COVID-19 접촉자 추적: 보안 코딩 상황은 어떻습니까?
이 기사의 한 버전은 원래 에 게재되었습니다. 데브옵스 다이제스트.여기에서 업데이트 및 신디케이트되었습니다.
이 시점에서 우리 모두 “전례가 없는 이 시대에”라는 말에 조금 질리고 있을 것입니다... 하지만 지금은 정말 전례가 없는 시대입니다.작년 말에 우리가 올해 전 세계를 파괴하는 팬데믹을 물리치고 가능한 모든 것을 다 쏟아부을 거라고 누가 생각이나 했을까요?거의 우스꽝스러운 일처럼 보였을 테고, 전 세계 현실의 일부라기보다는 넷플릭스 신작 SF 시리즈에 더 가까웠을 겁니다.COVID-19 () 은 정치적 우선순위는 말할 것도 없고, 우리의 사회 생활, 경제, 직업 안정을 완전히 바꿔놓았습니다.
COVID-19 대응책 중 하나는 기술을 통한 것으로, 많은 국가에서 접촉자 추적 앱을 출시하고 있습니다.호주에는 싱가포르의 TraceTogether를 모델로 한 COVIDSafe가 있습니다.홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉자 추적 기술을 구현했거나 개발 중에 있습니다.영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 피해를 입은 지역입니다.앱 출시가 임박했습니다.많은 사람들이 비극적으로 목숨을 잃는 등 심각한 피해를 입은 미국에도 기술이 보급되고 있지만 접촉자 추적에 대한 주별 접근 방식 때문에 상황이 상당히 복잡합니다.
중국이나 대만과 같이 국가가 통제하는 국가를 제외하고 이러한 앱의 사용은 자발적이므로 시민은 스스로 기술을 다운로드하여 사용해야 합니다.일부 앱의 채택률은 다른 앱보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱의 채택률은 25% 에 달해 원하는 용도로는 효과가 매우 떨어졌습니다.
접촉자 추적 앱의 기본 개념은 타당합니다.이 기술이 제대로 작동하면 핫스팟을 신속하게 찾아내고 포괄적인 검사를 실시할 수 있습니다. 이 두 가지 모두 전염성 바이러스 확산을 막는 데 필수적인 요소입니다.하지만 “정부”와 “추적”이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 콘텐츠를 다운로드하는 것이 실제로 자신에게 어떤 의미가 있는지 조심하는 것은 당연합니다.
그렇다면 사용자의 주요 관심사는 무엇입니까?온라인 해설이 좋다면 다음과 같은 몇 가지 불안감을 안겨줄 수 있습니다.
- 수집된 데이터를 책임감 있게 사용하는 정부에 대한 정부의 신뢰 부족
- 사이버 공격으로부터 개인 데이터를 얼마나 잘 보호할 것인지에 대한 우려
- 실제로 어떤 데이터가 수집되고 어디에 저장되며 누구와 함께 수집되는지에 대한 명확성 부족
- ... 그리고 우리 중 개발자/전문가들을 위해 말씀드리자면, 앱이 실제로 얼마나 견고하게 구축되었는지도 알 수 있습니다.
앱이 빠르게 구축되고 이러한 접촉자 추적 앱을 빠른 시간 내에 출시해야 한다는 것은 항상 걱정스러운 일입니다.개발자, 보안 담당자, 정부 기관에게는 악몽과도 같습니다.
그렇다면 불신은 타당한 반응일까요?그리고 COVID-19 접촉자 추적 앱과 최종 사용자 안전을 평가할 때 우선 순위로 고려해야 할 사항은 무엇일까요?물론 보안 담당자로서 제 직감은 프로그램의 사이버 보안 요소, 즉 우리 모두가 (최선의 의도로) 설치를 강요당하고 있는 앱의 코드베이스가 얼마나 안전한지 자세히 알아보는 것입니다.
대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.
호주의 COVIDSafe 앱은 기본적으로 다음을 기반으로 합니다. 오픈 레이스싱가포르의 트레이스투게더 소프트웨어도 마찬가지입니다.하지만 문제는 TraceTogether에서 보고된 문제가 다양하고 활용도가 낮다는 것입니다. 전체 인구의 25% 만이 사용자로 참여하기로 선택했는데, 이는 TraceTogether에 훨씬 못 미쳤다는 것입니다. 효과가 있으려면 75% 가 필요합니다.특히 iOS에서 배터리가 매우 빨리 소모되는 등 일반적인 성능에 대한 불만이 제기되었습니다.코비드세이프에는 iOS 버전의 잠재적 UX 결함, 모든 데이터를 제대로 기록하려면 휴대폰을 잠금 해제하고 포그라운드에서 실행 중인 앱이 필요합니다.
위와 같은 문제들이 골치 아프긴 하지만, 더 시급한 우려는 블루투스 취약점이 만연하고 있으며 TraceTogether와 호주의 COVIDSafe 모두 이러한 취약점의 영향을 받지 않는다는 것입니다.5월 14일, NIST는 COVIDSafe에 서비스 거부 취약점이 있다고 보고했습니다., 공격자가 Bluetooth 핸드셰이크 거리에 있는 경우 원격으로 앱을 중단시킬 수 있습니다.이렇게 하면 조직적인 공격이 인구 밀집 지역의 접촉자 추적을 방해할 수 있는데, 가장 유용할 수 있습니다. 자세히 설명 보안 연구원 리처드 넬슨이 작성했습니다.이 문제는 코비드세이프, 트레이스투게더, 폴란드의 프로테고, 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있습니다. 모두 오픈트레이스의 결함으로 인한 문제를 물려받은 것입니다. 매뉴얼 데이터. 서브데이터 전화.
