马蒂亚斯-马杜博士

编码员征服安全的基础设施即代码系列--商业逻辑

当编码员未能正确实现业务逻辑规则时，就会出现这种漏洞，如果恶意用户选择利用它们，就会使他们的应用程序容易受到不同种类的攻击。

隐藏在众目睽睽之下。为什么SolarWinds攻击事件揭示的不仅仅是恶意的网络风险

如果说有什么东西能毁掉网络安全行业的圣诞节，那就是一个毁灭性的数据泄露事件，它将成为有记录以来影响美国政府的最大网络间谍事件。

赤峰市黑客攻击的根本原因是网络应用的漏洞

再一次，Equifax黑客事件的根本原因是一个网络应用程序漏洞。这些类型的漏洞已经存在了十多年，但在今天仍然如此相关。

OWASP的2021年名单洗牌。新的作战计划和主要敌人

注入攻击，这个臭名昭著的漏洞之王（按类别划分），已经失去了头把交椅，被破坏的访问控制所取代，成为最糟糕的漏洞，开发人员需要注意。

从学术研究转向工业界并非易事

Show 139: Matias Madou讨论安全开发培训和软件安全测试研究

Coders Conquer Security OWASP Top 10 API Series - 破解对象级授权

一般来说，对于每一个使用用户的输入访问数据源的功能，都应该包括对象级别的授权检查，如果不这样做，就会有很大的风险。

先下手为强：为什么策划的安全编码courses ，对网络威胁毫不手软？

一个包含你的开发人员需要显示熟练程度的确切模块的策划课程将产生有力的影响，并使他们在日常工作中的安全最佳实践方面打好基础。

30万名开发者真正做的安全实践是什么？

大约95,000个应用程序的近30万名开发人员使用BSIMM8来帮助计划、执行和衡量他们的软件安全计划（SSI）。

点击分享的漏洞可能已被修补，但它们掩盖了一个更大的问题

将安全问题的解决转移到开发过程中并不容易，但在今天的世界中是必要的，因为即使是像演示工具这样看似简单的设备也是惊人的复杂，而且还与其他一切事物联网。

网络研讨会。你准备好在DevOps中加入 "Sec "了吗？

我们必须达到这样一个阶段：安全被视为整个组织和整个SDLC的共同责任。当你致力于建立一个全面的、高度支持的DevSecOps环境时，这当然是可能的。

Coders Conquer Security OWASP Top 10 API Series - 缺少功能级访问控制

缺少的功能级访问控制漏洞允许用户执行应该被限制的功能，或者让他们访问应该被保护的资源。

Coders Conquer Security OWASP Top 10 API Series - 破碎的认证

认证通常作为一个应用程序和潜在的网络其他部分的网关，所以它们是攻击者的诱人目标。如果一个认证过程被破坏或有漏洞，攻击者很有可能会发现这个弱点并加以利用。

石油和天然气领域的 "爆炸性 "网络攻击危及生命

调查人员说，唯一阻止爆炸的是攻击者计算机代码中的一个错误。

永无止境的攻击面时代的预防工作

软件开发不再是一个孤岛，当我们考虑到由软件驱动的风险的所有方面--从云、电器和车辆中的嵌入式系统、我们的关键基础设施等一切，更不用说连接这一切的API--攻击面是无边界的，而且是无法控制的。

有安全意识的开发者。AppSec需要你!

开发人员处于有利可图的位置，可以跳槽到AppSec。

软件供应商是否像你一样关心安全问题？

可以说，过去几年是网络安全标准的转型期，虽然不是强制性的，但所有组织都应以此为目标，并将供应商的安全实践视为其内部安全计划的一部分进行严格审查。

Coders Conquer Security OWASP Top 10 API Series - Mass Assignment

大量赋值漏洞的诞生是由于许多现代框架鼓励开发者使用自动将客户端的输入绑定到代码变量和内部对象的函数。

不要再扰乱我的工作流程了!你如何在正确的时间获得正确的安全培训

我们开始思考我们能做些什么来减少在你需要时获得培训的障碍，以及如何以一种更无缝的方式将微学习落实到你的工作流程中。

不良的编码模式会导致很大的安全问题......那么我们为什么要鼓励它们呢？

开发人员如果没有对漏洞是如何工作的、它们为什么是危险的、什么模式导致了它们、以及什么设计或编码模式在他们的世界里有意义的背景下修复它们的基本理解，就不会对减少漏洞产生积极影响。一个脚手架式的方法允许各层的知识提供一个完整的画面，即安全编码、保护代码库以及作为一个安全意识的开发者站起来的意义。

