OWASP 的 2021 年名单洗牌:新的战斗计划和主要敌人
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