일반적으로 Bluetooth 기능과 관련된 기타 개인 정보 보호 및 보안 문제도 있습니다.이 기술이 고유 ID (TEMPID) 를 통해 사람의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용된다는 사실은 필연적으로 취약점을 테스트하는 공격자의 관심을 크게 끌 것입니다. 이때 정확히 무엇을, 어디에 저장하고, 얼마나 오랫동안 수집하는지 면밀히 조사해야 합니다.
일부 앱은 이미 복잡한 취약점을 야기하는 단순한 오류의 징후를 보이고 있습니다.
호주 소프트웨어 엔지니어 제프리 헌틀리 COVIDSafe의 소스 코드를 연구해 왔지만 안타깝게도 최종 사용자인 우리에게 반드시 강조되지 않는 문제가 있습니다.
한 가지 중요한 예는 공격자가 기기를 장기간 추적할 수 있게 하는 개인 정보 침해 로직 오류입니다. 취약한 사용자에게 엄청난 위험을 초래하는 이 오류는 앱 자체의 개인 정보 보호 정책에 위배되는 것은 말할 것도 없습니다.
중요한 점은 이러한 로직 취약점이 5월 14일에 패치되었다는 것입니다. 하지만 더 시급한 문제는 이 취약점이 Huntley 씨가 보고한 후 17일 동안 패치가 적용되지 않은 채 방치되었다는 것입니다.그와 멋진 보안 커뮤니티의 다른 구성원들은 COVIDSafe 앱과 관련된 CVE를 추적하고 있습니다. 이리.
패치 후 Huntley가 지적한 한 가지는 수정 사항조차도 무능력의 징후를 보인다는 것입니다.그의 공개석상에서 로그그는 패치에는 결함이 있는 캐시를 단순히 삭제하는 것이 아니라 로직을 추가하는 것이 포함되었으며, 후자가 훨씬 더 강력한 해결책이라고 지적합니다.둘 다 잘 작동하지만 실제 솔루션에는 정교함이 부족하기 때문에 중요한 응용 프로그램에서는 문제가 발생합니다.
우리에게는 자신의 시간과 전문 지식을 사용하여 소스 코드를 꼼꼼히 살펴보고 문제를 강조하는 부지런한 사회 구성원이 있지만, 그들의 업무는 애초에 코드가 오픈 소스였을 때보다 훨씬 더 어려워집니다.현재 상태로는 28개의 앱 보안 연구원들에게는 여전히 공개되지 않고 있습니다.
보안 코딩은 계속해서 결승선에 도달할 수 있게 합니다.
팬데믹 상황에서 생명을 구하는 앱을 만들어야 하는 매우 이례적인 상황뿐만 아니라 개발자들의 과로에도 확실히 공감할 수 있지만, 위의 내용은 본질적으로 공용 코드베이스에 있는 몇 가지 간단한 취약점이 수백만 명의 사용자에게 심각한 문제를 일으킬 수 있다는 점을 강조해야 합니다.
저는 대부분의 사람들이 좋은 시민이 되고, 앱을 지원하고, 모두에게 이 끔찍한 바이러스의 확산을 추적하고 통제할 수 있는 최상의 기회를 주고 싶어한다고 생각합니다.저 역시 이러한 목표를 달성하는 데 도움이 될 수 있는 기술을 지지하고 있지만, 이로 인해 전 세계 개발자들이 일반적으로 가지고 있는 보안 코딩 원칙의 부재가 드러났습니다.
소프트웨어를 빠르게 작성해야 하는 어떤 상황에서든 실수는 전혀 예상치 못한 일이 아닙니다.그러나 로직 결함, 구성 오류, 코드 삽입 오류와 같은 일반적인 보안 취약성은 자원봉사가 코드베이스를 분해한 후가 아니라 코드 작성 시 예방할 수 있는 것이어야 합니다.
그건 그렇고, 개발자 잘못이 아닙니다.이들은 보안 코딩 기술이 거의 없는 채 고등 교육을 떠납니다. 커리어에서 KPI는 거의 항상 기능, 기능 및 제공 속도와 관련이 있습니다. 보안 부분은 일단 작업을 완료하면 다른 사람이 처리해야 한다는 것입니다.보안 코딩의 최종 단계에 빠르게 도달해야 합니다. 지금은 이러한 앱을 개발하는 부서에 엄청난 변화를 일으킬 때가 아니지만, 이는 우리의 디지털 위험 영역이 확대되고 있으며 보안 모범 사례에 대한 책임을 공유할 수 있는 도구와 지식을 제공받는다면 변화를 가져올 수 있는 최고의 위치에 있다는 것을 적시에 상기시켜줍니다.
앱을 다운로드해도 안전한가요?
요점은 다음과 같습니다. 보안 담당자인 저는 앱의 이점이 문제보다 크다는 결론에 도달했습니다.위의 취약점이 이 소프트웨어에 존재하거나 존재했다는 것은 이상적이지는 않지만, 이러한 취약점이 무기화되면 최악의 시나리오가 초래될 수 있습니다.현재 접촉자 추적은 전 세계 의료진들이 확산을 통제하고, 입원 흐름을 막고, 가능한 한 서로를 안전하게 지킬 수 있도록 지원하는 데 있어 매우 중요한 요소입니다.
우리가 가지고 있다는 것을 강조하는 역할을 합니다. 긴 소프트웨어 빌드에 기본적으로 보안 모범 사례를 적용하려면 가야 할 길이며, 대중이 정보에 입각한 결정을 내리는 데 필요한 정보를 확보하는 것이 중요합니다.
우리 가족과 저는 계속 사용할 것입니다. 하지만 우리 모두가 그래야 하듯이 Android 패치를 최신 상태로 유지하기 위해 항상 주의를 기울이고 있습니다.
