他们的辛勤工作之前。托尼谈到了这种环境中的生活是什么样子，以及各方充分的同理心如何带来更好的流程和安全结果。我很高兴看到在弥合开发人员和AppSec团队之间的差距方面取得了如此健康的进展；归根结底，这是积极、蓬勃发展的安全文化中的一个关键要素，而Toni是这一过程运作得非常出色的典型例子。

Tanya Janca 和 Teri Radichel：安全超级英雄

并不是说这是一场比赛，但是坦雅·扬卡和泰瑞·拉迪切尔对会议的贡献是我最喜欢的。在他们的 DIY 云安全评估教程开始十分钟后，他们展示了他们惊人的经验、资格和专业知识，同时也暴露了他们分享知识和支持开发者社区的真诚热情和愿望。他们共同提出了确保Azure实施安全的切实可行的操作，包括有关设置安全策略和最低权限措施的实用建议。

谷歌的快速搜索将告诉你所有你需要了解的关于他们致力于支持基层开发者的信息，并提供大量的免费资源、指导机会和访谈，以宣传软件安全的有趣和引人入胜的一面。他们是我们社区中鼓舞人心的、至关重要的拥护者；如果他们在你参加的下一次安全会议上发表演讲，你一定会生气地错过他们的会议。

大舞台上的客户

看到这么多客户不仅出席，而且拥有舞台并与观众分享他们丰富的安全知识，真是太棒了。

我们设法抓住了 澳洲电信的安德鲁·贝利发表了一场重要的演讲，“将 “Sec'to DevOps”。他作为高级软件工程师的丰富经验，现在专注于应用程序安全和安全编码，这是一个值得强调的绝佳视角。他提供了在SDLC的每个阶段注入安全性的端到端技巧（当然，包括一开始就通过培训更多开发人员进行安全编码培训）。

肯·约翰逊是其中的一员 GitHub的安全团队，我很高兴看到他在会议结束时加入专家小组。他和其他小组成员非常乐意回答听众的紧迫问题，包括那些未必得到媒体应有的关注的问题。除了一些行业见解外，他还让小组讨论了幸福感和工作/生活平衡的重要性，这在这个开发人员精疲力尽的时代非常重要。

我要衷心感谢朱利安·伯顿和整个OWASP墨尔本团队举办又一次精彩的会议。明年见（还有更多贴纸）。