程序员征服安全:分享与学习系列-NoSQL 注入
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
NoSQL 数据库越来越受欢迎。很难否认它们处理非结构化数据的速度和便捷性,但是随着使用的普及,越来越多的漏洞不可避免地浮出水面。
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
NoSQL 数据库是 越来越受欢迎。很难否认他们处理非结构化数据的速度和便捷性,尤其是在开发团队努力采用越来越敏捷的方法的情况下。
开发人员需要时间来解决新兴技术中的漏洞和其他挑战。只有在生产应用中使用了一段时间后,问题才开始浮出水面。
NoSQL 数据库是相似的。开发人员应注意一些关键风险,这样他们才能确保应用程序的安全。其中一种风险是 NoSQL 注入。
让我们来看看什么是 NoSQL 注入,它可能造成什么损害,以及如何修复它:
了解 NoSQL 注入
NoSQL 注入是由许多相同的注入漏洞引起的,例如 XML 或 SQL 注入。
NoSQL 注入允许攻击者在 NoSQL 查询中放置任意命令。这使他们能够窃取数据,甚至在权限足够高的情况下对数据库进行更改。
当应用程序将用户控制的数据直接放入 NoSQL 查询表达式时,这些表达式通常采用函数或内置运算符,可以对其进行操作来窃取或更改数据。而且,当出于恶意意图执行这样的事情时,后果可能是可怕的。
MongoDB 数据库是利用此漏洞最常用的平台之一。“$ne: “” '在 SQL 世界中等同于 1=1 的运算符,因此,举例来说,攻击者可以将字符 “$ne:” '放入用户界面的用户名和密码字段中。如果代码容易受到 NoSQL 注入,则数据库将搜索用户名和密码不等于空字符串的所有记录。换句话说:所有这些。哎呀。
如果该数据库未加密,则攻击者可以窃取其中的每个用户的用户名和密码。这包括管理员用户名和密码,为他们提供了整个数据库的全权访问权限。
攻击者经常试图传递始终正确的值。另一种常见的攻击是向设置为函数的属性注入恶意代码。
例如,MongoDB 使用查找函数,该函数接受一个具有名为 $where 属性的对象。$where 属性设置为一个应计算结果为真或假的函数。如果用户输入以任何方式更改此函数,则可能会潜伏在那里 NoSQL 注入。
要详细了解 NoSQL 注入的复杂性,请查看这个 InfoQ 文章。
知道为什么 NoSQL 注入很危险
NoSQL 注入之所以危险,主要是因为它尚未受到安全社区应有的审查。
NoSQL 注入的影响与传统 SQL 注入的影响大致相同。数据可能会被窃取或更改,帐户可能会因窃取数据而受到损害,也许最恶毒的是,如果成功发出删除命令,数据可能会被完全清除。
最重要的是,MongoDB 和其他 NoSQL 数据库引擎容易受到攻击。“没有 SQL” 并不意味着没有注入。
值得庆幸的是,社区中的一些人注意到了而且 大声说出来。更多的开发人员需要进行自我教育,这样他们才能保护自己的应用程序免受鲜为人知的恶意攻击,这些恶意如果被利用可能会变得非常头疼。
击败 NoSQL 注入
NoSQL 注入可能很难被击败。不幸的是,没有像 SQL 注入一样的参数化查询选项。但是,这并非不可能。有几个选项可以帮助你:
- 模糊器可用作检测漏洞的一种方法。但是,就像生活中的许多事情一样,最简单的方法可能是最有效的。在这里,好的旧代码审查是你最强大的盟友。
- 在查看代码时,寻找用户输入可以设置表达式值或更改函数的可能位置。不允许用户输入来更改您的查询。
- 请务必将用户输入的内容投射到其正确的类别。如果是数字,则将其转换为数字;如果是字符串,则将其转换为字符串等等。
- 切勿在用户输入时使用 $where 或类似的评估函数。在大多数情况下,您可以通过更改数据模型或架构来解决这个问题。
- 尝试使用 猫鼬 作为你的 MongoDB 驱动程序。猫鼬允许你为你的NoSQL数据库定义一个架构。如果你 告诉 Mongoose 你的输入是字符串,它们将被转换为字符串。因此,攻击者传入的任何对象都不会被视为对象,而是被视为字符串。
- 强化你的数据库!创建低权限用户帐户,最大限度地延长查询的执行时间,并始终遵循适用于您的组织的安全最佳实践。
NoSQL 数据库易用性的一个缺点是,开发人员倾向于在不考虑安全性的情况下启动它们并开始使用它们。
花点时间学习如何安全地建立 NoSQL 数据库并保护自己免受 NoSQL 注入,这一点至关重要。
例如, MongoDB 企业版 为您的文档提供高级访问控制功能。强制执行 “最小权限” 可能是一种很好的深度防御 (DiD) 策略,以防有人在您的应用程序中发现漏洞。
总而言之,我们有以下几点:
- 在 NoSQL 查询表达式中使用输入之前,请先对其进行清理
- 使用能帮助你的驱动程序,比如 Mongoose
- 进行代码审查,专门研究如何在查询中使用输入数据
- 使用模糊测试器和扫描器尝试帮助发现代码中的漏洞。
NoSQL 不是 “无注入”
由于其可扩展的功能和设置速度,NoSQL 数据库迅速变得越来越受欢迎。这项技术的新颖性可能导致开发人员使用NoSQL数据库,而无需考虑如何保护它们。
NoSQL 数据库可能与 SQL 数据库一样容易受到注入攻击,因此请谨慎行事并注意查询。如果你想了解更多,请查看我们的 学习资源 或者和我们一起测试你的技能 免费演示。
提前做好准备,无需担心应用程序中会注入 NoSQL。太简单了!
认为你现在准备好定位、识别和修复 NoSQL 注入了吗?进入安全代码竞技场,勇士:
这是 2018 年的总结!这将是我们今年的最后一篇文章,但我们将于2019年1月10日发布下一篇Coders Conquer Security指南。很快见!
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