접촉자 추적 앱의 기본 개념은 타당합니다.이 기술이 제대로 작동하면 핫스팟을 신속하게 찾아내고 포괄적인 검사를 실시할 수 있습니다. 이 두 가지 모두 전염성 바이러스 확산을 막는 데 필수적인 요소입니다.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
이 기사의 한 버전은 원래 에 게재되었습니다. 데브옵스 다이제스트.여기에서 업데이트 및 신디케이트되었습니다.
이 시점에서 우리 모두 “전례가 없는 이 시대에”라는 말에 조금 질리고 있을 것입니다... 하지만 지금은 정말 전례가 없는 시대입니다.작년 말에 우리가 올해 전 세계를 파괴하는 팬데믹을 물리치고 가능한 모든 것을 다 쏟아부을 거라고 누가 생각이나 했을까요?거의 우스꽝스러운 일처럼 보였을 테고, 전 세계 현실의 일부라기보다는 넷플릭스 신작 SF 시리즈에 더 가까웠을 겁니다.COVID-19 () 은 정치적 우선순위는 말할 것도 없고, 우리의 사회 생활, 경제, 직업 안정을 완전히 바꿔놓았습니다.
COVID-19 대응책 중 하나는 기술을 통한 것으로, 많은 국가에서 접촉자 추적 앱을 출시하고 있습니다.호주에는 싱가포르의 TraceTogether를 모델로 한 COVIDSafe가 있습니다.홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉자 추적 기술을 구현했거나 개발 중에 있습니다.영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 피해를 입은 지역입니다.앱 출시가 임박했습니다.많은 사람들이 비극적으로 목숨을 잃는 등 심각한 피해를 입은 미국에도 기술이 보급되고 있지만 접촉자 추적에 대한 주별 접근 방식 때문에 상황이 상당히 복잡합니다.
중국이나 대만과 같이 국가가 통제하는 국가를 제외하고 이러한 앱의 사용은 자발적이므로 시민은 스스로 기술을 다운로드하여 사용해야 합니다.일부 앱의 채택률은 다른 앱보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱의 채택률은 25% 에 달해 원하는 용도로는 효과가 매우 떨어졌습니다.
접촉자 추적 앱의 기본 개념은 타당합니다.이 기술이 제대로 작동하면 핫스팟을 신속하게 찾아내고 포괄적인 검사를 실시할 수 있습니다. 이 두 가지 모두 전염성 바이러스 확산을 막는 데 필수적인 요소입니다.하지만 “정부”와 “추적”이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 콘텐츠를 다운로드하는 것이 실제로 자신에게 어떤 의미가 있는지 조심하는 것은 당연합니다.
그렇다면 사용자의 주요 관심사는 무엇입니까?온라인 해설이 좋다면 다음과 같은 몇 가지 불안감을 안겨줄 수 있습니다.
- 수집된 데이터를 책임감 있게 사용하는 정부에 대한 정부의 신뢰 부족
- 사이버 공격으로부터 개인 데이터를 얼마나 잘 보호할 것인지에 대한 우려
- 실제로 어떤 데이터가 수집되고 어디에 저장되며 누구와 함께 수집되는지에 대한 명확성 부족
- ... 그리고 우리 중 개발자/전문가들을 위해 말씀드리자면, 앱이 실제로 얼마나 견고하게 구축되었는지도 알 수 있습니다.
앱이 빠르게 구축되고 이러한 접촉자 추적 앱을 빠른 시간 내에 출시해야 한다는 것은 항상 걱정스러운 일입니다.개발자, 보안 담당자, 정부 기관에게는 악몽과도 같습니다.
그렇다면 불신은 타당한 반응일까요?그리고 COVID-19 접촉자 추적 앱과 최종 사용자 안전을 평가할 때 우선 순위로 고려해야 할 사항은 무엇일까요?물론 보안 담당자로서 제 직감은 프로그램의 사이버 보안 요소, 즉 우리 모두가 (최선의 의도로) 설치를 강요당하고 있는 앱의 코드베이스가 얼마나 안전한지 자세히 알아보는 것입니다.
대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.
호주의 COVIDSafe 앱은 기본적으로 다음을 기반으로 합니다. 오픈 레이스싱가포르의 트레이스투게더 소프트웨어도 마찬가지입니다.하지만 문제는 TraceTogether에서 보고된 문제가 다양하고 활용도가 낮다는 것입니다. 전체 인구의 25% 만이 사용자로 참여하기로 선택했는데, 이는 TraceTogether에 훨씬 못 미쳤다는 것입니다. 효과가 있으려면 75% 가 필요합니다.특히 iOS에서 배터리가 매우 빨리 소모되는 등 일반적인 성능에 대한 불만이 제기되었습니다.코비드세이프에는 iOS 버전의 잠재적 UX 결함, 모든 데이터를 제대로 기록하려면 휴대폰을 잠금 해제하고 포그라운드에서 실행 중인 앱이 필요합니다.
위와 같은 문제들이 골치 아프긴 하지만, 더 시급한 우려는 블루투스 취약점이 만연하고 있으며 TraceTogether와 호주의 COVIDSafe 모두 이러한 취약점의 영향을 받지 않는다는 것입니다.5월 14일, NIST는 COVIDSafe에 서비스 거부 취약점이 있다고 보고했습니다., 공격자가 Bluetooth 핸드셰이크 거리에 있는 경우 원격으로 앱을 중단시킬 수 있습니다.이렇게 하면 조직적인 공격이 인구 밀집 지역의 접촉자 추적을 방해할 수 있는데, 가장 유용할 수 있습니다. 자세히 설명 보안 연구원 리처드 넬슨이 작성했습니다.이 문제는 코비드세이프, 트레이스투게더, 폴란드의 프로테고, 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있습니다. 모두 오픈트레이스의 결함으로 인한 문제를 물려받은 것입니다. 매뉴얼 데이터. 서브데이터 전화.
