Matias Madou, Ph.D.

시리즈로 보안 인프라를 정복하는 코더 시리즈 - 비즈니스 로직

이 취약성은 비즈니스 로직 규칙을 제대로 구현하지 못할 때 발생할 수 있으며, 악의적인 사용자가 악용할 시스템이 될 수 있습니다. 다양한 종류의 공격에 취약해질 수 있습니다.

눈에 잘 띄지 않는 곳에 숨기: SolarWinds 공격이 악의적인 사이버 위험보다 더 많은 것을 드러낸 이유

사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면 이는 엄청난 데이터 유출로 미국 정부에 영향을 미치는 사상 최대 규모의 사이버 스파이 사건이 될 것으로 예상됩니다.

Equifax 해킹의 근본 원인은 웹 앱 취약점입니다

다시 한 번 말씀드리지만, Equifax 해킹의 근본 원인은 웹 앱 취약점입니다.이러한 유형의 취약점은 10년 넘게 존재해 왔지만 오늘날에도 여전히 관련성이 높습니다.

OWASP의 2021 리스트 셔플: 새로운 전투 계획이자 주요 적

취약점의 왕으로 악명 높은 인젝션 공격 (범주별) 은 액세스 제어 실패로 최악 중 최악으로 1위 자리를 잃었기 때문에 개발자들은 주의를 기울여야 합니다.

학술 연구에서 산업으로 전환하는 것은 쉬운 일이 아닙니다.

쇼 139: Matias Madou가 보안 개발 교육 및 소프트웨어 보안 테스트 연구에 대해 이야기합니다.

코더 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 브로큰 오브젝트 레벨 인증

일반적으로 사용자의 입력을 사용하여 데이터 소스에 액세스하는 모든 함수에 대해 개체 수준 권한 부여 검사를 포함해야 하며, 이렇게 하지 않으면 큰 위험이 따릅니다.

먼저 공격하고 강력하게 공격하세요: 엄선된 보안 코딩 과정이 사이버 위협에 아무런 영향을 미치지 않는 이유

개발자가 숙련도를 입증하는 데 필요한 정확한 모듈이 포함된 엄선된 과정은 강력한 영향을 미치며, 일상 업무의 보안 모범 사례와 관련하여 처음부터 시작할 수 있도록 합니다.

Quelles sont les pratiques de sécurité effectivement mises en œuvre par 300 000 développeurs ?

Environ 300 000 développeurs utilisant quelque 95 000 applications se servent du BSIMM8 pour planifier, mettre en œuvre et évaluer des initiatives de sécurité logicielle (SSI).

ClickShare 취약점이 패치되었을 수도 있지만 훨씬 더 큰 문제를 숨기고 있습니다.

보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.

웨비나: DevOps에 “Sec”를 도입할 준비가 되셨나요?

보안이 조직 전체와 SDLC 전체에서 공동 책임으로 간주되는 단계에 도달해야 합니다.이는 완전한 기능을 갖춘 고도로 지원적인 DevSecOps 환경을 이용한다면 확실히 가능합니다.

코더 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 누락된 수준 기능 액세스 제어

누락된 수준 수준 액세스 제어 취약성으로 인해 사용자는 기능을 제한하거나 보호해야 하는 리소스에 액세스할 수 있습니다.

코더스 컨커 시큐리티 OWASP 탑 10 API 시리즈 - 깨진 인증

인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 됩니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.

석유 및 가스 분야의 “폭발적인” 사이버 공격은 생명을 위협합니다

폭발을 막은 유일한 방법은 공격자의 컴퓨터 코드 실수라고 수사관들은 말했다.

끊임 없는 공격 표면 시대의 예방

소프트웨어 개발은 더 이상 섬이 아닙니다. 클라우드, 어플라이언스 및 차량의 임베디드 시스템, 주요 인프라, 모든 것을 연결하는 API는 말할 것도 없고 모든 것을 포함하는 소프트웨어 기반 위험의 모든 측면을 고려할 때 공격 표면은 국경이 없고 통제 불능 상태입니다.