零日攻击呈上升趋势。现在是时候规划一个防御性的优势了。

零日攻击，顾名思义，给了开发人员零的时间去发现和修补现有的可能被利用的漏洞，因为威胁者首先进入了。损失已经造成，然后就是疯狂地修复软件和对企业的声誉损害。攻击者总是处于优势地位，而尽可能地缩小这种优势是至关重要的。

将枯燥的PCI-DSS合规性变成对每个人都有意义的练习。第一部分 - AppSec

这是关于组织内成功遵守PCI-DSS的两部分系列中的第一部分。在本章中，我们将详细介绍AppSec专家如何与开发经理密切合作，以增强开发人员的能力，加强SSDLC，并从一般立法中获得具体成果。

想让开发人员用安全意识进行编码？把培训带到他们身边。

我们已经知道在一个工作日里有太多的事情要做，因此，开发人员有什么动机要去教室上课，或者通过上下文切换来获得静态的理论培训？

如果应用安全工具是银弹，为什么这么多公司不解雇它？

有几个原因导致AppSec工具没有像我们所期望的那样被利用，这与工具及其功能无关，而更多的是它们如何与整个安全计划整合。

专家访谈。与Oscar Quintas讨论基础设施即代码

我们想把目光投向我们的一位专家，Oscar Quintas。他是我们产品内容团队的一员，作为高级安全研究员工作。他也是我们所有基础设施即代码（IaC）方面的常驻巫师。

生日快乐 SQL注入，无法压制的错误

今天是SQL注入的22岁生日，尽管这个漏洞已经到了可以喝酒的年龄，但我们还是让它得到了更好的发展，而不是将它彻底压制。

对于开发人员来说，要想帮助杀死网络犯罪的野兽，培训是一种追求，分为两个部分

网络安全领域的英雄和恶棍之间的竞争是众所周知的不公平。敏感数据是新的黄金，攻击者迅速适应以规避防御，利用大大小小的安全漏洞获取潜在的报酬。

Coders Conquer Security OWASP Top 10 API Series - 缺少资源和速率限制

当有太多的请求同时进入，而API没有足够的计算资源来处理这些请求时，就会出现这种漏洞。然后，API可能变得不可用或对新的请求没有反应。

2022年我们不能忽视的网络安全问题

当谈到与网络犯罪分子作斗争时，我们需要尽可能地与他们保持同步，以预防的心态抢占他们的游戏场所。以下是我认为他们在未来一年可能开始掀起浪潮的地方。

编码员征服安全基础设施即代码系列。遗漏的功能级访问控制

如果没有基础设施级别的访问控制的完美秩序，它就会向攻击者开放整个企业，他们可以利用这个漏洞作为他们的网关，进行未经授权的窥探或全面攻击。

Doki之死：一个新的Docker漏洞的严重性（以及你可以做什么）。

网络攻击只会越来越频繁，影响基于Linux的基础设施的威胁也越来越普遍，其最终目标是有机会破解存储在云端的敏感数据的劫持。

Coders Conquer Security OWASP Top 10 API Series - 过度的数据暴露

这个漏洞背后的实际机制与其他漏洞类似，但在这种情况下，过度的数据暴露被定义为涉及受法律保护或高度敏感的数据。

当好的微波变成坏的。为什么嵌入式系统安全是开发者的下一场战斗？

与基于网络的软件、API和移动设备一样，嵌入式系统中的脆弱代码如果被攻击者在野外发现，就可以被利用。

将枯燥的PCI-DSS合规性变成对每个人有意义的练习。第二部分 - CISO和开发人员的意识

这是关于组织内PCI-DSS合规性的迷你系列的第二部分。在这最后一章中，我们将详细介绍首席技术官和首席信息官如何从高层领导减少网络风险，并使这一过程无缝、成功......也许对开发人员来说还有点意思。