일반적으로 Bluetooth 기능과 관련된 기타 개인 정보 보호 및 보안 문제도 있습니다.이 기술이 고유 ID (TEMPID) 를 통해 사람의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용된다는 사실은 필연적으로 취약점을 테스트하는 공격자의 관심을 크게 끌 것입니다. 이때 정확히 무엇을, 어디에 저장하고, 얼마나 오랫동안 수집하는지 면밀히 조사해야 합니다.
일부 앱은 이미 복잡한 취약점을 야기하는 단순한 오류의 징후를 보이고 있습니다.
호주 소프트웨어 엔지니어 제프리 헌틀리 COVIDSafe의 소스 코드를 연구해 왔지만 안타깝게도 최종 사용자인 우리에게 반드시 강조되지 않는 문제가 있습니다.
한 가지 중요한 예는 공격자가 기기를 장기간 추적할 수 있게 하는 개인 정보 침해 로직 오류입니다. 취약한 사용자에게 엄청난 위험을 초래하는 이 오류는 앱 자체의 개인 정보 보호 정책에 위배되는 것은 말할 것도 없습니다.
중요한 점은 이러한 로직 취약점이 5월 14일에 패치되었다는 것입니다. 하지만 더 시급한 문제는 이 취약점이 Huntley 씨가 보고한 후 17일 동안 패치가 적용되지 않은 채 방치되었다는 것입니다.그와 멋진 보안 커뮤니티의 다른 구성원들은 COVIDSafe 앱과 관련된 CVE를 추적하고 있습니다. 이리.
패치 후 Huntley가 지적한 한 가지는 수정 사항조차도 무능력의 징후를 보인다는 것입니다.그의 공개석상에서 로그그는 패치에는 결함이 있는 캐시를 단순히 삭제하는 것이 아니라 로직을 추가하는 것이 포함되었으며, 후자가 훨씬 더 강력한 해결책이라고 지적합니다.둘 다 잘 작동하지만 실제 솔루션에는 정교함이 부족하기 때문에 중요한 응용 프로그램에서는 문제가 발생합니다.
우리에게는 자신의 시간과 전문 지식을 사용하여 소스 코드를 꼼꼼히 살펴보고 문제를 강조하는 부지런한 사회 구성원이 있지만, 그들의 업무는 애초에 코드가 오픈 소스였을 때보다 훨씬 더 어려워집니다.현재 상태로는 28개의 앱 보안 연구원들에게는 여전히 공개되지 않고 있습니다.
보안 코딩은 계속해서 결승선에 도달할 수 있게 합니다.
팬데믹 상황에서 생명을 구하는 앱을 만들어야 하는 매우 이례적인 상황뿐만 아니라 개발자들의 과로에도 확실히 공감할 수 있지만, 위의 내용은 본질적으로 공용 코드베이스에 있는 몇 가지 간단한 취약점이 수백만 명의 사용자에게 심각한 문제를 일으킬 수 있다는 점을 강조해야 합니다.
저는 대부분의 사람들이 좋은 시민이 되고, 앱을 지원하고, 모두에게 이 끔찍한 바이러스의 확산을 추적하고 통제할 수 있는 최상의 기회를 주고 싶어한다고 생각합니다.저 역시 이러한 목표를 달성하는 데 도움이 될 수 있는 기술을 지지하고 있지만, 이로 인해 전 세계 개발자들이 일반적으로 가지고 있는 보안 코딩 원칙의 부재가 드러났습니다.
소프트웨어를 빠르게 작성해야 하는 어떤 상황에서든 실수는 전혀 예상치 못한 일이 아닙니다.그러나 로직 결함, 구성 오류, 코드 삽입 오류와 같은 일반적인 보안 취약성은 자원봉사가 코드베이스를 분해한 후가 아니라 코드 작성 시 예방할 수 있는 것이어야 합니다.
그건 그렇고, 개발자 잘못이 아닙니다.이들은 보안 코딩 기술이 거의 없는 채 고등 교육을 떠납니다. 커리어에서 KPI는 거의 항상 기능, 기능 및 제공 속도와 관련이 있습니다. 보안 부분은 일단 작업을 완료하면 다른 사람이 처리해야 한다는 것입니다.보안 코딩의 최종 단계에 빠르게 도달해야 합니다. 지금은 이러한 앱을 개발하는 부서에 엄청난 변화를 일으킬 때가 아니지만, 이는 우리의 디지털 위험 영역이 확대되고 있으며 보안 모범 사례에 대한 책임을 공유할 수 있는 도구와 지식을 제공받는다면 변화를 가져올 수 있는 최고의 위치에 있다는 것을 적시에 상기시켜줍니다.
앱을 다운로드해도 안전한가요?
요점은 다음과 같습니다. 보안 담당자인 저는 앱의 이점이 문제보다 크다는 결론에 도달했습니다.위의 취약점이 이 소프트웨어에 존재하거나 존재했다는 것은 이상적이지는 않지만, 이러한 취약점이 무기화되면 최악의 시나리오가 초래될 수 있습니다.현재 접촉자 추적은 전 세계 의료진들이 확산을 통제하고, 입원 흐름을 막고, 가능한 한 서로를 안전하게 지킬 수 있도록 지원하는 데 있어 매우 중요한 요소입니다.
우리가 가지고 있다는 것을 강조하는 역할을 합니다. 긴 소프트웨어 빌드에 기본적으로 보안 모범 사례를 적용하려면 가야 할 길이며, 대중이 정보에 입각한 결정을 내리는 데 필요한 정보를 확보하는 것이 중요합니다.
