マティアス・マドゥ博士

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ-ビジネスロジック

この脆弱性は、コーダーがビジネスロジックルールを適切に実装できない場合に発生する可能性があり、悪意のあるユーザーがそれらを悪用した場合、アプリケーションがさまざまな種類の攻撃に対して脆弱になる可能性があります。

目に見えない隠れ家:SolarWinds攻撃が悪意のあるサイバーリスク以上のものを明らかにした理由

サイバーセキュリティ業界でクリスマスを台無しにする何かがあったとしたら、それは壊滅的なデータ侵害であり、米国政府に影響を及ぼした記録上最大のサイバースパイ活動になる見込みです。

Equifaxのハッキングの根本原因はウェブアプリの脆弱性です

繰り返しになりますが、Equifaxのハッキングの根本原因はWebアプリの脆弱性です。この種の脆弱性は10年以上前から存在していますが、今日でもなお重大な問題です。

OWASPの2021年リストシャッフル：新しいバトルプランと主な敵

悪名高い脆弱性の王様であるインジェクション攻撃（カテゴリー別）は、アクセス制御の破れによる最悪の攻撃としてトップの座を失っており、開発者は注意が必要です。

学術研究から産業界への移行は簡単ではありません

Show 139: Matias Madouがセキュア開発トレーニングとソフトウェアセキュリティテストの研究について語る

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-ブロークン・オブジェクト・レベル・オーソライゼーション

一般に、ユーザーからの入力を使用してデータソースにアクセスするすべての関数にオブジェクトレベルの認証チェックを含める必要があります。そうしないと、大きなリスクが伴います。

ストライク・ファースト・ストライク・ハード：キュレーションされたセキュア・コーディング・コースがサイバー脅威に容赦を与えない理由

開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。

30万人の開発者が実際に行っているセキュリティ対策とは？

約95,000のアプリケーションにまたがる約30万人の開発者が、ソフトウェア・セキュリティ・イニシアチブ（SSI）の計画、実行、測定にBSIMM8を使用しています。

ClickShareの脆弱性にはパッチが適用されているかもしれないが、はるかに大きな問題を覆い隠している

セキュリティ修正を開発プロセスに戻すことは容易ではありませんが、プレゼンテーションツールのような一見シンプルなデバイスでさえ驚くほど複雑で、他のすべてにネットワーク接続されている今日の世界では必要です。

オンラインセミナー:DevOps に「秒」を導入する準備はできていますか?

セキュリティが組織全体、そしてSDLC全体で共通の責任と見なされる段階に到達する必要があります。これは、全面的で支援力の高いDevSecOps環境にコミットすれば確実に実現できます。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-機能レベルのアクセス制御が欠けている

欠落している機能レベルのアクセス制御の脆弱性により、ユーザーは制限すべき機能を実行したり、保護すべきリソースにアクセスしたりできるようになります。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-認証失敗

認証は、多くの場合、アプリケーションへのゲートウェイとしてだけでなく、ネットワークの他の部分へのゲートウェイとしても機能するため、攻撃者にとって魅力的な標的です。認証プロセスが壊れていたり脆弱だったりすると、攻撃者がその弱点を発見して悪用する可能性が高くなります。

石油・ガス業界の「爆発的な」サイバー攻撃は生命を脅かす

捜査官によると、爆発を防いだのは攻撃者のコンピューターコードの間違いだけだという。

攻撃対象領域が終わらない時代における防止

ソフトウェア開発はもはや孤島ではなく、クラウド、電化製品や車両に組み込まれたシステム、重要なインフラストラクチャ、すべてをつなぐAPIなど、ソフトウェアを原動力とするリスクのあらゆる側面を考慮すると、攻撃対象領域は境界がなく、制御不能になります。

セキュリティ意識の高い開発者:AppSecにはあなたが必要です!