你的组织真的做好了DevSec的准备吗？对它进行测试。

考虑到你的组织，在你的角色背景下思考这些问题。在接受DevSec测试时，它的表现会如何？

为什么SQL注入是应用安全世界的蟑螂（以及CISO如何一劳永逸地消灭它们

有一个众所周知的理论，即蟑螂基本上可以在任何情况下生存--甚至是核爆炸。

Coders Conquer Security OWASP Top 10 API Series - Insufficient Logging and Monitoring

记录和监控不足的缺陷主要是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。

编码员征服安全基础设施即代码系列。不安全的密码学

如今，在休息时对密码、个人信息和财务记录等关键数据进行加密是任何网络安全防御的基石。

与NIST一起行动。我们对网络防御的未来采取以人为本的立场

拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论，特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。

每39秒就有一次网络攻击。政府最终是否有能力进行反击？

我们需要加强以人为主导的网络安全最佳实践方法，它要比严重依赖自动化、工具和对已经嵌入和发现的问题的反应获得更好的结果。

提升的安全情报。引导courses ，帮助开发人员做好NIST准备

除了安全配置和访问控制之外，开发人员也是最接近和接触代码的人。他们的安全技能必须得到培养，为了达到NIST规定的高标准，实践课程结构可能是解决这个问题的有效方法，特别是对于大型开发团队。

介绍：Missions ：以开发人员为中心的安全培训的下一个阶段

我们很高兴地宣布在Secure Code Warrior 平台上发布一个全新的功能：Missions 。这个全新的挑战类别是开发性安全培训的下一阶段，使用户从回忆安全知识，到在真实世界的模拟环境中应用。

未来的工作是灵活的，这对网络安全很有利

无论是来自于对一种新的工作方式的不了解，还是有点不信任，或者是不相信远程工作，我发现那些对远程工作有抵触情绪的公司往往会在吸引顶尖人才、保持全球影响力方面落后，坦率地说是与时俱进。

编码员征服了安全基础设施即代码系列。密码的纯文本存储

如今，大多数计算机安全的关键涉及密码。即使采用了其他安全方法，如双因素认证或生物识别技术，大多数组织仍然采用基于密码的安全作为其保护的一个要素。

一行代码，100万美元

在一件航空电子设备上改变一行代码的成本是100万美元，而且需要一年时间来实施。对于其机队以波音737为基础的西南航空公司来说，这将使其 "破产"

饱受安全工具不足之苦

大量复杂的安全工具使网络安全对 CISO 来说更具挑战性。

在SSDLC的每个阶段建立安全编码技能

Secure Code Warrior 已经建立了一个GitHub动作，为GitHub代码扫描带来上下文学习。这意味着开发者可以使用像Snyk容器行动这样的第三方行动来寻找漏洞，然后用针对CWE的、高度相关的学习来增加输出。

我的entester，我的敌人？开发人员透露他们对entesting和静态分析结果的真实想法

渗透测试和静态分析扫描工具（更好地称为SAST）只是减轻安全风险的整个过程的一部分，与我们的工作相当独立地运作--当然，直到代码反弹到我们这里来进行热修复！这就是我们的工作。

从 "左边的左边 "开始。安全的代码总是高质量的代码吗？

具有一定质量水平的代码根据其定义也是安全的，但所有安全的代码不一定是好的质量。从 "左边的左边 "开始，是确保纯安全编码标准的公式吗？

编码员征服安全基础设施即代码系列--使用来自不信任来源的组件

我们在这里要关注的诱发漏洞的行为是使用来自不受信任来源的代码，这种看似良性的做法正在造成大问题。

2016年揭发的Equifax安全问题

跳到2016年，一位安全研究员在Equifax主网站上发现了一个被称为跨站脚本（XSS）的常见漏洞，根据一位名为x0rz的研究员的推文。

Coders Conquer Security OWASP Top 10 API Series - 不当资产管理

这个漏洞更多的是人为或管理问题，它使旧的API在应该被更新的、更安全的版本取代后很久还在原地。

冠军与教练。为什么每个开发团队都需要两者

许多在网络安全方面有目标的公司已经实施了一个正式的安全卫士计划，将关键的安全责任--从团队之间的联络和一般的拉拉队，到监督最佳实践--赋予那些对这种角色有能力和热情的人。

