永无止境的攻击面时代的预防
这篇文章的一个版本出现在 SD 时报。它已在此处更新和发布。
当我们谈论进展时,数字化进步通常是对话的重中之重。我们希望一切都更好、更快、更方便、更强大,我们希望以更少的资金、时间和风险来做到这一点。在大多数情况下,这些 “不可能” 的目标最终得以实现;可能需要几年时间和多个版本(还有一支开发人员团队,如果要求他们在功能设计上切换方向,他们可能会发动政变) 再来一次),但是每天,代码都在改变世界。
但是,良好的软件扩展伴随着巨大的责任,而现实是,从安全的角度来看,我们根本没有做好应对的准备。软件开发不再是一个孤岛,当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构,更不用说连接所有风险的API——攻击面是无国界和失控的。
我们不能指望每行代码都由经验丰富的安全专家精心检查的神奇时光- 技能差距不会很快缩小 -但是,作为一个行业,我们可以采用更全面的方法来实现代码级安全。
让我们探讨如何使用手头的工具围住无限的攻击面:
现实地看待业务风险水平(以及你愿意接受的内容)
完美的安全是不可持续的,但蒙住眼睛假装一切都是蓝天也是不可持续的。我们已经知道组织会故意发布易受攻击的代码,很明显,这是根据新功能和产品的上市时间计算出的风险。
高速安全是一项挑战,尤其是在DevSecOps不是标准开发方法的地方。但是,我们只需要看看最近的 Log4Shell 漏洞 了解代码中相对较小的安全问题如何为成功的攻击开辟了机会,并了解这些经过计算的运送低质量代码的风险所产生的后果可能远大于预期。
对成为(访问)控制狂感到满意
大量代价高昂的数据泄露是由云存储环境配置不当造成的,而且访问控制错误可能导致的敏感数据泄露继续困扰着大多数组织的安全团队。
2019年,财富500强公司第一美国金融公司 艰难地发现了这个。身份验证错误——这个错误相对容易修复——导致了超过8亿条记录的泄露,包括银行对账单、抵押贷款合同和带照片的身份证。他们的文档链接不需要用户识别或登录,因此任何拥有网络浏览器的人都可以访问它们。更糟糕的是,它们是用连续数字记录的,这意味着链接中数字的简单更改就会暴露出新的数据记录。
这个安全问题在出现之前是内部发现的 在媒体上曝光但是,未能将其正确归类为高风险安全问题,以及未能将其报告给高级管理层以进行紧急补救,所造成的后果至今仍在研究中。
现在访问控制中断是有原因的 OWASP 前 10 名: 它像灰尘一样常见,开发人员需要经过验证的安全意识和实用技能,才能在自己的版本中掌握有关身份验证和权限的最佳实践,确保检查和措施到位,以保护敏感数据泄露。
API 的本质使它们特别相关且棘手;从设计上讲,它们与其他应用程序的交谈非常紧张,开发团队应该对所有潜在的接入点有可见性。毕竟,他们在寻求提供更安全的软件时无法考虑未知变量和用例。
分析您的安全计划:对预防的重视程度如何?
安全计划的很大一部分专门用于事件响应和反应是有道理的,但是许多组织一开始就没有利用所有可用资源来防止安全事件,从而错过了宝贵的风险最小化。
当然,有大量的安全工具可以帮助发现有问题的错误,但是 将近50%的公司承认了他们知道的运费代码存在漏洞。时间限制、工具集的复杂性以及缺乏训练有素的专家来回应报告,所有这些都导致了本质上是经过计算的风险,但是代码需要在云端、应用程序、API功能、嵌入式系统、库以及不断扩大的技术领域中得到保护,这一事实确保了我们当前的方法将永远落后一步。
安全漏洞是人为的问题,我们不能指望机器人为我们修复所有问题。如果你的开发团队没有得到有效的提高技能——不仅仅是年度研讨会,而是适当的教育基石——那么你总是面临接受低质量代码作为标准以及随之而来的安全风险的风险。
您是否高估了开发人员的准备情况?