開発者は、AppSecに有利な形で参入できる絶好の立場にあります。

ソフトウェアベンダーはあなたと同じくらいセキュリティを気にかけていますか？

過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-一括割り当て

大量代入の脆弱性は、多くの最新のフレームワークが、開発者がクライアントからの入力をコード変数や内部オブジェクトに自動的にバインドする関数の使用を奨励した結果生まれました。

私のワークフローを混乱させるのはやめましょう！適切なセキュリティトレーニングを適切なタイミングで受ける方法

必要なときにトレーニングを受けるための障壁を減らすために何ができるか、マイクロラーニングをよりシームレスにワークフローに実装する方法について考え始めました。

不適切なコーディングパターンは大きなセキュリティ問題につながる可能性があります... では、なぜ私たちはそれらを奨励するのでしょうか？

開発者は、脆弱性の仕組み、なぜ危険なのか、どのようなパターンが脆弱性を引き起こすのか、どのような設計やコーディングパターンが脆弱性を修正するのかを理解していなければ、脆弱性の軽減にプラスの影響を与えることはできません。足場型のアプローチにより、知識を重ねることで、安全にコーディングすることの意味の全体像を把握し、コードベースを守り、セキュリティを意識した開発者として立ち上がることができます。

ゼロデイ攻撃が増加しています。今こそディフェンシブエッジを計画する時です。

ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。

退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec

これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。

開発者にセキュリティ意識を持ってコーディングしてもらいたいですか？トレーニングを彼らに届けましょう。

1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。

AppSecツールが特効薬だとしたら、なぜこれほど多くの企業がそれを採用しないのでしょうか。

AppSecツールが予想どおりに利用されていない理由はいくつかありますが、それはツールとその機能ではなく、セキュリティプログラム全体との統合方法に関するものです。

専門家インタビュー:Oscar Quintasによるコードとしてのインフラストラクチャ

私たちの専門家の一人、オスカー・キンタスにスポットライトを当てたいと思います。彼は当社のプロダクトコンテンツチームの一員で、シニアセキュリティリサーチャーとして働いています。また、コードとしてのインフラストラクチャ (IaC) のすべてに関する、当社の常駐ソーサラーでもあります。

ハッピーバースデー SQL インジェクション、潰せないバグ

SQL インジェクションは 22 周年を迎えました。この脆弱性は十分に古くから存在していますが、私たちはこの脆弱性を永久に潰すのではなく、弱体化させています。

サイバー犯罪の猛獣を倒す手助けをする開発者にとって、トレーニングは2つの部分に分かれています

サイバーセキュリティにおけるヒーローと悪役の競争の場は、不公平なことで有名です。機密データは新たな金であり、攻撃者は大小さまざまなセキュリティバグを悪用して潜在的な利益を得て、防御を回避することに素早く適応します。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-リソース不足とレート制限

この脆弱性は、同時に受信するリクエストが多すぎて、それらのリクエストを処理するための十分なコンピューティングリソースが API にない場合に発生します。そうすると、API が使用できなくなったり、新しいリクエストに応答しなくなったりする可能性があります。

2022年に無視できないサイバーセキュリティ問題

サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ:欠けている機能レベルのアクセス制御

インフラストラクチャレベルのアクセス制御が完璧な順序でなければ、企業全体が攻撃者に危険にさらされ、攻撃者はこの脆弱性を不正なスヌーピングや全面攻撃のゲートウェイとして利用する可能性があります。

Death by Doki: 深刻な被害をもたらした新しい Docker の脆弱性 (およびその対処法)

サイバー攻撃はますます頻繁になり、Linuxベースのインフラストラクチャに影響を与える脅威もますます一般的になっています。最終目標は、クラウドに保存されている機密データの宝庫を開ける機会を得ることです。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-過剰なデータ漏えい

この脆弱性の背後にある実際のメカニズムは他の脆弱性と似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されたデータまたは機密性の高いデータが関与することと定義されています。

優れたマイクロ波が故障した場合: 組み込みシステムのセキュリティが開発者にとって次なるボス戦となる理由

Webベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードが、攻撃者によって実際に発見されれば悪用される可能性があります。

退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える：パート2-CISOと開発者の意識

これは、組織内のPCI-DSSコンプライアンスに関するミニシリーズのパート2です。この最終章では、サイバーリスクを軽減し、プロセスをシームレスで成功させるために、CTOとCISOがトップからどのように指導できるかを詳しく説明します。開発者にとってはちょっと楽しいかもしれません。

あなたの組織は本当に DevSec に対応していますか?テストしてみましょう。

組織を念頭に置いて、自分の役割の文脈でこれらの質問について考えてみてください。DevSec のテストを受けるとどうなるでしょうか?