보안을 잘 아는 개발자: AppSec에는 여러분이 필요합니다!

개발자는 AppSec을 통해 수익을 창출할 수 있는 좋은 위치에 있습니다.

소프트웨어 공급업체도 귀사만큼 보안에 신경을 많이 쓰나요?

지난 몇 년은 사이버 보안 표준을 혁신했다고 해도 과언이 아닙니다. 필수 사항은 아니지만 모든 조직이 이를 준수하고 자체 내부 보안 프로그램의 일부인 것처럼 공급업체 보안 관행을 면밀히 조사하는 것이 목표여야 합니다.

코더 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 대량 할당

대량 할당 취약점은 많은 최신 프레임워크가 개발자에게 클라이언트의 입력을 코드 변수 및 내부 개체에 자동으로 바인딩하는 함수를 사용하도록 권장한 결과 발생했습니다.

내 워크플로우를 방해하지 마세요!적절한 시기에 적절한 보안 교육을 받을 수 있는 방법

우리는 필요할 때 교육을 받는 데 방해가 되는 장벽을 줄이기 위해 무엇을 할 수 있는지, 그리고 마이크로 러닝을 워크플로우에 보다 원활하게 구현할 수 있는 방법에 대해 생각하기 시작했습니다.

잘못된 코딩 패턴은 심각한 보안 문제로 이어질 수 있습니다... 그렇다면 왜 권장할까요?

개발자는 취약점이 작동하는 방식, 취약점이 위험한 이유, 취약점을 유발하는 패턴, 상황에 맞는 상황에서 취약점을 해결하는 설계 또는 코딩 패턴에 대한 기본적인 이해 없이는 취약성 감소에 긍정적인 영향을 미칠 수 없습니다.스캐폴디드 접근 방식을 사용하면 지식 계층을 통해 안전하게 코딩하고, 코드베이스를 방어하고, 보안을 생각하는 개발자로 우뚝 서는 것이 무엇을 의미하는지 전체적으로 파악할 수 있습니다.

Les attaques zero-day sont en augmentation. Il est temps de mettre en place une stratégie de défense.

Selon la définition, une attaque « zero-day » est une attaque menée par un acteur malveillant qui s'introduit dans un système avant que les développeurs n'aient eu le temps de corriger les vulnérabilités existantes. Une fois les dommages causés, une course effrénée s'engage pour réparer les dégâts causés à la fois au logiciel et à la réputation de l'entreprise. Les attaquants ayant toujours une longueur d'avance, il est essentiel de prendre toutes les mesures possibles pour conserver un avantage concurrentiel.

지루한 PCI-DSS 규정 준수를 모두를 위한 의미 있는 활동으로 전환: 1부 - AppSec

이 글은 조직 내 성공적인 PCI-DSS 규정 준수에 관한 2부작 시리즈 중 1부입니다.이 장에서는 AppSec 전문가가 개발 관리자와 긴밀하게 협력하여 개발자의 역량을 강화하고 SSDLC를 강화하며 일반 법률의 구체적인 결과를 도출하는 방법을 자세히 설명합니다.

Souhaitez-vous que vos développeurs codent en tenant compte de la sécurité ? Veuillez leur fournir une formation.

Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?

AppSec 툴링이 특효약이라면 왜 그렇게 많은 기업들이 이를 활용하지 않는 것일까요?

AppSec 도구가 예상대로 활용되지 않는 데에는 몇 가지 이유가 있습니다. 도구 및 기능보다는 전체 보안 프로그램과 통합되는 방식에 관한 것입니다.

전문가 인터뷰: 오스카 퀸타스와 함께하는 코드형 인프라

저희 전문가 중 한 명인 오스카 퀸타스 (Oscar Quintas) 에게 집중 조명하고 싶습니다.그는 제품 콘텐츠 팀의 일원으로 선임 보안 연구원으로 일하고 있습니다.그는 IaC (Infrastructure as Code) 에 관한 모든 것을 다루는 당사의 상주 마법사이기도 합니다.