很少评估开发人员的安全编码能力,这不是他们的优先事项(在很多情况下也不是关键绩效指标)。如果没有向他们展示更好的路径或被告知这是衡量他们成功的标准,他们就不可能成为不良安全做法的罪魁祸首。
但是,各组织内部往往假设所提供的指导有效地使工程团队做好了减轻常见安全风险的准备。视培训情况和他们运用安全最佳实践的意识而定,他们可能没有做好成为理想的第一道防线(以及阻止无休止的注入漏洞阻塞渗透测试报告)的准备。
理想的状态是,越来越复杂的学习路径已经完成,由此产生的技能经过验证,以确保它在现实世界中真正适合开发人员。但是,这需要一种文化标准,即从一开始就考虑开发人员,并正确启用该标准。如果我们作为一个行业要走向荒野,捍卫我们自己创建的这片广阔的代码格局,我们将需要我们所能得到的所有帮助... 而且摆在我们面前的东西比我们意识到的还要多。
软件开发不再是一个孤岛,当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构,更不用说连接所有风险的API——攻击面是无国界和失控的。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的一个版本出现在 SD 时报。它已在此处更新和发布。
当我们谈论进展时,数字化进步通常是对话的重中之重。我们希望一切都更好、更快、更方便、更强大,我们希望以更少的资金、时间和风险来做到这一点。在大多数情况下,这些 “不可能” 的目标最终得以实现;可能需要几年时间和多个版本(还有一支开发人员团队,如果要求他们在功能设计上切换方向,他们可能会发动政变) 再来一次),但是每天,代码都在改变世界。
但是,良好的软件扩展伴随着巨大的责任,而现实是,从安全的角度来看,我们根本没有做好应对的准备。软件开发不再是一个孤岛,当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构,更不用说连接所有风险的API——攻击面是无国界和失控的。
我们不能指望每行代码都由经验丰富的安全专家精心检查的神奇时光- 技能差距不会很快缩小 -但是,作为一个行业,我们可以采用更全面的方法来实现代码级安全。
让我们探讨如何使用手头的工具围住无限的攻击面:
现实地看待业务风险水平(以及你愿意接受的内容)
完美的安全是不可持续的,但蒙住眼睛假装一切都是蓝天也是不可持续的。我们已经知道组织会故意发布易受攻击的代码,很明显,这是根据新功能和产品的上市时间计算出的风险。
高速安全是一项挑战,尤其是在DevSecOps不是标准开发方法的地方。但是,我们只需要看看最近的 Log4Shell 漏洞 了解代码中相对较小的安全问题如何为成功的攻击开辟了机会,并了解这些经过计算的运送低质量代码的风险所产生的后果可能远大于预期。
对成为(访问)控制狂感到满意
大量代价高昂的数据泄露是由云存储环境配置不当造成的,而且访问控制错误可能导致的敏感数据泄露继续困扰着大多数组织的安全团队。
2019年,财富500强公司第一美国金融公司 艰难地发现了这个。身份验证错误——这个错误相对容易修复——导致了超过8亿条记录的泄露,包括银行对账单、抵押贷款合同和带照片的身份证。他们的文档链接不需要用户识别或登录,因此任何拥有网络浏览器的人都可以访问它们。更糟糕的是,它们是用连续数字记录的,这意味着链接中数字的简单更改就会暴露出新的数据记录。
这个安全问题在出现之前是内部发现的 在媒体上曝光但是,未能将其正确归类为高风险安全问题,以及未能将其报告给高级管理层以进行紧急补救,所造成的后果至今仍在研究中。
现在访问控制中断是有原因的 OWASP 前 10 名: 它像灰尘一样常见,开发人员需要经过验证的安全意识和实用技能,才能在自己的版本中掌握有关身份验证和权限的最佳实践,确保检查和措施到位,以保护敏感数据泄露。
API 的本质使它们特别相关且棘手;从设计上讲,它们与其他应用程序的交谈非常紧张,开发团队应该对所有潜在的接入点有可见性。毕竟,他们在寻求提供更安全的软件时无法考虑未知变量和用例。
分析您的安全计划:对预防的重视程度如何?
