为什么 SQL 注入是 AppSec 世界的蟑螂(以及 CISO 如何一劳永逸地根除它们)
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构成使它们对自己的体型极其耐寒,在大多数条件下也很难消除。
我一直在想... 如果蟑螂在数字世界中有类似的漏洞,那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来,这一漏洞一直是众所周知的,但组织一次又一次地成为其受害者。广泛的, 对目标的攻击代价高昂 是 SQL 注入的结果,就像一个例子一样 选举黑客攻击 在伊利诺伊州,有20万份选民记录被泄露,这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。
Imperva的 黑客情报倡议报告 透露,在2005年至2011年之间,在所有报告的数据泄露中,有83%使用了SQLi攻击。今天,注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单,但它们根本不会死。
在大量应用程序安全扫描中仍然出现同样的漏洞,这似乎很荒谬。我们知道它是如何运作的,我们知道如何阻止它。这怎么可能?事实是,我们的软件安全性还有很大的改进余地。
Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据:只有30%的应用程序通过了OWASP前十名政策。在过去五年中,这一直是一个始终如一的主题,近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据;我们没有从错误中吸取教训,首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常,AppSec 专家与开发人员的比例不足 1:100。
为什么软件安全是生命支持?
专业安全人才稀缺已经不是什么秘密了,但我们还必须注意这样一个事实,即开发人员没有在出现问题时修复问题,而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中,据透露,在所有开发漏洞中,仅有14.4%的缓解措施已记录在案。换句话说,大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
我一直在与安全专业人员、首席信息安全官和首席执行官交谈,有趣的是,我意识到许多公司对发现的无法缓解的漏洞(还有被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,交叉手画脚,希望得到最好的结果。
为什么 AppSec 专业人员让这种情况发生?
毫无疑问:AppSec 的人们痛苦地意识到代码中的问题。毕竟,这是他们的核心技能之一,使他们成为如此宝贵的团队资源。但是,它们往往受到多种因素的阻碍。
例如,AppSec 经理会发现问题并询问开发人员:“你能修复代码吗?”。这个重要问题的答案因组织而异,但总的来说,开发人员在满足严格的功能交付冲刺时非常紧张,以至于他们根本没有时间解决这些问题,也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都有一个过程,需要找到解决方案,实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能,可悲的现实是,大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
我们需要花时间教育开发人员如何编写安全代码。但是,在当今世界,软件开发节奏很快,优秀的开发人员和安全专业人员供不应求,这似乎从来都不是优先事项。现在是我们改变对话的时候了。
最近的头条新闻来自 世界经济论坛 尖叫:“没有安全就不可能有数字经济”,随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。”
提高安全编码技能和结果将为组织增加强大的网络保护层,帮助他们创建更好、更快的代码。开发人员不需要成为安全专家,但他们必须获得积极和实际的能力,才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人,他们是创造性的问题解决者,并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势,并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构成使它们对自己的体型极其耐寒,在大多数条件下也很难消除。
我一直在想... 如果蟑螂在数字世界中有类似的漏洞,那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来,这一漏洞一直是众所周知的,但组织一次又一次地成为其受害者。广泛的, 对目标的攻击代价高昂 是 SQL 注入的结果,就像一个例子一样 选举黑客攻击 在伊利诺伊州,有20万份选民记录被泄露,这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。
Imperva的 黑客情报倡议报告 透露,在2005年至2011年之间,在所有报告的数据泄露中,有83%使用了SQLi攻击。今天,注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单,但它们根本不会死。
在大量应用程序安全扫描中仍然出现同样的漏洞,这似乎很荒谬。我们知道它是如何运作的,我们知道如何阻止它。这怎么可能?事实是,我们的软件安全性还有很大的改进余地。
Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据:只有30%的应用程序通过了OWASP前十名政策。在过去五年中,这一直是一个始终如一的主题,近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据;我们没有从错误中吸取教训,首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常,AppSec 专家与开发人员的比例不足 1:100。
为什么软件安全是生命支持?
专业安全人才稀缺已经不是什么秘密了,但我们还必须注意这样一个事实,即开发人员没有在出现问题时修复问题,而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中,据透露,在所有开发漏洞中,仅有14.4%的缓解措施已记录在案。换句话说,大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
我一直在与安全专业人员、首席信息安全官和首席执行官交谈,有趣的是,我意识到许多公司对发现的无法缓解的漏洞(还有被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,交叉手画脚,希望得到最好的结果。
为什么 AppSec 专业人员让这种情况发生?