우리 가족과 저는 계속 사용할 것입니다. 하지만 우리 모두가 그래야 하듯이 Android 패치를 최신 상태로 유지하기 위해 항상 주의를 기울이고 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 데브옵스 다이제스트.여기에서 업데이트 및 신디케이트되었습니다.
이 시점에서 우리 모두 “전례가 없는 이 시대에”라는 말에 조금 질리고 있을 것입니다... 하지만 지금은 정말 전례가 없는 시대입니다.작년 말에 우리가 올해 전 세계를 파괴하는 팬데믹을 물리치고 가능한 모든 것을 다 쏟아부을 거라고 누가 생각이나 했을까요?거의 우스꽝스러운 일처럼 보였을 테고, 전 세계 현실의 일부라기보다는 넷플릭스 신작 SF 시리즈에 더 가까웠을 겁니다.COVID-19 () 은 정치적 우선순위는 말할 것도 없고, 우리의 사회 생활, 경제, 직업 안정을 완전히 바꿔놓았습니다.
COVID-19 대응책 중 하나는 기술을 통한 것으로, 많은 국가에서 접촉자 추적 앱을 출시하고 있습니다.호주에는 싱가포르의 TraceTogether를 모델로 한 COVIDSafe가 있습니다.홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉자 추적 기술을 구현했거나 개발 중에 있습니다.영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 피해를 입은 지역입니다.앱 출시가 임박했습니다.많은 사람들이 비극적으로 목숨을 잃는 등 심각한 피해를 입은 미국에도 기술이 보급되고 있지만 접촉자 추적에 대한 주별 접근 방식 때문에 상황이 상당히 복잡합니다.
중국이나 대만과 같이 국가가 통제하는 국가를 제외하고 이러한 앱의 사용은 자발적이므로 시민은 스스로 기술을 다운로드하여 사용해야 합니다.일부 앱의 채택률은 다른 앱보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱의 채택률은 25% 에 달해 원하는 용도로는 효과가 매우 떨어졌습니다.
접촉자 추적 앱의 기본 개념은 타당합니다.이 기술이 제대로 작동하면 핫스팟을 신속하게 찾아내고 포괄적인 검사를 실시할 수 있습니다. 이 두 가지 모두 전염성 바이러스 확산을 막는 데 필수적인 요소입니다.하지만 “정부”와 “추적”이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 콘텐츠를 다운로드하는 것이 실제로 자신에게 어떤 의미가 있는지 조심하는 것은 당연합니다.
그렇다면 사용자의 주요 관심사는 무엇입니까?온라인 해설이 좋다면 다음과 같은 몇 가지 불안감을 안겨줄 수 있습니다.
- 수집된 데이터를 책임감 있게 사용하는 정부에 대한 정부의 신뢰 부족
- 사이버 공격으로부터 개인 데이터를 얼마나 잘 보호할 것인지에 대한 우려
- 실제로 어떤 데이터가 수집되고 어디에 저장되며 누구와 함께 수집되는지에 대한 명확성 부족
- ... 그리고 우리 중 개발자/전문가들을 위해 말씀드리자면, 앱이 실제로 얼마나 견고하게 구축되었는지도 알 수 있습니다.
앱이 빠르게 구축되고 이러한 접촉자 추적 앱을 빠른 시간 내에 출시해야 한다는 것은 항상 걱정스러운 일입니다.개발자, 보안 담당자, 정부 기관에게는 악몽과도 같습니다.
그렇다면 불신은 타당한 반응일까요?그리고 COVID-19 접촉자 추적 앱과 최종 사용자 안전을 평가할 때 우선 순위로 고려해야 할 사항은 무엇일까요?물론 보안 담당자로서 제 직감은 프로그램의 사이버 보안 요소, 즉 우리 모두가 (최선의 의도로) 설치를 강요당하고 있는 앱의 코드베이스가 얼마나 안전한지 자세히 알아보는 것입니다.
대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.
호주의 COVIDSafe 앱은 기본적으로 다음을 기반으로 합니다. 오픈 레이스싱가포르의 트레이스투게더 소프트웨어도 마찬가지입니다.하지만 문제는 TraceTogether에서 보고된 문제가 다양하고 활용도가 낮다는 것입니다. 전체 인구의 25% 만이 사용자로 참여하기로 선택했는데, 이는 TraceTogether에 훨씬 못 미쳤다는 것입니다. 효과가 있으려면 75% 가 필요합니다.특히 iOS에서 배터리가 매우 빨리 소모되는 등 일반적인 성능에 대한 불만이 제기되었습니다.코비드세이프에는 iOS 버전의 잠재적 UX 결함, 모든 데이터를 제대로 기록하려면 휴대폰을 잠금 해제하고 포그라운드에서 실행 중인 앱이 필요합니다.
위와 같은 문제들이 골치 아프긴 하지만, 더 시급한 우려는 블루투스 취약점이 만연하고 있으며 TraceTogether와 호주의 COVIDSafe 모두 이러한 취약점의 영향을 받지 않는다는 것입니다.5월 14일, NIST는 COVIDSafe에 서비스 거부 취약점이 있다고 보고했습니다., 공격자가 Bluetooth 핸드셰이크 거리에 있는 경우 원격으로 앱을 중단시킬 수 있습니다.이렇게 하면 조직적인 공격이 인구 밀집 지역의 접촉자 추적을 방해할 수 있는데, 가장 유용할 수 있습니다. 자세히 설명 보안 연구원 리처드 넬슨이 작성했습니다.이 문제는 코비드세이프, 트레이스투게더, 폴란드의 프로테고, 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있습니다. 모두 오픈트레이스의 결함으로 인한 문제를 물려받은 것입니다. 매뉴얼 데이터. 서브데이터 전화.
