专家访谈:奥斯卡·昆塔斯的《基础设施即代码》
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