SQLインジェクションがアプリケーションセキュリティ界のゴキブリである理由（およびCISOがSQLインジェクションを完全に根絶する方法）

ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-ロギングとモニタリングが不十分

ロギングと監視が不十分な欠陥は、ほとんどの場合、失敗した認証試行、アクセス拒否、入力検証エラーをすべてログに記録するというサイバーセキュリティ計画が失敗したために発生します。

コーダーがセキュリティインフラを征服するコードシリーズ:安全でない暗号

最近では、パスワード、個人情報、財務記録などの重要なデータを保存中にハッシュ化することが、あらゆるサイバーセキュリティ防御の基礎となっています。

NISTで行動を起こす：サイバー防衛の未来に関する人間主導の立場

バイデン政権による最近のサイバーセキュリティ大統領令により、セキュリティ業界、特に日常業務にセキュアコーディングのベストプラクティスを適用することの重要性を開発者に理解してもらいたいと考えているセキュリティ業界は注目を集めています。

サイバー攻撃は39秒ごとに発生します。政府はついに反撃する準備が整ったのか？

サイバーセキュリティのベストプラクティスに対する人間主導のアプローチを強化する必要があります。そうすれば、自動化やツール、すでに埋め込まれて発見されている問題への対応に大きく依存するよりも、より良い結果が得られるでしょう。

高度なセキュリティインテリジェンス:開発者がNISTに対応できるよう支援するガイド付きコース

開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も詳しく扱っています。彼らのセキュリティスキルを養う必要があり、NISTが概説しているような高い基準を達成するには、特に大規模な開発コホートでは、実践的なコース構成が効率的な方法かもしれません。

れいのおかみ:金沢のモツコツコツコ階です

セキュア・コード・ウォリアー第四節第四節第四節第一。サーヴィン・ニュー・フリンは、ダーウィックフォーク、ディーナーナーナーナーナー・サモナーナーナーナーナーナー・サバイザーン。

働き方の未来は柔軟で、サイバーセキュリティにとっても素晴らしいことです

新しい働き方の未知数や少しの不信感、あるいはリモートワークを信じないことから不快感が生じたとしても、それに抵抗する企業は、優秀な人材の誘致、グローバルなリーチの維持、率直に言って、時代とともに動くという点で遅れをとる傾向があることがわかりました。

コーダーがセキュリティインフラを征服するコードシリーズ:パスワードのプレーンテキスト保存

最近のほとんどのコンピュータセキュリティの鍵はパスワードです。二要素認証や生体認証など、他のセキュリティ方法を採用したとしても、ほとんどの組織では、保護の 1 つの要素としてパスワードベースのセキュリティを採用しています。

1 行のコード、100 万ドル

航空電子機器のコード1行を変更するコストは100万ドルで、実装には1年かかります。ボーイング737をベースとした機材を保有するサウスウエスト航空にとっては「破産」することになります。

セキュリティツールの急増に悩まされている

複雑なセキュリティツールが氾濫していることで、サイバーセキュリティはCISOにとってさらに困難になっています。

SSDLCのあらゆる段階で安全なコーディングスキルを身に付けましょう

Secure Code Warriorは、GitHubコードスキャンにコンテキスト学習をもたらすGitHubアクションを構築しました。つまり、開発者は Snyk Container Action のようなサードパーティーのアクションを使って脆弱性を発見し、その結果を CWE 特有で関連性の高い学習で補強できるということです。

私のペンテスター、私の敵？ペンテストと静的解析の結果について、開発者が本当に考えていることを明かす

ペネトレーションテストと静的分析スキャンツール（SASTとしてよく知られています）は、セキュリティリスクを軽減するためのプロセス全体の一部に過ぎず、もちろんコードがホットフィックスのためにバウンスバックされるまでは、私たちが行っていることとはかなり独立して動作します。

「左から左へ」から始める:セキュアコードは常に品質の高いコードなのか?