安全计划的很大一部分专门用于事件响应和反应是有道理的,但是许多组织一开始就没有利用所有可用资源来防止安全事件,从而错过了宝贵的风险最小化。
当然,有大量的安全工具可以帮助发现有问题的错误,但是 将近50%的公司承认了他们知道的运费代码存在漏洞。时间限制、工具集的复杂性以及缺乏训练有素的专家来回应报告,所有这些都导致了本质上是经过计算的风险,但是代码需要在云端、应用程序、API功能、嵌入式系统、库以及不断扩大的技术领域中得到保护,这一事实确保了我们当前的方法将永远落后一步。
安全漏洞是人为的问题,我们不能指望机器人为我们修复所有问题。如果你的开发团队没有得到有效的提高技能——不仅仅是年度研讨会,而是适当的教育基石——那么你总是面临接受低质量代码作为标准以及随之而来的安全风险的风险。
您是否高估了开发人员的准备情况?
很少评估开发人员的安全编码能力,这不是他们的优先事项(在很多情况下也不是关键绩效指标)。如果没有向他们展示更好的路径或被告知这是衡量他们成功的标准,他们就不可能成为不良安全做法的罪魁祸首。
但是,各组织内部往往假设所提供的指导有效地使工程团队做好了减轻常见安全风险的准备。视培训情况和他们运用安全最佳实践的意识而定,他们可能没有做好成为理想的第一道防线(以及阻止无休止的注入漏洞阻塞渗透测试报告)的准备。
理想的状态是,越来越复杂的学习路径已经完成,由此产生的技能经过验证,以确保它在现实世界中真正适合开发人员。但是,这需要一种文化标准,即从一开始就考虑开发人员,并正确启用该标准。如果我们作为一个行业要走向荒野,捍卫我们自己创建的这片广阔的代码格局,我们将需要我们所能得到的所有帮助... 而且摆在我们面前的东西比我们意识到的还要多。
这篇文章的一个版本出现在 SD 时报。它已在此处更新和发布。
当我们谈论进展时,数字化进步通常是对话的重中之重。我们希望一切都更好、更快、更方便、更强大,我们希望以更少的资金、时间和风险来做到这一点。在大多数情况下,这些 “不可能” 的目标最终得以实现;可能需要几年时间和多个版本(还有一支开发人员团队,如果要求他们在功能设计上切换方向,他们可能会发动政变) 再来一次),但是每天,代码都在改变世界。
但是,良好的软件扩展伴随着巨大的责任,而现实是,从安全的角度来看,我们根本没有做好应对的准备。软件开发不再是一个孤岛,当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构,更不用说连接所有风险的API——攻击面是无国界和失控的。
我们不能指望每行代码都由经验丰富的安全专家精心检查的神奇时光- 技能差距不会很快缩小 -但是,作为一个行业,我们可以采用更全面的方法来实现代码级安全。
让我们探讨如何使用手头的工具围住无限的攻击面:
现实地看待业务风险水平(以及你愿意接受的内容)
完美的安全是不可持续的,但蒙住眼睛假装一切都是蓝天也是不可持续的。我们已经知道组织会故意发布易受攻击的代码,很明显,这是根据新功能和产品的上市时间计算出的风险。
高速安全是一项挑战,尤其是在DevSecOps不是标准开发方法的地方。但是,我们只需要看看最近的 Log4Shell 漏洞 了解代码中相对较小的安全问题如何为成功的攻击开辟了机会,并了解这些经过计算的运送低质量代码的风险所产生的后果可能远大于预期。
对成为(访问)控制狂感到满意
大量代价高昂的数据泄露是由云存储环境配置不当造成的,而且访问控制错误可能导致的敏感数据泄露继续困扰着大多数组织的安全团队。
2019年,财富500强公司第一美国金融公司 艰难地发现了这个。身份验证错误——这个错误相对容易修复——导致了超过8亿条记录的泄露,包括银行对账单、抵押贷款合同和带照片的身份证。他们的文档链接不需要用户识别或登录,因此任何拥有网络浏览器的人都可以访问它们。更糟糕的是,它们是用连续数字记录的,这意味着链接中数字的简单更改就会暴露出新的数据记录。
这个安全问题在出现之前是内部发现的 在媒体上曝光但是,未能将其正确归类为高风险安全问题,以及未能将其报告给高级管理层以进行紧急补救,所造成的后果至今仍在研究中。
现在访问控制中断是有原因的 OWASP 前 10 名: 它像灰尘一样常见,开发人员需要经过验证的安全意识和实用技能,才能在自己的版本中掌握有关身份验证和权限的最佳实践,确保检查和措施到位,以保护敏感数据泄露。
API 的本质使它们特别相关且棘手;从设计上讲,它们与其他应用程序的交谈非常紧张,开发团队应该对所有潜在的接入点有可见性。毕竟,他们在寻求提供更安全的软件时无法考虑未知变量和用例。
分析您的安全计划:对预防的重视程度如何?