Rust第五次成为最受喜爱的编程语言。它是我们新的安全救星吗？

Rust融合了常用语言中的已知元素和功能元素，以一种不同的理念工作，在引入性能和安全的同时，处理掉了复杂性。

Coders Conquer Security OWASP Top 10 API Series - 已禁用的安全功能/已启用的调试功能/不当的权限

这在API中可能更普遍一些，但攻击者经常试图在网络中的任何地方找到未打补丁的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API，就会使他们的邪恶工作更容易一些。

如何成为一名出色的DevSecOps工程师

世界正开始向瀑布、敏捷和现在的DevOps迈进，那么下一个解决方案是什么？而作为一个开发者，你在跟上这些方法的变化中扮演什么角色？

为什么支架式学习能培养出安全感强的开发者？

作为一个行业，我们永远不应该期望开发人员成为安全专家，但企业可以采用新的标准来启用开发人员，这样他们就能生产出更高质量的软件。

编码员征服安全基础设施即代码系列。传输层保护不充分

有时，应用程序也会与其他程序共享数据，作为整个工作负载的一部分。除非传输层受到保护，否则会使其容易受到外部窥探和未经授权的内部查看。

国家网络安全意识月。不仅仅是钓鱼式的考察

每个组织都可以利用网络安全意识月来刷新他们的安全意识，今年，我们还为编码社区推出了一个新的、免费的应用程序!

建立信任。应用安全与开发者之间的真正安全协同之路

一个建立在不信任的基础上的关系，最好是以低期望值来对待。可悲的是，这可能是一个组织内的开发人员和AppSec团队之间的工作关系状况。

编码员征服安全基础设施即代码系列。安全错误配置--不当的权限

安全错误配置，特别是那些不恰当的权限，最常发生在开发者为了完成任务而创建一个新的用户或授予应用程序作为工具的权限时。

编码员征服安全基础设施即代码系列。残缺的安全功能

攻击者总是试图首先找到容易利用的漏洞，甚至可能使用脚本来运行常见的弱点。这与小偷检查一条街上的所有汽车，看是否有车门未锁的情况不同，这比砸窗要容易得多。

您是否高估了组织的安全成熟度？

随着技能的持续短缺与为满足全球软件需求而编写的大量代码之间的矛盾，许多企业的网络安全战略和现有基础设施正在落后。现在，我们应该诚实地审视我们的整体网络安全成熟度，并评估我们眼前可行的速赢方案。

世界级 CISO 如何在 2023 年赢得更多预算和董事会信任

首席信息安全官们发现自己的处境越来越困难：他们需要保护更多的资产、发送更多的代码、减少更大的攻击面，而他们的财政资源却在迅速减少。网络安全被视为成本中心，这是一个无法回避的事实，尽管企业的安全计划阻碍了威胁行为者成为明天灾难性的头条新闻，但安全领导者必须做更多的工作，以对行政机构有意义的语言来推销和证明该部门的整体业务价值。

有了正确的支持，开发人员就能帮助企业实现 PCI DSS 4.0 的卓越合规性

推动企业安全设计计划取得重大成功

我们最新的研究论文《基准安全技能：简化企业安全设计》是对企业级实际安全设计举措进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。

开发人员安全技能基准测试的益处

对安全代码和 "按设计安全 "原则的日益重视，要求开发人员从 SDLC 的一开始就接受网络安全培训，Secure Code Warrior'信任分数'等工具可帮助衡量和改进他们的进展。

被动安全与预防安全：预防是更好的治疗

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏，但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

信任度得分揭示了 "按设计确保安全 "提升计划的价值

我们的研究表明，安全代码培训是有效的。信任分数》采用一种算法，从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点，揭示了该算法在减少漏洞方面的有效性，以及如何使这一举措更加有效。

打造你的堡垒软件安全中开发人员赋能的六大基本支柱

在本白皮书中，安全专家、Secure Code Warrior 首席技术官兼联合创始人 Matias Madou 博士将讨论：为您的开发团队开展有效的安全教育和培训所需的六大支柱。从十位在企业级实施安全计划的高管身上汲取的经验教训，以及在通往成功的道路上需要避免的常见陷阱。