Matias Madou, Ph.D.

程序员以代码的形式征服安全基础架构系列-商业逻辑

当程序员无法正确实现业务逻辑规则时，就会出现此漏洞，如果恶意用户选择利用这些规则，这可能会使他们的应用程序容易受到不同类型的攻击。

隐藏在众目之外：为什么 SolarWinds 攻击所揭示的不仅仅是恶意网络风险

如果说网络安全行业有什么要毁掉圣诞节的话，那是一次毁灭性的数据泄露事件，有望成为有记录以来影响美国政府的最大网络间谍事件。

Equifax 黑客攻击的根本原因是 Web 应用程序漏洞

再一次，Equifaxblackeach客攻击的根本原因是网络应用程序漏洞。这个类的漏洞已经存在了十多年，但今天确实非常棒。

OWASP 的 2021 年名单洗牌：新的战斗计划和主要敌人

注入攻击是臭名昭著的漏洞之王（按类别划分），由于访问控制中断而失去了头把交椅，成为最坏的情况，开发人员需要注意。

从学术研究转向工业并非易事

节目 139：Matias Madou 讨论安全开发培训和软件安全测试研究

程序员征服安全 OWASP 十大 API 系列-失效的对象级授权

通常，对于使用用户输入访问数据源的每个函数，都应包括对象级授权检查，不这样做会带来很大的风险。

先出击，重拳出击：为什么精心策划的安全编程课程对网络威胁毫不留情

精心策划的课程包含开发人员需要表现出熟练程度所需的确切模块，这将产生强大的影响，并使他们在日常工作中掌握安全最佳实践时能够从头开始。

300,000 名开发人员到底采取了哪些安全措施？

大约 95,000 个应用程序中的近 300,000 名开发人员使用 BSIMM8 来帮助规划、执行和衡量他们的软件安全计划 (SSI)。

ClickShare漏洞可能已被修补，但它们掩盖了一个更大的问题

将安全补丁转移回开发流程并不容易，但在当今世界中，即使是像演示工具这样看似简单的设备也非常复杂，而且还能与其他所有设备联网，这是必要的。

网络研讨会：你准备好将 “安全” 引入 DevOps 了吗？

我们必须进入这样一个阶段，即安全被视为整个组织乃至整个 SDLC 的共同责任。当你承诺使用一个成熟的、高度支持的 DevSecOps 环境时，这肯定是可能的。

程序员征服安全 OWASP 十大 API 系列-缺少功能级别访问控制

缺少的功能级别访问控制漏洞允许用户执行应受限制的功能，或者允许他们访问应受保护的资源。

程序员征服安全 OWASP 十大 API 系列-身份验证失效

身份验证通常既是应用程序的网关，也可能是通往网络其他部分的网关，因此它们是攻击者的诱人目标。如果身份验证过程中断或存在漏洞，攻击者很可能会发现该漏洞并加以利用。

石油和天然气行业的 “爆炸性” 网络攻击危及生命

调查人员说，防止爆炸的唯一因素是攻击者的计算机代码错误。

永无止境的攻击面时代的预防

软件开发不再是一个孤岛，当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构，更不用说连接所有风险的API——攻击面是无国界和失控的。

具有安全意识的开发人员：AppSec 需要你！

开发人员处于有利可图的进入AppSec的有利地位。

软件供应商是不是像你一样关心中心安全性？

可以肯定地说，过去几年对网络安全标准进行了变革，尽管这不是强制性的，但所有组织都应该是该死的，仔细审查供应商安全实例，就好像它是自己的部落安全计划的一部分一样。

程序员服装安全 OWASP 十大 API 系列-大规格模任务业务

大规格模分配漏洞的产出是由于许多现代架构的鼓鼓鼓鼓的开发人员使用自动将来自客户端的输入绑定到代码变量和内部对象的函数。

别再打乱我的工作流程了！如何在正确的时间接受正确的安全培训

我们开始考虑我们可以做些什么来减少在你需要时接受培训的障碍，以及如何以更无缝的方式将微学习应用到你的工作流程中。

不良的编码模式会导致重大的安全问题... 那么我们为什么要鼓励他们呢？

如果不对漏洞的工作原理、它们为何危险、导致漏洞的模式以及哪些设计或编码模式在他们的世界中有意义的环境中修复漏洞有基本的了解，开发人员就不会对漏洞减少产生积极影响。脚手架式方法可以让知识层层全面了解安全编码、保护代码库以及成为具有安全意识的开发人员意味着什么。

