软件供应商是不是像你一样关心中心安全性?
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的部落安全计划的一部分一样。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
