ClickShare漏洞可能已被修补,但它们掩盖了一个更大的问题
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