未修补的攻击呈上升趋势。是时候规划防守优势了。

顾名思义，零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞，因为威胁行为者首先进入。损害已经造成，然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势，尽可能缩小这一优势至关重要。

将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习：第 1 部分-AppSec

这是关于组织内部成功合规 PCI-DSS 的系列文章的第 1 部分，共分为两部分。在本章中，我们将详细介绍 AppSec 专家如何与开发经理密切合作，以增强开发人员的能力，加强 SSDLC 并从一般立法中获得具体成果。

希望开发人员以安全意识编写代码吗？把训练带给他们。

我们已经知道工作日里有太多事情要做，那么开发人员需要什么动机去教室，或者切换情境，完成五个步骤才能获得基于静态理论的培训呢？

如果 AppSec 工具是灵丹妙药，为什么这么多公司没有解雇它？

AppSec工具没有像我们预期的那样被利用，有几个原因，与其说是工具及其功能，不如说是它们如何与整个安全程序集成。

专家访谈：奥斯卡·昆塔斯的《基础设施即代码》

我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员，担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。

生日快乐 SQL 注入，无法解决的错误

现在是 SQL 注入的第 22 个生日，尽管这个漏洞已经过时了，可以喝了，但我们还是让它变得更好，而不是永久压制它。

对于开发者来说，要帮助杀死网络犯罪野兽，训练是一项分为两部分的任务

众所周知，网络安全领域英雄和反派之间的竞争环境非常不公平。敏感数据是新的黄金，攻击者可以快速适应以规避防御，利用大大小小的安全漏洞获取潜在的利润。

程序员征服安全 OWASP 十大 API 系列-缺乏资源和速率限制

当同时传入的请求过多，且 API 没有足够的计算资源来处理这些请求时，就会出现此漏洞。然后，该 API 可能变得不可用或无法响应新请求。

2022年我们不能忽视的网络安全问题

在打击网络犯罪分子时，我们需要尽可能与他们保持一致，以预防的心态抢占他们的游乐场。我认为来年他们可能会开始掀起波澜：

程序员以代码的形式征服安全基础架构系列：缺少功能级别访问控制

如果基础设施级别的访问控制不完善，它就会向攻击者开放整个企业，攻击者可以利用该漏洞作为未经授权的窥探或全面攻击的门户。

Doki 之死：一个新的 Docker 漏洞，存在严重问题（以及你可以做些什么）

网络攻击越来越频繁，影响基于Linux的基础设施的威胁也变得越来越普遍，最终目标是有机会破解存储在云中的敏感数据的战利品箱。

程序员征服安全 OWASP 十大 API 系列-数据泄露过多

该漏洞背后的实际机制与其他漏洞相似，但在这种情况下，过度数据泄露被定义为涉及受法律保护或高度敏感的数据。

当好的微波炉变坏时：为什么嵌入式系统安全是开发人员的下一场头目战

就像基于 Web 的软件、API 和移动设备一样，如果攻击者在野外发现嵌入式系统中的易受攻击的代码，就会被利用。

将乏味的 PCI-DSS 合规性变成对每个人都有意义的练习：第 2 部分-首席信息安全官和开发人员意识

这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在最后一章中，我们将详细介绍首席技术官和首席信息安全官如何从高层领导降低网络风险，使流程顺畅、成功... 也许还能为开发人员带来一点乐趣。

您的组织真的为 DevSec 做好准备了吗？把它付诸测试。

考虑到您的组织，请在您的角色背景下考虑这些问题。接受 DevSec 测试时表现如何？

为什么 SQL 注入是 AppSec 世界的蟑螂（以及 CISO 如何一劳永逸地根除它们）

有一种众所周知的理论认为，蟑螂基本上可以在任何情况下存活下来，即使是核爆炸也是如此。

程序员征服安全 OWASP 十大 API 系列-日志记录和监控不足

日志和监控不足的漏洞主要是由于网络安全计划失败造成的，该计划涉及记录所有失败的身份验证尝试、拒绝访问和输入验证错误。

程序员以代码的形式征服安全基础架构系列：不安全的密码学

如今，对诸如密码、个人信息和财务记录之类的关键数据进行哈希处理是任何网络安全防御的基石。

与NIST一起采取行动：我们在网络防御未来问题上以人为主导的立场

拜登政府最近发布的网络安全行政命令无疑引起了安全行业的关注，尤其是那些希望吸引开发人员认识到在日常工作中应用安全编码最佳实践的重要性的人。

网络攻击每 39 秒发生一次。政府终于有能力进行反击了吗？

我们需要强化以人为本的网络安全最佳实践方法，这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应来取得更好的结果。