ある程度の品質のコードもその定義上安全ですが、すべての安全なコードが必ずしも高品質であるとは限りません。純粋に安全なコーディング標準を確保するには、「左から左へ」から始めるのが公式なのでしょうか？

コーダーがセキュリティインフラストラクチャをコードシリーズで制覇-信頼できないソースからのコンポーネントを使う

ここで焦点を当てる脆弱性を誘発する動作は、信頼できないソースからのコードを使用することです。これは一見無害な行為であり、大きな問題を引き起こしています。

2016年に明らかになったEquifaxのセキュリティ問題

x0rzという名前の研究者のツイートによると、2016年に話を進めると、セキュリティ研究者がEquifaxのメインWebサイトでクロスサイトスクリプティング（XSS）と呼ばれる一般的な脆弱性を発見しました。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-不適切な資産管理

この脆弱性は、より人的または管理上の問題であり、古い API をより安全な新しいバージョンに置き換えるべきだった後も、長期間そのままで残ってしまいます。

チャンピオン対コーチ:すべての開発チームに両方が必要な理由

サイバーセキュリティアプローチで目標を掲げている企業の多くは、公式のセキュリティチャンピオンプログラムを実施し、そのような役割に適性と情熱を示す個人に、チーム間の連絡や一般的なチアリーディングからベストプラクティスの監督まで、主要なセキュリティ責任を課しています。

Rustは、5回目で最も愛されているプログラミング言語です。これは私たちの新しいセキュリティの救世主なのでしょうか？

Rustには、一般的に使用されている言語の既知の機能要素を取り入れ、パフォーマンスと安全性を導入しながら、複雑さを排除するという異なる考え方に基づいています。

Coders Conquer Security OWASP トップ 10 API 4k-Waid-Keady/740-mdey/f

APIでなにかみだっけ、厚くなりなりなりなりなりなりなりなりなりなりなりなりなりますかぎりぎらぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎら。194ALULGか、RCINALIDI API API API、VIGALUMIN楽輪。

優秀なDevSecOpsエンジニアになる方法

世界はウォーターフォール、アジャイル、そして今はDevOpsに移行し始めています。では、次の解決策は何でしょうか？そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか？

足場型学習がセキュリティに強い開発者を育てる理由

業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるよう、開発者支援のための新たな基準を採用することができます。

コーダーがセキュリティ・インフラストラクチャを征服するコードシリーズ:トランスポート層保護が不十分

時々、アプリケーションは全体的なワークロードの一部として他のプログラムとデータを共有することもあります。トランスポート層が保護されていない限り、外部からの覗き見や不正な内部閲覧の両方に対して脆弱になります。

全国サイバーセキュリティ啓発月間：フィッシング探検だけではない

すべての組織がサイバーセキュリティ啓発月間を活用してセキュリティ意識をリフレッシュできます。今年は、コーディングコミュニティ向けの新しい無料アプリもリリースします。

信頼の構築:AppSecと開発者の間の真のセキュリティシナジーへの道

不信という不安定な基盤の上に築かれた関係は、まあ、期待を低くして取り組むのが一番です。残念なことに、これは組織内の開発者とアプリケーション・セキュリティ・チームとの協力関係の状態かもしれません。

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ:セキュリティの設定ミス-不適切な権限

セキュリティの設定ミス、特に不適切な権限の設定は、開発者がタスクを実行するために新しいユーザーを作成したり、ツールとしてアプリケーションに権限を付与したりする場合に発生することがほとんどです。

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ:無効化されたセキュリティ機能

攻撃者は常に悪用されやすい脆弱性を最初に見つけようとしますが、スクリプトを使用して一般的な弱点を突破することもあります。泥棒が道路を走っているすべての車をチェックして、ドアのロックが解除されていないか確認するのと同じことです。窓を壊すよりもはるかに簡単です。

組織のセキュリティ成熟度を過大評価していませんか?