일반적으로 Bluetooth 기능과 관련된 기타 개인 정보 보호 및 보안 문제도 있습니다.이 기술이 고유 ID (TEMPID) 를 통해 사람의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용된다는 사실은 필연적으로 취약점을 테스트하는 공격자의 관심을 크게 끌 것입니다. 이때 정확히 무엇을, 어디에 저장하고, 얼마나 오랫동안 수집하는지 면밀히 조사해야 합니다.
일부 앱은 이미 복잡한 취약점을 야기하는 단순한 오류의 징후를 보이고 있습니다.
호주 소프트웨어 엔지니어 제프리 헌틀리 COVIDSafe의 소스 코드를 연구해 왔지만 안타깝게도 최종 사용자인 우리에게 반드시 강조되지 않는 문제가 있습니다.
한 가지 중요한 예는 공격자가 기기를 장기간 추적할 수 있게 하는 개인 정보 침해 로직 오류입니다. 취약한 사용자에게 엄청난 위험을 초래하는 이 오류는 앱 자체의 개인 정보 보호 정책에 위배되는 것은 말할 것도 없습니다.
중요한 점은 이러한 로직 취약점이 5월 14일에 패치되었다는 것입니다. 하지만 더 시급한 문제는 이 취약점이 Huntley 씨가 보고한 후 17일 동안 패치가 적용되지 않은 채 방치되었다는 것입니다.그와 멋진 보안 커뮤니티의 다른 구성원들은 COVIDSafe 앱과 관련된 CVE를 추적하고 있습니다. 이리.
패치 후 Huntley가 지적한 한 가지는 수정 사항조차도 무능력의 징후를 보인다는 것입니다.그의 공개석상에서 로그그는 패치에는 결함이 있는 캐시를 단순히 삭제하는 것이 아니라 로직을 추가하는 것이 포함되었으며, 후자가 훨씬 더 강력한 해결책이라고 지적합니다.둘 다 잘 작동하지만 실제 솔루션에는 정교함이 부족하기 때문에 중요한 응용 프로그램에서는 문제가 발생합니다.
우리에게는 자신의 시간과 전문 지식을 사용하여 소스 코드를 꼼꼼히 살펴보고 문제를 강조하는 부지런한 사회 구성원이 있지만, 그들의 업무는 애초에 코드가 오픈 소스였을 때보다 훨씬 더 어려워집니다.현재 상태로는 28개의 앱 보안 연구원들에게는 여전히 공개되지 않고 있습니다.
보안 코딩은 계속해서 결승선에 도달할 수 있게 합니다.
팬데믹 상황에서 생명을 구하는 앱을 만들어야 하는 매우 이례적인 상황뿐만 아니라 개발자들의 과로에도 확실히 공감할 수 있지만, 위의 내용은 본질적으로 공용 코드베이스에 있는 몇 가지 간단한 취약점이 수백만 명의 사용자에게 심각한 문제를 일으킬 수 있다는 점을 강조해야 합니다.
저는 대부분의 사람들이 좋은 시민이 되고, 앱을 지원하고, 모두에게 이 끔찍한 바이러스의 확산을 추적하고 통제할 수 있는 최상의 기회를 주고 싶어한다고 생각합니다.저 역시 이러한 목표를 달성하는 데 도움이 될 수 있는 기술을 지지하고 있지만, 이로 인해 전 세계 개발자들이 일반적으로 가지고 있는 보안 코딩 원칙의 부재가 드러났습니다.
소프트웨어를 빠르게 작성해야 하는 어떤 상황에서든 실수는 전혀 예상치 못한 일이 아닙니다.그러나 로직 결함, 구성 오류, 코드 삽입 오류와 같은 일반적인 보안 취약성은 자원봉사가 코드베이스를 분해한 후가 아니라 코드 작성 시 예방할 수 있는 것이어야 합니다.
그건 그렇고, 개발자 잘못이 아닙니다.이들은 보안 코딩 기술이 거의 없는 채 고등 교육을 떠납니다. 커리어에서 KPI는 거의 항상 기능, 기능 및 제공 속도와 관련이 있습니다. 보안 부분은 일단 작업을 완료하면 다른 사람이 처리해야 한다는 것입니다.보안 코딩의 최종 단계에 빠르게 도달해야 합니다. 지금은 이러한 앱을 개발하는 부서에 엄청난 변화를 일으킬 때가 아니지만, 이는 우리의 디지털 위험 영역이 확대되고 있으며 보안 모범 사례에 대한 책임을 공유할 수 있는 도구와 지식을 제공받는다면 변화를 가져올 수 있는 최고의 위치에 있다는 것을 적시에 상기시켜줍니다.
앱을 다운로드해도 안전한가요?
요점은 다음과 같습니다. 보안 담당자인 저는 앱의 이점이 문제보다 크다는 결론에 도달했습니다.위의 취약점이 이 소프트웨어에 존재하거나 존재했다는 것은 이상적이지는 않지만, 이러한 취약점이 무기화되면 최악의 시나리오가 초래될 수 있습니다.현재 접촉자 추적은 전 세계 의료진들이 확산을 통제하고, 입원 흐름을 막고, 가능한 한 서로를 안전하게 지킬 수 있도록 지원하는 데 있어 매우 중요한 요소입니다.
우리가 가지고 있다는 것을 강조하는 역할을 합니다. 긴 소프트웨어 빌드에 기본적으로 보안 모범 사례를 적용하려면 가야 할 길이며, 대중이 정보에 입각한 결정을 내리는 데 필요한 정보를 확보하는 것이 중요합니다.