高级安全情报：指导课程帮助开发人员为 NIST 做好准备

除了安全配置和访问控制外，开发人员是最接近和亲密接触代码的人。他们的安全技能必须得到培养，要达到NIST概述的高标准，动手实践课程结构可能只是解决这个问题的有效方法，尤其是对于大型开发团队而言。

任务简介：下一阶段以开发者为中心的安全培训

我们很高兴地宣布在 Secure Code Warrior 平台上发布全新功能：任务。这一全新的挑战类别是开发人员专属安全培训的下一阶段，它将用户从回忆安全知识转向将其应用于现实世界的仿真环境。

未来的工作是灵活的，对网络安全非常有利

无论不适感来自于未知的新工作方式、一点不信任，还是不相信远程办公，我都发现抵制远程办公的公司在吸引顶尖人才、保持全球影响力以及坦率地说，与时俱进方面往往会落后。

程序员以代码的形式征服安全基础架构系列：密码的明文存储

如今，大多数计算机安全的关键都涉及密码。即使采用其他安全方法，例如双因素身份验证或生物识别，大多数组织仍将基于密码的安全性作为其保护要素之一。

一行代码，100 万美元

更改一台航空电子设备上的一行代码的成本为100万美元，实施需要一年的时间。对于其机队以波音737为基础的西南航空来说，它将 “破产”

饱受安全工具过剩之苦

大量复杂的安全工具使网络安全对首席信息安全官来说更具挑战性。

在 SSDLC 的每个阶段培养安全编码技能

Secure Code Warrior 开发了一个 GitHub Action，为GitHub代码扫描带来了情境学习。这意味着开发人员可以使用像 Snyk 容器操作这样的第三方操作来发现漏洞，然后通过 CWE 专用、高度相关的学习来增强输出。

我的渗透者，我的敌人？开发人员透露了他们对渗透测试和静态分析结果的真实想法

渗透测试和静态分析扫描工具（俗称 SAST）只是降低安全风险的整个过程的一部分，它们的运行完全独立于我们的工作——当然，直到代码返回给我们进行修复！

从 “左边” 开始：安全代码总是高质量的代码吗？

根据其定义，一定质量水平的代码也是安全的，但是所有安全的代码不一定都是高质量的。“从左起” 是确保纯安全编码标准的公式吗？

程序员以代码的形式征服安全基础架构系列——使用来自不可信来源的组件

我们将在此重点讨论的诱发漏洞的行为是使用来自不可信来源的代码，这种看似良性的做法会造成重大问题。

2016 年发现的 Equifax 安全问题

根据一位名为x0rz的研究人员的推文，向前跳到2016年，一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本（XSS）的常见漏洞。

程序员征服安全 OWASP 十大 API 系列-资产管理不当

该漏洞更像是人为问题或管理问题，它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。

冠军与教练：为什么每个开发团队都需要两者

许多在网络安全方法中设定目标的公司已经实施了官方的安全倡导者计划，将关键的安全责任（从团队之间的联络和一般啦啦队到监督最佳实践）赋予对此类角色表现出才能和热情的个人。

Rust 第五次成为最受欢迎的编程语言。这是我们的新安全救星吗？

Rust 融合了常用语言中的已知和功能元素，采用了一种不同的理念，既考虑了复杂性，又引入了性能和安全性。

Coders Conquer Security OWASP 十大 API 系列-禁用安全功能/调试功能启用/权限不正确

它在 API 中可能更为普遍，但攻击者通常会尝试在网络中的任何地方发现未修补的漏洞和未受保护的文件或目录。遇到一个启用了调试或禁用了安全功能的 API 只会让他们的恶意工作变得容易一些。

