皮特-丹休

澳大利亚政府如何建立国家网络安全复原力并抵御威胁

从澳大利亚政府推动认真对待网络安全的行动中可以看出，网络安全已被确定为国家层面的一个关键风险领域，但他们的战略是否达到了足够的高度？

仅仅向左转变是不够的。为什么从左边开始是你实现卓越软件安全的关键

围绕 "左移 "的许多倡议，即在开发过程中更早地引入安全问题，只是没有足够的进展。

认证安全意识。提升开发者的行政命令

美国联邦政府的最新行政命令涉及到功能网络安全的许多方面，但第一次具体概述了开发人员的影响，以及他们需要具备经过验证的安全技能和意识。

新的NIST指南。为什么定制培训对创建安全软件至关重要

美国国家标准与技术研究所（NIST）发布了一份更新的白皮书，详细介绍了减少软件漏洞和网络风险的几个行动计划。

成长的高峰期。五岁生日快乐。Secure Code Warrior

我本可以用所有表明一家蓬勃发展、超速增长的创业公司的事实和数字来开始这篇文章；不可否认，这些数字令人印象深刻，我们正在进行的公司发展轨迹也很强劲。然而，对我来说，这些数字并不反映我在2019年最引以为豪的事情。

七年来，Secure Code Warrior ，并开始感到真实。

我们的生日里程碑是一个美妙的提醒，让我们反思我们的劳动成果，庆祝团队，并充满信心地应对未来的一年。而现在，自成立以来已经七年了，我不禁要问。我们做到了吗？这是一个真正的公司了吗？当然，我们已经成熟了，但我当然希望我们永远不要失去从一开始就有的好奇心、激情和极客精神。

激励开发者是改善安全实践的关键

专业开发人员希望接受DevSecOps并编写安全代码，但他们的组织需要支持这一转变，如果他们希望这一努力得到发展。

Secure Code Warrior 第8轮：全部登上火箭船

本周，我们正式庆祝Secure Code Warrior 。一方面，这是阿波罗11号任务长度的350倍，以及相当于45000场足球比赛，或玩超级马里奥奥德赛5696次到最后。另一方面，它只是巨龟寿命的三十分之一（如果你想知道，250年）。在一个高增长的创业公司的世界里，它代表了一个由许多曲折、转折、教训和成就组成的旅程，其中许多是我们最初在商业计划书上签字时无法想象的。

轮子上的API。风险漏洞的公路旅行

对API的安全问题听之任之，是以后引入问题的一个可靠方式，最坏的情况是可能造成毁灭性的后果，最好的情况是令人沮丧的返工和低性能。

COVID-19接触追踪。安全编码的情况是什么？

接触者追踪应用程序的想法是合理的。这项技术如果运作良好，将确保热点地区迅速被发现，并能进行全面的测试--这都是对抗传染性病毒传播的重要组成部分。

推动网络应用程序安全缺陷的被遗忘的人为因素

如果没有人教他们为什么要写安全代码，不安全代码的后果，以及最重要的是，如何在他们各自的编程框架中首先防止写出这些漏洞，那么开发者应该如何写出安全代码呢？

复制/粘贴是一种危险的编码技术

这项工作的意义在于，我们为大量令人震惊的安全编码问题提供了经验证据，这些问题以前没有报道过

2019年最危险的软件错误：历史重演的更多证据

在去年年底，MITRE的神奇社区发布了他们的CWE 25大最危险软件错误名单，这些错误在2019年影响了世界。而其中大部分并不令人惊讶。

Secure Code Warrior - 祝我们三岁生日快乐

我们的愿景是使开发人员成为他们组织的第一道防线，使安全问题高度可见，并为他们提供从一开始就编写安全代码的技能和工具。

为什么我们需要支持而不是惩罚好奇的安全意识？

青少年安全研究员Bill Demirkapi揭露了他的学校所使用的软件的主要漏洞，这无疑勾起了我的一些回忆。我记得我是一个好奇的孩子，掀开软件的盖子，看看它是如何工作的......以及我是否能破解它。