安全计划的很大一部分专门用于事件响应和反应是有道理的,但是许多组织一开始就没有利用所有可用资源来防止安全事件,从而错过了宝贵的风险最小化。
当然,有大量的安全工具可以帮助发现有问题的错误,但是 将近50%的公司承认了他们知道的运费代码存在漏洞。时间限制、工具集的复杂性以及缺乏训练有素的专家来回应报告,所有这些都导致了本质上是经过计算的风险,但是代码需要在云端、应用程序、API功能、嵌入式系统、库以及不断扩大的技术领域中得到保护,这一事实确保了我们当前的方法将永远落后一步。
安全漏洞是人为的问题,我们不能指望机器人为我们修复所有问题。如果你的开发团队没有得到有效的提高技能——不仅仅是年度研讨会,而是适当的教育基石——那么你总是面临接受低质量代码作为标准以及随之而来的安全风险的风险。
您是否高估了开发人员的准备情况?
很少评估开发人员的安全编码能力,这不是他们的优先事项(在很多情况下也不是关键绩效指标)。如果没有向他们展示更好的路径或被告知这是衡量他们成功的标准,他们就不可能成为不良安全做法的罪魁祸首。
但是,各组织内部往往假设所提供的指导有效地使工程团队做好了减轻常见安全风险的准备。视培训情况和他们运用安全最佳实践的意识而定,他们可能没有做好成为理想的第一道防线(以及阻止无休止的注入漏洞阻塞渗透测试报告)的准备。
理想的状态是,越来越复杂的学习路径已经完成,由此产生的技能经过验证,以确保它在现实世界中真正适合开发人员。但是,这需要一种文化标准,即从一开始就考虑开发人员,并正确启用该标准。如果我们作为一个行业要走向荒野,捍卫我们自己创建的这片广阔的代码格局,我们将需要我们所能得到的所有帮助... 而且摆在我们面前的东西比我们意识到的还要多。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的一个版本出现在 SD 时报。它已在此处更新和发布。
当我们谈论进展时,数字化进步通常是对话的重中之重。我们希望一切都更好、更快、更方便、更强大,我们希望以更少的资金、时间和风险来做到这一点。在大多数情况下,这些 “不可能” 的目标最终得以实现;可能需要几年时间和多个版本(还有一支开发人员团队,如果要求他们在功能设计上切换方向,他们可能会发动政变) 再来一次),但是每天,代码都在改变世界。
但是,良好的软件扩展伴随着巨大的责任,而现实是,从安全的角度来看,我们根本没有做好应对的准备。软件开发不再是一个孤岛,当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构,更不用说连接所有风险的API——攻击面是无国界和失控的。
我们不能指望每行代码都由经验丰富的安全专家精心检查的神奇时光- 技能差距不会很快缩小 -但是,作为一个行业,我们可以采用更全面的方法来实现代码级安全。
让我们探讨如何使用手头的工具围住无限的攻击面:
现实地看待业务风险水平(以及你愿意接受的内容)
完美的安全是不可持续的,但蒙住眼睛假装一切都是蓝天也是不可持续的。我们已经知道组织会故意发布易受攻击的代码,很明显,这是根据新功能和产品的上市时间计算出的风险。
高速安全是一项挑战,尤其是在DevSecOps不是标准开发方法的地方。但是,我们只需要看看最近的 Log4Shell 漏洞 了解代码中相对较小的安全问题如何为成功的攻击开辟了机会,并了解这些经过计算的运送低质量代码的风险所产生的后果可能远大于预期。