毫无疑问:AppSec 的人们痛苦地意识到代码中的问题。毕竟,这是他们的核心技能之一,使他们成为如此宝贵的团队资源。但是,它们往往受到多种因素的阻碍。
例如,AppSec 经理会发现问题并询问开发人员:“你能修复代码吗?”。这个重要问题的答案因组织而异,但总的来说,开发人员在满足严格的功能交付冲刺时非常紧张,以至于他们根本没有时间解决这些问题,也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都有一个过程,需要找到解决方案,实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能,可悲的现实是,大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
我们需要花时间教育开发人员如何编写安全代码。但是,在当今世界,软件开发节奏很快,优秀的开发人员和安全专业人员供不应求,这似乎从来都不是优先事项。现在是我们改变对话的时候了。
最近的头条新闻来自 世界经济论坛 尖叫:“没有安全就不可能有数字经济”,随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。”
提高安全编码技能和结果将为组织增加强大的网络保护层,帮助他们创建更好、更快的代码。开发人员不需要成为安全专家,但他们必须获得积极和实际的能力,才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人,他们是创造性的问题解决者,并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势,并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构成使它们对自己的体型极其耐寒,在大多数条件下也很难消除。
我一直在想... 如果蟑螂在数字世界中有类似的漏洞,那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来,这一漏洞一直是众所周知的,但组织一次又一次地成为其受害者。广泛的, 对目标的攻击代价高昂 是 SQL 注入的结果,就像一个例子一样 选举黑客攻击 在伊利诺伊州,有20万份选民记录被泄露,这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。
Imperva的 黑客情报倡议报告 透露,在2005年至2011年之间,在所有报告的数据泄露中,有83%使用了SQLi攻击。今天,注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单,但它们根本不会死。
在大量应用程序安全扫描中仍然出现同样的漏洞,这似乎很荒谬。我们知道它是如何运作的,我们知道如何阻止它。这怎么可能?事实是,我们的软件安全性还有很大的改进余地。
Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据:只有30%的应用程序通过了OWASP前十名政策。在过去五年中,这一直是一个始终如一的主题,近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据;我们没有从错误中吸取教训,首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常,AppSec 专家与开发人员的比例不足 1:100。
为什么软件安全是生命支持?
专业安全人才稀缺已经不是什么秘密了,但我们还必须注意这样一个事实,即开发人员没有在出现问题时修复问题,而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中,据透露,在所有开发漏洞中,仅有14.4%的缓解措施已记录在案。换句话说,大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
我一直在与安全专业人员、首席信息安全官和首席执行官交谈,有趣的是,我意识到许多公司对发现的无法缓解的漏洞(还有被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,交叉手画脚,希望得到最好的结果。
为什么 AppSec 专业人员让这种情况发生?
毫无疑问:AppSec 的人们痛苦地意识到代码中的问题。毕竟,这是他们的核心技能之一,使他们成为如此宝贵的团队资源。但是,它们往往受到多种因素的阻碍。
例如,AppSec 经理会发现问题并询问开发人员:“你能修复代码吗?”。这个重要问题的答案因组织而异,但总的来说,开发人员在满足严格的功能交付冲刺时非常紧张,以至于他们根本没有时间解决这些问题,也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都有一个过程,需要找到解决方案,实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能,可悲的现实是,大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
我们需要花时间教育开发人员如何编写安全代码。但是,在当今世界,软件开发节奏很快,优秀的开发人员和安全专业人员供不应求,这似乎从来都不是优先事项。现在是我们改变对话的时候了。
最近的头条新闻来自 世界经济论坛 尖叫:“没有安全就不可能有数字经济”,随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。”
提高安全编码技能和结果将为组织增加强大的网络保护层,帮助他们创建更好、更快的代码。开发人员不需要成为安全专家,但他们必须获得积极和实际的能力,才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人,他们是创造性的问题解决者,并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势,并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构成使它们对自己的体型极其耐寒,在大多数条件下也很难消除。
我一直在想... 如果蟑螂在数字世界中有类似的漏洞,那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来,这一漏洞一直是众所周知的,但组织一次又一次地成为其受害者。广泛的, 对目标的攻击代价高昂 是 SQL 注入的结果,就像一个例子一样 选举黑客攻击 在伊利诺伊州,有20万份选民记录被泄露,这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。
Imperva的 黑客情报倡议报告 透露,在2005年至2011年之间,在所有报告的数据泄露中,有83%使用了SQLi攻击。今天,注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单,但它们根本不会死。
在大量应用程序安全扫描中仍然出现同样的漏洞,这似乎很荒谬。我们知道它是如何运作的,我们知道如何阻止它。这怎么可能?事实是,我们的软件安全性还有很大的改进余地。
Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据:只有30%的应用程序通过了OWASP前十名政策。在过去五年中,这一直是一个始终如一的主题,近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据;我们没有从错误中吸取教训,首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常,AppSec 专家与开发人员的比例不足 1:100。
为什么软件安全是生命支持?
专业安全人才稀缺已经不是什么秘密了,但我们还必须注意这样一个事实,即开发人员没有在出现问题时修复问题,而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中,据透露,在所有开发漏洞中,仅有14.4%的缓解措施已记录在案。换句话说,大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
我一直在与安全专业人员、首席信息安全官和首席执行官交谈,有趣的是,我意识到许多公司对发现的无法缓解的漏洞(还有被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,交叉手画脚,希望得到最好的结果。
为什么 AppSec 专业人员让这种情况发生?
毫无疑问:AppSec 的人们痛苦地意识到代码中的问题。毕竟,这是他们的核心技能之一,使他们成为如此宝贵的团队资源。但是,它们往往受到多种因素的阻碍。
例如,AppSec 经理会发现问题并询问开发人员:“你能修复代码吗?”。这个重要问题的答案因组织而异,但总的来说,开发人员在满足严格的功能交付冲刺时非常紧张,以至于他们根本没有时间解决这些问题,也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都有一个过程,需要找到解决方案,实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能,可悲的现实是,大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
我们需要花时间教育开发人员如何编写安全代码。但是,在当今世界,软件开发节奏很快,优秀的开发人员和安全专业人员供不应求,这似乎从来都不是优先事项。现在是我们改变对话的时候了。
最近的头条新闻来自 世界经济论坛 尖叫:“没有安全就不可能有数字经济”,随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。”
提高安全编码技能和结果将为组织增加强大的网络保护层,帮助他们创建更好、更快的代码。开发人员不需要成为安全专家,但他们必须获得积极和实际的能力,才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人,他们是创造性的问题解决者,并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势,并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。
当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