SQL 인젝션 생일 축하해, 해결할 수 없는 버그

SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.

개발자들이 사이버 범죄를 물리치는 데 도움을 주려면 교육을 두 부분으로 나누어 진행해야 합니다.

사이버 보안 분야의 영웅과 악당 간의 경쟁은 불공평한 것으로 악명이 높습니다.민감한 데이터는 새로운 금이며, 공격자들은 방어 시설을 우회하기 위해 빠르게 적응하고 크고 작은 보안 버그를 악용하여 잠재적 이득을 취합니다.

코더 컨커 시큐리티 OWASP Top 10 API 시리즈 - 리소스 부족 및 속도 제한

이 취약점은 너무 많은 요청이 동시에 들어오고 API에 이러한 요청을 처리하기에 충분한 컴퓨팅 리소스가 없을 때 발생합니다.그러면 API를 사용할 수 없게 되거나 새 요청에 응답하지 않을 수 있습니다.

2022년 무시할 수 없는 사이버 보안 문제

사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자의 놀이터를 선점하여 가능한 한 그들과 보조를 맞춰야 합니다.이들이 내년부터 파장을 일으키기 시작할 수 있는 부분은 다음과 같습니다.

코드 시리즈로 보안 인프라를 정복한 코더: 기능 수준 액세스 제어 누락

인프라 수준의 액세스 제어를 완벽하게 갖추지 못하면 기업 전체가 공격자에게 노출될 수 있으며, 공격자는 해당 취약점을 무단 스누핑이나 전체 공격의 게이트웨이로 사용할 수 있습니다.

Death by Doki: 심각한 피해를 입은 새로운 Docker 취약점 (및 이에 대한 조치)

사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협은 점점 더 흔해지고 있습니다. 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품을 해킹할 수 있는 기회를 제공하는 것입니다.

코더즈 컨커 시큐리티 OWASP 상위 10 API 시리즈 - 과도한 데이터 노출

이 취약점의 실제 메커니즘은 다른 취약점과 유사하지만, 이 경우 과도한 데이터 노출은 법적으로 보호되거나 매우 민감한 데이터와 관련된 것으로 정의됩니다.

Lorsque les micro-ondes performantes deviennent défectueuses : pourquoi la sécurité des systèmes embarqués représente le prochain défi majeur pour les développeurs

Tout comme les logiciels basés sur le Web, les API et les appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité par des attaquants s'ils le découvrent.

지루한 PCI-DSS 규정 준수를 모두를 위한 의미 있는 활동으로 전환: 2부 - CISO 및 개발자 인식

이 글은 조직 내 PCI-DSS 규정 준수에 관한 미니 시리즈 중 2부입니다.이 마지막 장에서는 CTO와 CISO가 어떻게 사이버 위험을 줄이고 프로세스를 원활하고 성공적으로 만들 수 있는지, 그리고 개발자들에게 약간의 재미를 줄 수 있는 방법을 자세히 설명합니다.

귀사는 정말 DevSec을 사용할 준비가 되어 있습니까?테스트해 보세요.

조직을 염두에 두고 역할의 맥락에서 이러한 질문에 대해 생각해 보십시오.DevSec 테스트에 적용하면 어떤 결과가 나올까요?

Pourquoi l'injection SQL est un problème récurrent dans le domaine de la sécurité des applications (et comment les RSSI peuvent y remédier de manière définitive)

Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, y compris à une explosion nucléaire.

코더 컨커 시큐리티 OWASP Top 10 API 시리즈 - 로깅 및 모니터링이 충분하지 않음

불충분한 로깅 및 모니터링 결함은 대부분 실패한 인증 시도, 액세스 거부 및 입력 검증 오류를 기록하는 것과 관련된 사이버 보안 계획의 실패로 인해 발생합니다.

코드 시리즈로 보안 인프라를 정복한 코더 시리즈: 안전하지 않은 암호화

요즘에는 암호, 개인 정보 및 재무 기록과 같은 중요한 데이터를 유휴 상태에서 해시하는 것이 모든 사이버 보안 방어의 초석입니다.

