リーク性のある API は企業の評判を海に流す恐れがある
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