一些CISO正在将安全技能的短缺变成一个机会

赋予开发人员从一开始就编写安全代码的权力，是CISO从安全困境中抓住一些主动控制的机会，在这里，安全和开发团队都有机会获得快速、简单和可衡量的改进。

向左移位

如果一个开发者在用JavaScript编码时写了一个跨站脚本错误，并且他们能够在创造这个缺陷的几分钟内发现这个错误

2021年网络安全预测。银河系间的战斗开始了

我们预测，2021年是我们将一种新的太空竞赛带入主流的一年：使我们的星系免受网络威胁。

网络犯罪分子正在攻击医疗保健行业（但我们可以反击）。

医疗保健可能是下一个 "伟大 "的网络安全战场，犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。

DevSecOps：老的安全漏洞仍在施展新的伎俩

在网络安全领域，我们经常像猎人一样。我们的眼睛紧紧盯着地平线，扫描下一个突破性的漏洞。然而，这种前瞻性的关注可能会产生令人惊讶的效果，抑制我们的整体安全意识。

2019年OWASP AppSec Day：培养安全的开发者

这些以开发人员为重点的活动是我在日历上最喜欢的活动之一；它们提供了一个谦卑的提醒，提醒我们这个社区不知疲倦地教育和授权软件工程师和专家在其工作中倡导安全。

我们在AppSec荒地上需要的变革。我的2019年预测

我们面临的真正的战斗不是针对脚本小子，或危险的有组织的网络犯罪集团......而是让更多人关心数据泄露的发生。

软件安全处于狂野的西部（它将使我们丧命

软件安全对我来说始终是最重要的，就像我们日益数字化、个人信息共享的生活方式所带来的非常真实的危险。毕竟，我们正处于一个基本上不受管制、不受监督和被忽视的领域。我们正处于狂野的西部。

你的安全计划集中在事件响应上吗？你做错了。

强调预防性--而不是反应性--的方法可能不会被安全团队以外的人广泛理解，特别是在没有发生大的、坏的、安全事件的情况下。

网络安全培训和积极的强化措施

修改后的PCI安全标准委员会指南。他们是否向左移动得足够远？

今年，PCI安全标准委员会发布了一套全新的软件安全指南，作为其PCI软件安全框架的一部分。这一更新旨在使软件安全最佳实践与现代软件开发相一致。

元空间中的恶意行为。在新的领域与已知的网络威胁作斗争

当今的数字宠儿--元空间--的出现为代码级漏洞和社会工程增加了一个巨大的新攻击面。而我们根本没有准备好在这个靠烟雾和镜面繁荣的新的竞争环境中作战。

你的开发人员是风险的第一线还是防线？根据我们的安全编码检查表为您的公司评分

随着首席信息官们积极建立他们的企业敏捷能力，安全编码技能将成为创新的武器，而不具备这些技能将成为毁灭的工具。

华为安全英国问题表明需要安全编码

英国华为网络安全评估中心最近的一份报告指出，华为的软件工程流程中存在重大安全问题。但这是一个可以解决的问题。

确保API的安全。不可能完成的任务？

API安全是艰难的，但通过充分的培训、规划和对最佳实践的关注，即使是最隐蔽的漏洞也可以得到缓解。

静态 Vs.动态网络安全培训。冲动的服从，未来的问题

虽然监管措施无疑会随着时间的推移而改进和发展，但如果企业现在已经按下了恐慌按钮并跃跃欲试地进行培训，他们可能会发现自己对未来准备不足。

为什么DevOps的实施常常不成功（以及你如何解决这个问题

很少有公司在实施DevOps时能真正取得成功。然而，整个企业的正确支持、培养和理解可以改变你的流程。

GitHub用户因纯文本疼痛而被勒索赎金

最近对GitHub存储库的攻击凸显了安全行业内一个众所周知的问题：大多数开发者根本没有足够的安全意识，宝贵的数据随时都可能面临风险。

开发安全运营的光明前景？它比你想象的更接近

有许多解决方案可以发现代码中的漏洞，但安全问题需要更加强调教导开发人员遵循安全准则，以防止他们首先犯这些错误。

揭开政府供应链管道中网络漏洞的面纱

显然，网络安全很重要，但在供应链的背景下，网络安全究竟意味着什么？

DACH的DevSecOps：安全编码试点项目的主要发现

随着GDPR的到来，以及在一次暴露了许多公众人物的敏感数据的多阶段攻击后修订的战略--以及德国联邦政府的服务器--显然，网络安全意识和行动是DACH地区领导人的首要任务。

