软件供应商是不是像你一样关心中心安全性?
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的 “一个版本” 现在出来了 安全杂志。它已在此处更新新内容并发布。
对于安全专业人士来说,12 月 13 日有一些特别之处。那是我们终于永远消除了 SQL 注入的那一天吗?当不是。也许是 “国际安全工作者感谢日”?也没有。就在这一天,FireEye和Mandiant发布了有关以前未知的令人震惊的报道 全球入学活动 那将被称为 SolarWinds。该报告详细介绍了一次持续时间几乎令人难以置信的攻击,在该攻击中,恶意代码隐身藏在太阳风广受欢迎,欢迎的猎户管理软件的软件更新深度处。
Supercose18,000 名 SolarWindsCurendsCurensCancer 已下载了损坏的更新。他们中的许多人都是自动完成的,就像他们在组织和网络内部进行数百次软件更新一样。一经通过 Solarwinds 漏洞获得权限,攻击者就选择了高度选择性的攻击。许多大公司和政府机构构成的数据被盗,网络被破坏到破坏。它是最大的之一,也可能是 代价最高的漏洞 有史以来,尤其是自政府机构构造以来,损坏失失的全程度从未经公开。
之所以发生这一切,是因为人们身处没有适宜的当证或审查其活动的情况。下信其软件供应链中的供应商。
向供应链的安全大规格转移
警方报道后,公司、组织和政府机构迅速作出了回应。当然,SolarWinds的违规行为已经停止,但这次的攻击也暴露了受不了的管道和不受监控的软件供应链的危险。尽管 SolarWindsEverspirens 一件事发生了,但有关供应链如何攻击载体的影音响应继续下去。如果这次攻击没有其他好处,那就等于少将焦点放到了网络安全的一个关键但被忽视的方面。
对Solarwinds的打击最引人注目的地:应该是拜登总统的回应 行政命名令 关于改进国家的网络。该命令是美国有史以来发布的最全面的网络安全指南指令之一。它各机构的构造和与政府有业务往来的网络安全,倡议 nignAgnersolufirenwork 等高级保护措施,并强化软件供应链安全的必需性。
尽管首席执行官员是政府特有的,但其他团队也开始了强化供应链安全防范另一次SolarWindsFiss式攻击的重要性。例如,帕洛阿尔托最近发布了他们 第 42 单元云威报告 标题为 “保护软件供应链以保护云安全”。该报告指出,如果没有软件供应链安全,任何云端都不是完全安全的。云原生计算机基金会表演示同意,发布了 PeC 详细介绍了在 SolarWinds 之后的必然遵循必须遵循的关键软件供应链最佳实践。
可以肯定地说,过去几年对网络安全标准进行了变革,尽管这不是强制性的,但所有组织都应该是该死的,仔细审查供应商安全实例,就好像它是自己的安全计划的一部分一样。IMAGCISA的新举动 战略计划 提供了进一步的支持,表明将安全视视为共同责任正是所有软件开发者新标准的一部分,尤其是这些参与者与关键基础设想软件或供应链的开发者。
组织可以做些什么来改进其软件供应吗?
这种情况让许多供应商品确认,他们能做些什么来保护自己的供应。组织可以做些什么来确认其供应商像他们一样关心网络安全?
首席执行官特别概述了软件开发人员员工的影片响应力,以及他们需要家具备的必备性 经过验证的安全技能 以及意识,在一个迷人工具的行业中,这是一个往年被遗忘的领域,而这不是通过关键安全技能专长以人为本的防御。
显然,当今任何全面的网络安全方法都必须包括详细的第三方风险评估评估,以及盖现实的技术安全控制措施及对合作如何看待自己的组织内部的治理、风险和合规性的评估评估。
所有第三方评论估计都应包括保证和详细计划,说你的软件供应链中的人计划如何发布有过的证书标签书名的安全更新,以至于他们将如何帮助管理其所有软件和设备的身体身份。它还应为其产品的下载升级和更新提供一条清晰的路径。
现在,开发人员终于被视为软件供应链的关键组合成部分,任何评论估计都应包括一份报告,详细说明他们在开发社区内进行安全编程和持续改进,理想情况下,还应包括对他们的技能和当前培训进行基准测试。我们知道对开发人员可以提高 pragud 的重量程度,但是 48% 的开发人员承认意思发布易受攻击的代码。
时间限制制以及安全性在当今世界中根本不是重中之重(也不是衡量成功者的重量)等因素都导向了无法尽早解决代码级漏洞的环境。如果我们要阻碍他们感受软件供应 每个 组织需要承认 noInfirsch 对开发人员员工更友好的安全计划。
下一步?
风险估计评分至关重要,因为如果你在安全问题中使用来自存的供应者,你将承认他们的生态系统中并承受后果。但是,组织也应该认识到,他们的供应商品实际上可能更好,他们支持的开发者社区区。
你可以使用第三方风险评估作为评估自己身体安全的次要方法法。如果供应商在安全方针的处理能力比你在内部处理得更好,那么可以用他们的方法来改进自己的组织。
最后,真正在改进软件供应链的下一个重要步骤是为开发者提供安全编程码认证。制止一个好计划是第一个,但不管是该计划还是得到实际执行并帮助助生成安全代码也是必不可少的。
在我们达到让开发人员支持安全编解码成为常态的地步之前,我们将最初的终结落后,在威夷参与者窥视的前关闭机会之窗。但的确,在适度当的支持者下产生积极极限影响永远不可能太晚。看看你的开发者员工如何利用敏捷学习的力量量磨练相关、高影响力的安全技能 现在。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