NIST와 함께 움직이기: 사이버 방어의 미래에 대한 인간 주도의 입장

Biden 행정부의 최근 사이버 보안 행정 명령은 보안 업계, 특히 보안 코딩 모범 사례를 일상 업무에 적용하는 것이 중요하다는 사실을 개발자들의 마음을 사로잡으려는 사람들의 관심을 끌고 있습니다.

39초마다 사이버 공격이 발생합니다.정부가 마침내 반격할 준비가 되었나요?

사이버 보안 모범 사례에 대한 인간 주도의 접근 방식을 강화해야 합니다. 그러면 자동화, 도구, 이미 내장되어 발견된 문제에 대한 대응에 크게 의존하는 것보다 더 나은 결과를 얻을 수 있을 것입니다.

고급 보안 인텔리전스: 개발자가 NIST를 준비하도록 돕는 가이드 과정

개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.

미션 소개: 개발자 중심 보안 교육의 다음 단계

시큐어 코드 워리어 플랫폼의 새로운 기능인 미션을 발표하게 되어 매우 기쁩니다.완전히 새로워진 이 챌린지 카테고리는 개발자 중심의 보안 교육의 다음 단계로, 사용자가 보안 지식을 회상하는 것에서 벗어나 실제 시뮬레이션 환경에 적용할 수 있도록 합니다.

업무의 미래는 유연하며 사이버 보안에 적합합니다.

불편함이 새로운 업무 방식을 모르거나, 약간의 불신에서 비롯된 것이든, 아니면 원격 근무를 믿지 않는 데서 오는 것이든, 원격 근무에 저항하는 회사는 최고의 인재를 유치하고, 전 세계에 진출하고, 솔직히 말해서 시대에 발맞추어 나아가는 측면에서 뒤처지는 경향이 있다는 것을 알게 되었습니다.

#시리즈로 보안 인프라를 정복한 코더 시리즈: 암호의 일반 텍스트 저장

오늘날 대부분의 컴퓨터 보안의 핵심은 암호입니다.2단계 인증이나 생체 인식과 같은 다른 보안 방법을 사용하더라도 대부분의 조직은 암호 기반 보안 보호의 손아귀로 한 손해를 사용합니다.

코드 한 줄, 백만 달러

항공 전자 장비의 코드 한 줄을 변경하는 데 드는 비용은 백만 달러이며 구현하는 데 1년이 걸립니다.보잉 737을 기반으로 운항하는 사우스웨스트 항공의 경우 이 항공사는 “파산”할 수 있습니다.

넘쳐나는 보안 도구로 어려움을 겪고 있습니다.

복잡한 보안 도구의 홍수로 인해 CISO의 사이버 보안은 더욱 어려워지고 있습니다.

SSDLC의 모든 단계에서 보안 코딩 기술 습득

시큐어 코드 워리어는 GitHub 코드 스캐닝에 컨텍스트 학습을 제공하는 GitHub Action을 구축했습니다.즉, 개발자는 Snyk Container Action과 같은 타사 작업을 사용하여 취약점을 찾은 다음 CWE에 특화된 초관련성 학습으로 결과를 확장할 수 있습니다.

내 펜테스터, 내 적?개발자가 펜테스팅 및 정적 분석 결과에 대해 실제로 어떻게 생각하는지 밝힙니다.

침투 테스트와 정적 분석 스캐닝 도구 (SAST라고도 함) 는 보안 위험을 완화하기 위한 전체 프로세스의 일부에 불과합니다. 물론 핫픽스를 위해 코드가 우리에게 돌아오기 전까지는 우리가 하는 일과는 별개로 작동합니다!

“왼쪽”에서 시작: 보안 코드는 항상 품질 코드인가요?

특정 품질 수준의 코드도 그 정의상 안전하지만 모든 보안 코드의 품질이 반드시 좋은 것은 아닙니다.“왼쪽 또는 왼쪽”으로 시작하는 것이 순수한 보안 코딩 표준을 보장하는 공식일까요?