世界中のソフトウェアニーズを満たすために大量のコードが開発されていることと相容れないスキル不足が続いているため、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能な手っ取り早い成果を評価する時です。

世界クラスのCISOが2023年に予算と取締役会の信頼をどのように獲得しているか

CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。

適切なサポートがあれば、開発者は組織を優れた PCI DSS 4.0 コンプライアンスに導くことができます

企業のセキュリティ・バイ・デザイン・イニシアティブの有意義な成功を促す

最新の研究論文「セキュリティスキルのベンチマーキング：企業におけるセキュリティバイデザインの合理化」は、企業レベルでの実際のセキュリティバイデザインの取り組みを詳細に分析し、データ主導の調査結果に基づいてベストプラクティスのアプローチを導き出した結果です。

開発者にとってのセキュリティスキルのベンチマークのメリット

セキュアコードとセキュアバイデザインの原則への注目が高まる中、開発者はSDLCの開始時からサイバーセキュリティに関するトレーニングを受ける必要があり、Secure Code WarriorのTrust Scoreなどのツールが進捗状況の測定と改善に役立ちます。

トラストスコアは、セキュリティ・バイ・デザインのスキルアップ・イニシアチブの価値を明らかにする

私たちの調査によると、安全なコードトレーニングは効果的であることがわかっています。Trust Score は、600を超える組織の25万人以上の学習者が2000万点以上の学習データを利用したアルゴリズムを使用しており、脆弱性を軽減する上での効果と、この取り組みをさらに効果的にする方法が明らかになっています。

セキュリティスキルのベンチマーキング：企業におけるセキュリティ・バイ・デザインの合理化

セキュリティ・バイ・デザイン・イニシアチブの成功に関する有意義なデータを見つけることは、非常に難しいことで知られています。CISOは、セキュリティプログラム活動の投資収益率（ROI）とビジネス価値を人材レベルと企業レベルの両方で証明しようとする際に、しばしば課題に直面します。言うまでもなく、企業が現在の業界標準に対してどのようにベンチマークされているかを把握することは、企業にとって特に困難です。大統領の国家サイバーセキュリティ戦略は、利害関係者に「設計からセキュリティとレジリエンスを取り入れる」よう求めました。セキュア・バイ・デザイン構想を成功させる鍵は、開発者にセキュアなコードを確保するスキルを身につけさせるだけでなく、そのスキルが整っていることを規制当局に保証することです。このプレゼンテーションでは、25万人以上の開発者から収集された内部データポイント、データ主導の顧客洞察、公開調査など、複数の主要な情報源から導き出された無数の定性的および定量的データを共有します。このようなデータポイントの集合を活用して、複数の業種にわたるセキュリティ・バイ・デザイン・イニシアチブの現状に関するビジョンを伝えることを目指しています。このレポートでは、この分野が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティリスクの軽減に与える大きな影響、およびコードベースから特定のカテゴリーの脆弱性を排除できる可能性について詳しく説明しています。

AI で拡張された安全なソフトウェア開発における批判的思考の回復

AIの議論は、使用に関するものではなく、応用に関するものです。コードを深く理解している開発者に頼って、AI の生産性向上の必要性と堅牢なセキュリティとのバランスを取る方法をご覧ください。

要塞を築きましょう:ソフトウェア・セキュリティにおける開発者支援に欠かせない6つの柱

このホワイトペーパーでは、セキュリティの専門家であり、Secure Code WarriorのCTO兼共同創設者であるMatias Madou博士が、開発コホートに効果的なセキュリティ教育と支援を展開するために必要な6つの柱について説明します。企業レベルでセキュリティプログラムを実施している 10 人の経営幹部から学んだ教訓と、成功への道のりで避けるべき一般的な落とし穴があります。