우리 가족과 저는 계속 사용할 것입니다. 하지만 우리 모두가 그래야 하듯이 Android 패치를 최신 상태로 유지하기 위해 항상 주의를 기울이고 있습니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
이 기사의 한 버전은 원래 에 게재되었습니다. 데브옵스 다이제스트.여기에서 업데이트 및 신디케이트되었습니다.
이 시점에서 우리 모두 “전례가 없는 이 시대에”라는 말에 조금 질리고 있을 것입니다... 하지만 지금은 정말 전례가 없는 시대입니다.작년 말에 우리가 올해 전 세계를 파괴하는 팬데믹을 물리치고 가능한 모든 것을 다 쏟아부을 거라고 누가 생각이나 했을까요?거의 우스꽝스러운 일처럼 보였을 테고, 전 세계 현실의 일부라기보다는 넷플릭스 신작 SF 시리즈에 더 가까웠을 겁니다.COVID-19 () 은 정치적 우선순위는 말할 것도 없고, 우리의 사회 생활, 경제, 직업 안정을 완전히 바꿔놓았습니다.
COVID-19 대응책 중 하나는 기술을 통한 것으로, 많은 국가에서 접촉자 추적 앱을 출시하고 있습니다.호주에는 싱가포르의 TraceTogether를 모델로 한 COVIDSafe가 있습니다.홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉자 추적 기술을 구현했거나 개발 중에 있습니다.영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 피해를 입은 지역입니다.앱 출시가 임박했습니다.많은 사람들이 비극적으로 목숨을 잃는 등 심각한 피해를 입은 미국에도 기술이 보급되고 있지만 접촉자 추적에 대한 주별 접근 방식 때문에 상황이 상당히 복잡합니다.
중국이나 대만과 같이 국가가 통제하는 국가를 제외하고 이러한 앱의 사용은 자발적이므로 시민은 스스로 기술을 다운로드하여 사용해야 합니다.일부 앱의 채택률은 다른 앱보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱의 채택률은 25% 에 달해 원하는 용도로는 효과가 매우 떨어졌습니다.
접촉자 추적 앱의 기본 개념은 타당합니다.이 기술이 제대로 작동하면 핫스팟을 신속하게 찾아내고 포괄적인 검사를 실시할 수 있습니다. 이 두 가지 모두 전염성 바이러스 확산을 막는 데 필수적인 요소입니다.하지만 “정부”와 “추적”이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 콘텐츠를 다운로드하는 것이 실제로 자신에게 어떤 의미가 있는지 조심하는 것은 당연합니다.
그렇다면 사용자의 주요 관심사는 무엇입니까?온라인 해설이 좋다면 다음과 같은 몇 가지 불안감을 안겨줄 수 있습니다.
- 수집된 데이터를 책임감 있게 사용하는 정부에 대한 정부의 신뢰 부족
- 사이버 공격으로부터 개인 데이터를 얼마나 잘 보호할 것인지에 대한 우려
- 실제로 어떤 데이터가 수집되고 어디에 저장되며 누구와 함께 수집되는지에 대한 명확성 부족
- ... 그리고 우리 중 개발자/전문가들을 위해 말씀드리자면, 앱이 실제로 얼마나 견고하게 구축되었는지도 알 수 있습니다.
앱이 빠르게 구축되고 이러한 접촉자 추적 앱을 빠른 시간 내에 출시해야 한다는 것은 항상 걱정스러운 일입니다.개발자, 보안 담당자, 정부 기관에게는 악몽과도 같습니다.
그렇다면 불신은 타당한 반응일까요?그리고 COVID-19 접촉자 추적 앱과 최종 사용자 안전을 평가할 때 우선 순위로 고려해야 할 사항은 무엇일까요?물론 보안 담당자로서 제 직감은 프로그램의 사이버 보안 요소, 즉 우리 모두가 (최선의 의도로) 설치를 강요당하고 있는 앱의 코드베이스가 얼마나 안전한지 자세히 알아보는 것입니다.
대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.
호주의 COVIDSafe 앱은 기본적으로 다음을 기반으로 합니다. 오픈 레이스싱가포르의 트레이스투게더 소프트웨어도 마찬가지입니다.하지만 문제는 TraceTogether에서 보고된 문제가 다양하고 활용도가 낮다는 것입니다. 전체 인구의 25% 만이 사용자로 참여하기로 선택했는데, 이는 TraceTogether에 훨씬 못 미쳤다는 것입니다. 효과가 있으려면 75% 가 필요합니다.특히 iOS에서 배터리가 매우 빨리 소모되는 등 일반적인 성능에 대한 불만이 제기되었습니다.코비드세이프에는 iOS 버전의 잠재적 UX 결함, 모든 데이터를 제대로 기록하려면 휴대폰을 잠금 해제하고 포그라운드에서 실행 중인 앱이 필요합니다.
위와 같은 문제들이 골치 아프긴 하지만, 더 시급한 우려는 블루투스 취약점이 만연하고 있으며 TraceTogether와 호주의 COVIDSafe 모두 이러한 취약점의 영향을 받지 않는다는 것입니다.5월 14일, NIST는 COVIDSafe에 서비스 거부 취약점이 있다고 보고했습니다., 공격자가 Bluetooth 핸드셰이크 거리에 있는 경우 원격으로 앱을 중단시킬 수 있습니다.이렇게 하면 조직적인 공격이 인구 밀집 지역의 접촉자 추적을 방해할 수 있는데, 가장 유용할 수 있습니다. 자세히 설명 보안 연구원 리처드 넬슨이 작성했습니다.이 문제는 코비드세이프, 트레이스투게더, 폴란드의 프로테고, 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있습니다. 모두 오픈트레이스의 결함으로 인한 문제를 물려받은 것입니다. 매뉴얼 데이터. 서브데이터 전화.