코드 시리즈로 보안 인프라를 정복하는 코더 - 신뢰할 수 없는 출처의 구성 요소 사용

여기서 초점을 맞출 취약성 유발 행위는 신뢰할 수 없는 출처의 코드를 사용하는 것인데, 이는 겉보기에 무해해 보이지만 큰 문제를 일으키고 있습니다.

2016년 밝혀진 에퀴팩스 보안 문제

2016년으로 건너뛰면 x0rz라는 이름의 연구원의 트윗에 따르면 한 보안 연구원이 주요 Equifax 웹 사이트에서 크로스 사이트 스크립팅 (XSS) 이라는 일반적인 취약점을 발견했습니다.

코더즈 컨커 시큐리티 OWASP 탑 10 API 시리즈 - 부적절한 자산 관리

이 취약점은 사람의 문제나 관리상의 문제로, 이전 API가 보다 안전한 최신 버전으로 교체된 후에도 오랫동안 그대로 유지될 수 있습니다.

최우수선수 vs 코치: 모든 개발팀에 이 두 가지가 모두 필요한 이유

사이버 보안 접근 방식을 목표로 삼고 있는 많은 팀

Rust는 다섯 번째로 가장 사랑받는 프로그래밍 언어입니다.이것이 우리의 새로운 보안 구세주인가요?

Rust는 일반적으로 사용되는 언어의 알려진 기능 요소를 통합하여 복잡성을 없애는 다른 철학에 따라 작업하면서 성능과 안전성을 도입합니다.

코더 컨커 시큐리티 OWASP Top 10 API 시리즈 - 보안 기능 비활성화/디버그 기능 활성화/부적절한 권한

API에서 조금 더 널리 퍼져 있을 가능성이 높지만 공격자는 네트워크 어디서나 패치가 적용되지 않은 결함이나 보호되지 않은 파일 또는 디렉터리를 찾으려고 시도하는 경우가 많습니다.디버깅이 활성화되거나 보안 기능이 비활성화된 API를 발견하면 악의적인 작업이 조금 더 쉬워집니다.

멋진 데브젝옵스 엔지니어가 되는 방법

세계는 워터폴, 애자일, 그리고 이제는 DevOps로 바뀌기 시작했습니다. 다음 솔루션은 무엇일까요?그리고 개발자로서 이러한 접근 방식의 변화에 발맞추는 데 있어 어떤 역할을 하고 계신가요?

Pourquoi l'apprentissage par le scaffolding permet de former des développeurs plus compétents en matière de sécurité

Il est important de noter que l'industrie ne doit pas attendre des développeurs qu'ils deviennent des experts en sécurité. Cependant, les organisations peuvent adopter de nouvelles normes pour soutenir les développeurs et ainsi produire des logiciels de meilleure qualité.

코드 시리즈로 보안 인프라를 정복한 코더: 불충분한 전송 계층 보호

때때로 애플리케이션은 전체 워크로드의 일부로 다른 프로그램과 데이터를 공유하기도 합니다.전송 계층이 보호되지 않으면 외부 스누핑과 내부 무단 보기 모두에 취약해집니다.

국가 사이버 보안 인식의 달: 단순한 피싱 공격 그 이상

모든 조직은 사이버 보안 인식의 달을 활용하여 보안 인식을 새롭게 할 수 있습니다. 올해에는 코딩 커뮤니티를 위한 새로운 무료 앱도 출시할 예정입니다!

신뢰 구축: AppSec과 개발자 간의 진정한 보안 시너지 효과를 위한 길

불안정한 불신의 토대 위에 세워진 관계는 기대치를 낮추고 접근하는 것이 가장 좋습니다.안타깝게도 이는 조직 내 개발자와 AppSec 팀 간의 업무 관계 상태일 수 있습니다.