如何成为一名出色的 DevSecOps 工程师

世界开始走过瀑布、敏捷和现在的 DevOps，那么下一个解决方案是什么？作为一名开发人员，你在跟上这些方法变化方面扮演什么角色？

为什么脚手架式学习可以培养安全性强的开发人员

作为一个行业，我们永远不应该指望开发人员成为安全专家，但是组织可以采用新的开发人员支持标准，这样他们就可以生产出更高质量的软件。

程序员以代码的形式征服安全基础架构系列：传输层保护不足

有时，应用程序还会与其他程序共享数据，这是总体工作负载的一部分。除非传输层受到保护，否则它很容易受到外部监听和未经授权的内部查看。

全国网络安全宣传月：不仅仅是一次网络钓鱼探险

每个组织都可以利用网络安全宣传月来刷新他们的安全意识，今年，我们还为编程社区推出了一款新的免费应用程序！

建立信任：AppSec 与开发人员之间实现真正安全协同的途径

好吧，建立在不信任的脆弱基础上的关系最好期望值不高。遗憾的是，这可能是组织内开发人员与AppSec团队之间工作关系的状态。

程序员以代码的形式化服装安全基础架构系列：安全配置错误权限不正确

安全配置错误，尤其是权限不当的配置错误，通常发生在开发人员完成任务并创建新用户或本应用程序权限时。

程序员以代码的形式征服安全基础架构系列：禁用的安全功能

攻击者总是会首先尝试找到易于利用的漏洞，甚至可能使用脚本来修复常见的漏洞。这与小偷检查街上的所有汽车以查看是否有门被解锁没什么不同，这比砸窗户容易得多。

您是否高估了组织的安全成熟度？

由于持续的技能短缺与为满足世界软件需求而编写的大量代码背道而驰，许多企业的网络安全战略和现有基础设施都落在了后面。现在是我们诚实地审视我们的整体网络安全成熟度，并评估摆在我们面前的可行速赢的时候了。

世界一流的首席信息安全官如何在 2023 年赢得更多预算和董事会信任

首席信息安全官发现自己处于越来越紧张的境地：保护更多资产，发布更多代码，减少更大的攻击面，并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实，尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条，但安全领导者必须采取更多措施，用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。

有了适当的支持，开发人员可以引导您的组织实现卓越的 PCI DSS 4.0 合规性

推动企业安全设计计划取得有意义的成功

我们最新的研究论文《基准安全技能：简化企业中的安全设计》是对企业层面真正的安全设计计划进行深入分析的结果，并根据数据驱动的发现得出最佳实践方法。

对开发人员进行安全技能基准测试的好处

人们越来越关注安全代码和安全设计原则，这要求开发人员从SDLC一开始就接受网络安全培训，Secure Code Warrior的信任评分等工具可以帮助衡量和改善他们的进度。

信使评分演示了安全设计提示升技能 “计划” 的价钱值

我们的研究表明，安全代码培训是有效的。Trust Score使用了一种算法，该算法利利用了来自600多个组织的25万多名学者从工作中获得的超额超过2000万个学习数据点，展示了其在低速降低漏洞的有效性以及如何使该计划更有效。

对安全技能进行基准测试：简化企业中的安全设计

众所周知，要找到有关安全设计计划成功与否的有意义的数据非常困难。首席信息安全官在试图在人员和公司层面证明安全计划活动的投资回报率 (ROI) 和商业价值时经常受到挑战。更不用说，企业尤其难以深入了解其组织如何根据当前的行业标准进行基准测试。总统的国家网络安全战略要求利益相关者 “通过设计来拥抱安全性和弹性”。使Secure-by-Design计划发挥作用的关键不仅是向开发人员提供确保安全代码的技能，还要向监管机构保证这些技能已经到位。在本演示中，我们分享了来自多个主要来源的大量定性和定量数据，包括从25万多名开发人员那里收集的内部数据点、数据驱动的客户见解和公开研究。利用这些数据点的汇总，我们的目标是传达多个垂直领域的安全设计计划的现状愿景。该报告详细介绍了该空间目前未得到充分利用的原因，成功的技能提升计划对降低网络安全风险可能产生的重大影响，以及从代码库中消除各类漏洞的可能性。

Reclaiming Critical Thinking in AI-Augmented Secure Software Development

The AI debate isn't about use, but application. Discover how to balance the need for AI productivity gains with robust security by relying on developers who deeply understand their code.

打造你的堡垒：软件安全领域开发人员支持的六个基本支柱

在本白皮书中，安全专家兼安全代码勇士首席技术官兼联合创始人马蒂亚斯·马杜博士将讨论：为开发团队推出有效的安全教育和支持所需的六大支柱。从十位高管在企业层面实施安全计划中吸取的经验教训，以及在通往成功之路上应避免的常见陷阱。