일반적으로 Bluetooth 기능과 관련된 기타 개인 정보 보호 및 보안 문제도 있습니다.이 기술이 고유 ID (TEMPID) 를 통해 사람의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용된다는 사실은 필연적으로 취약점을 테스트하는 공격자의 관심을 크게 끌 것입니다. 이때 정확히 무엇을, 어디에 저장하고, 얼마나 오랫동안 수집하는지 면밀히 조사해야 합니다.
일부 앱은 이미 복잡한 취약점을 야기하는 단순한 오류의 징후를 보이고 있습니다.
호주 소프트웨어 엔지니어 제프리 헌틀리 COVIDSafe의 소스 코드를 연구해 왔지만 안타깝게도 최종 사용자인 우리에게 반드시 강조되지 않는 문제가 있습니다.
한 가지 중요한 예는 공격자가 기기를 장기간 추적할 수 있게 하는 개인 정보 침해 로직 오류입니다. 취약한 사용자에게 엄청난 위험을 초래하는 이 오류는 앱 자체의 개인 정보 보호 정책에 위배되는 것은 말할 것도 없습니다.
중요한 점은 이러한 로직 취약점이 5월 14일에 패치되었다는 것입니다. 하지만 더 시급한 문제는 이 취약점이 Huntley 씨가 보고한 후 17일 동안 패치가 적용되지 않은 채 방치되었다는 것입니다.그와 멋진 보안 커뮤니티의 다른 구성원들은 COVIDSafe 앱과 관련된 CVE를 추적하고 있습니다. 이리.
패치 후 Huntley가 지적한 한 가지는 수정 사항조차도 무능력의 징후를 보인다는 것입니다.그의 공개석상에서 로그그는 패치에는 결함이 있는 캐시를 단순히 삭제하는 것이 아니라 로직을 추가하는 것이 포함되었으며, 후자가 훨씬 더 강력한 해결책이라고 지적합니다.둘 다 잘 작동하지만 실제 솔루션에는 정교함이 부족하기 때문에 중요한 응용 프로그램에서는 문제가 발생합니다.
우리에게는 자신의 시간과 전문 지식을 사용하여 소스 코드를 꼼꼼히 살펴보고 문제를 강조하는 부지런한 사회 구성원이 있지만, 그들의 업무는 애초에 코드가 오픈 소스였을 때보다 훨씬 더 어려워집니다.현재 상태로는 28개의 앱 보안 연구원들에게는 여전히 공개되지 않고 있습니다.
보안 코딩은 계속해서 결승선에 도달할 수 있게 합니다.
팬데믹 상황에서 생명을 구하는 앱을 만들어야 하는 매우 이례적인 상황뿐만 아니라 개발자들의 과로에도 확실히 공감할 수 있지만, 위의 내용은 본질적으로 공용 코드베이스에 있는 몇 가지 간단한 취약점이 수백만 명의 사용자에게 심각한 문제를 일으킬 수 있다는 점을 강조해야 합니다.
저는 대부분의 사람들이 좋은 시민이 되고, 앱을 지원하고, 모두에게 이 끔찍한 바이러스의 확산을 추적하고 통제할 수 있는 최상의 기회를 주고 싶어한다고 생각합니다.저 역시 이러한 목표를 달성하는 데 도움이 될 수 있는 기술을 지지하고 있지만, 이로 인해 전 세계 개발자들이 일반적으로 가지고 있는 보안 코딩 원칙의 부재가 드러났습니다.
소프트웨어를 빠르게 작성해야 하는 어떤 상황에서든 실수는 전혀 예상치 못한 일이 아닙니다.그러나 로직 결함, 구성 오류, 코드 삽입 오류와 같은 일반적인 보안 취약성은 자원봉사가 코드베이스를 분해한 후가 아니라 코드 작성 시 예방할 수 있는 것이어야 합니다.
그건 그렇고, 개발자 잘못이 아닙니다.이들은 보안 코딩 기술이 거의 없는 채 고등 교육을 떠납니다. 커리어에서 KPI는 거의 항상 기능, 기능 및 제공 속도와 관련이 있습니다. 보안 부분은 일단 작업을 완료하면 다른 사람이 처리해야 한다는 것입니다.보안 코딩의 최종 단계에 빠르게 도달해야 합니다. 지금은 이러한 앱을 개발하는 부서에 엄청난 변화를 일으킬 때가 아니지만, 이는 우리의 디지털 위험 영역이 확대되고 있으며 보안 모범 사례에 대한 책임을 공유할 수 있는 도구와 지식을 제공받는다면 변화를 가져올 수 있는 최고의 위치에 있다는 것을 적시에 상기시켜줍니다.
앱을 다운로드해도 안전한가요?
요점은 다음과 같습니다. 보안 담당자인 저는 앱의 이점이 문제보다 크다는 결론에 도달했습니다.위의 취약점이 이 소프트웨어에 존재하거나 존재했다는 것은 이상적이지는 않지만, 이러한 취약점이 무기화되면 최악의 시나리오가 초래될 수 있습니다.현재 접촉자 추적은 전 세계 의료진들이 확산을 통제하고, 입원 흐름을 막고, 가능한 한 서로를 안전하게 지킬 수 있도록 지원하는 데 있어 매우 중요한 요소입니다.
우리가 가지고 있다는 것을 강조하는 역할을 합니다. 긴 소프트웨어 빌드에 기본적으로 보안 모범 사례를 적용하려면 가야 할 길이며, 대중이 정보에 입각한 결정을 내리는 데 필요한 정보를 확보하는 것이 중요합니다.
우리 가족과 저는 계속 사용할 것입니다. 하지만 우리 모두가 그래야 하듯이 Android 패치를 최신 상태로 유지하기 위해 항상 주의를 기울이고 있습니다.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