코드 시리즈로 보안 인프라를 정복하는 코더 시리즈: 잘못된 보안 구성 - 부적절한 권한

보안 구성 오류, 특히 부적절한 권한 구성은 개발자가 새 사용자를 만들거나 작업을 수행하기 위해 응용 프로그램을 도구로 사용할 권한을 부여할 때마다 자주 발생합니다.

Série de codes pour maîtriser l'infrastructure de sécurité : fonctionnalités de sécurité pour les personnes handicapées

Les attaquants tentent toujours de trouver en premier lieu les vulnérabilités faciles à exploiter et peuvent également utiliser des scripts pour détecter les faiblesses courantes. Cela revient à faire le tour des voitures dans la rue pour vérifier si les portes sont ouvertes. C'est beaucoup plus simple que de briser une vitre.

조직의 보안 성숙도를 과대평가한 적이 있습니까?

전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.

세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법

CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.

Grâce à un soutien approprié, les développeurs peuvent aider leur organisation à atteindre un niveau élevé de conformité à la norme PCI DSS 4.0.

엔터프라이즈 보안 설계 이니셔티브를 위한 의미 있는 성공 주도

당사의 최신 연구 논문인 보안 기술 벤치마킹: 기업의 보안 설계 간소화는 기업 수준의 실제 보안 설계 이니셔티브를 심층적으로 분석하고 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.

Les avantages du benchmarking des technologies de sécurité pour les développeurs

Compte tenu de l'intérêt croissant pour les codes de sécurité et les principes Secure by Design, il est essentiel que les développeurs reçoivent une formation sur la cybersécurité dès le début du cycle de vie du développement logiciel (SDLC). Il est également important d'utiliser des outils tels que le score de confiance Secure Code Warrior pour mesurer les progrès et apporter des améliorations.

Le score de confiance démontre la valeur de l'initiative Secure By-Design-Upskilling.

Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.

보안 기술 벤치마킹: 기업의 보안 설계 간소화

Secure by-Design 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어려운 일로 악명이 높습니다.CISO는 보안 프로그램 활동의 투자 수익률 (ROI) 과 비즈니스 가치를 사람과 회사 차원에서 모두 입증하려고 할 때 종종 어려움을 겪습니다.말할 것도 없이, 기업이 현재 업계 표준과 비교하여 조직을 벤치마킹하는 방법에 대한 통찰력을 얻기가 특히 어렵습니다.대통령의 국가 사이버 보안 전략은 이해 관계자들에게 “보안과 탄력성을 설계적으로 수용하라”는 당면 과제를 제시했습니다.시큐어 바이 디자인 (Secure by-Design) 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 코드 보안을 보장하는 기술을 제공할 뿐만 아니라 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.이 프레젠테이션에서는 250,000명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트 및 공개 연구를 포함하여 여러 주요 소스에서 파생된 수많은 질적 및 양적 데이터를 공유합니다.이러한 데이터 포인트 집계를 활용하여 여러 업종에 걸쳐 Secure-by-Design 이니셔티브의 현재 상태에 대한 비전을 전달하는 것을 목표로 합니다.이 보고서는 현재 이 공간의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 가능성에 대해 자세히 설명합니다.

AI 증강 보안 소프트웨어 개발에서의 비판적 사고 재확보

AI 논쟁은 사용이 아니라 응용에 관한 것입니다.코드를 깊이 이해하는 개발자에게 의존하여 AI 생산성 향상에 대한 요구와 강력한 보안 사이에서 균형을 유지하는 방법을 알아보세요.

요새 구축: 소프트웨어 보안의 개발자 지원을 위한 6가지 필수 기둥

이 백서에서는 보안 전문가이자 Secure Code Warrior의 CTO이자 공동 창립자인 Matias Madou 박사가 개발 집단을 위한 효과적인 보안 교육 및 지원을 구축하는 데 필요한 여섯 가지 기둥에 대해 설명합니다.기업 차원에서 보안 프로그램을 구현하는 10명의 경영진으로부터 얻은 교훈과 성공으로 가는 길에서 피해야 할 일반적인 위험.