对成为(访问)控制狂感到满意
大量代价高昂的数据泄露是由云存储环境配置不当造成的,而且访问控制错误可能导致的敏感数据泄露继续困扰着大多数组织的安全团队。
2019年,财富500强公司第一美国金融公司 艰难地发现了这个。身份验证错误——这个错误相对容易修复——导致了超过8亿条记录的泄露,包括银行对账单、抵押贷款合同和带照片的身份证。他们的文档链接不需要用户识别或登录,因此任何拥有网络浏览器的人都可以访问它们。更糟糕的是,它们是用连续数字记录的,这意味着链接中数字的简单更改就会暴露出新的数据记录。
这个安全问题在出现之前是内部发现的 在媒体上曝光但是,未能将其正确归类为高风险安全问题,以及未能将其报告给高级管理层以进行紧急补救,所造成的后果至今仍在研究中。
现在访问控制中断是有原因的 OWASP 前 10 名: 它像灰尘一样常见,开发人员需要经过验证的安全意识和实用技能,才能在自己的版本中掌握有关身份验证和权限的最佳实践,确保检查和措施到位,以保护敏感数据泄露。
API 的本质使它们特别相关且棘手;从设计上讲,它们与其他应用程序的交谈非常紧张,开发团队应该对所有潜在的接入点有可见性。毕竟,他们在寻求提供更安全的软件时无法考虑未知变量和用例。
分析您的安全计划:对预防的重视程度如何?
安全计划的很大一部分专门用于事件响应和反应是有道理的,但是许多组织一开始就没有利用所有可用资源来防止安全事件,从而错过了宝贵的风险最小化。
当然,有大量的安全工具可以帮助发现有问题的错误,但是 将近50%的公司承认了他们知道的运费代码存在漏洞。时间限制、工具集的复杂性以及缺乏训练有素的专家来回应报告,所有这些都导致了本质上是经过计算的风险,但是代码需要在云端、应用程序、API功能、嵌入式系统、库以及不断扩大的技术领域中得到保护,这一事实确保了我们当前的方法将永远落后一步。
安全漏洞是人为的问题,我们不能指望机器人为我们修复所有问题。如果你的开发团队没有得到有效的提高技能——不仅仅是年度研讨会,而是适当的教育基石——那么你总是面临接受低质量代码作为标准以及随之而来的安全风险的风险。
您是否高估了开发人员的准备情况?
很少评估开发人员的安全编码能力,这不是他们的优先事项(在很多情况下也不是关键绩效指标)。如果没有向他们展示更好的路径或被告知这是衡量他们成功的标准,他们就不可能成为不良安全做法的罪魁祸首。
但是,各组织内部往往假设所提供的指导有效地使工程团队做好了减轻常见安全风险的准备。视培训情况和他们运用安全最佳实践的意识而定,他们可能没有做好成为理想的第一道防线(以及阻止无休止的注入漏洞阻塞渗透测试报告)的准备。
理想的状态是,越来越复杂的学习路径已经完成,由此产生的技能经过验证,以确保它在现实世界中真正适合开发人员。但是,这需要一种文化标准,即从一开始就考虑开发人员,并正确启用该标准。如果我们作为一个行业要走向荒野,捍卫我们自己创建的这片广阔的代码格局,我们将需要我们所能得到的所有帮助... 而且摆在我们面前的东西比我们意识到的还要多。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