更多的违规行为，更多的问题。第三方应用程序的信任成本

我们必须停止认为安全是公司创新道路上的一个恼人的障碍。

这需要一个村庄。社区精神如何创造更安全的开发人员

这里有各种类型的开发者，来自各行各业，而且我们所做的一切都有一种社区感。

开发人员如何定义 "安全编码"？

对于什么是安全编码行为的看法是有争议的。根据最近与Evans Data合作的研究，这种情绪被白纸黑字地揭示出来。2022年开发者驱动的安全状况调查深入研究了1200名活跃开发者的关键见解和经验，阐明了他们在安全领域的态度和挑战。

安全领域的女性。聚焦法特玛-贝杜恩

我们的客户成功副总裁Fatemah Beydoun最近发表了她的演讲："为未来做指导。我们如何能在培养女性网络安全人才方面做得更好 "的演讲，听众们都非常踊跃。她一直是推动网络安全行业积极变革的一个组成部分。

深度安全培训正在引起教育界的质疑

虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分，但一些大学正在带头提供一流的培训，并从一开始就把安全作为开发过程的一部分来优先考虑。

有创造力的CISO和CIO如何创新和改造他们的安全计划

有创意、有灵感的首席执行官和首席信息官有能力创新和塑造我们的数字世界，但他们也可以在转变组织的安全文化方面起到作用。

伟大的全球补丁。VxWorks缺陷将使数百万设备受到影响

虽然VxWorks对于普通消费者来说并不是一个家喻户晓的名字，但这个软件产品每天都在为许多像你和我一样的人带来好处。而现在，我们面临着数以亿计的由VxWorks驱动的设备现在受到损害的可能性。

为什么游戏化是提升软件安全水平的关键

我们必须努力改变这种对话，使安全成为每个开发者工作生活中不可或缺的一部分。我认为做到这一点的最好方法之一是通过游戏化等方式增强开发人员的安全意识和参与度。

六年Secure Code Warrior ：我们已经长大了吗？

这是一年中的一个特殊时刻（无论如何，对我们来说），我在这里反思我们最近的一圈，以及在过去的365天里做了什么来为新一年的成长、教训和不可避免的不可预测性做好准备。

Secure Code Warrior 和 Bugcrowd。一个安全极客天堂中的匹配

这是正式的：我们正在与Bugcrowd联手，为教育、授权和启迪开发人员的安全编码而奋斗。

开发者Tournaments。应用安全的秘密武器，提高安全文化和参与度

难道你不认为现在是我们给安全改造的时候吗？这就像改变对话一样简单，并使一切对双方，特别是开发团队来说更积极（更不用说有趣！）。

从这个读心术中吸取教训，让安全再次成为一种乐趣!

不管你是为C-suite提供网络安全培训，还是帮助JAVA或C#的开发人员保障编码技能，都有一个创意、游戏化和趣味的地方。

国际女工程师日。认识我们的明星

6月23日是极客日历上的一个特殊条目，标志着国际工程女性日。这是我们的机会，让我们了解妇女对软件开发的贡献。

同理心、感恩和保持谦卑。我们文化的基础

软件安全行业并不完全以其温暖和模糊的感觉、异想天开的观察和生活评论而闻名，但是，也许随着我年龄的增长，我发现自己在反思我们所有人对世界的影响。

一个改善招聘过程的视频游戏

关于网络安全的最佳实践，请关注金融业

随着网络攻击的增加--影响到每个垂直领域的每一类组织--昂贵的、令人尴尬的和影响底线的数据泄露的威胁是非常真实的。这个问题并没有变小，而是像肿瘤一样在增长。

网络安全的未来。未来一年不会发生的事情

在我们这个行业，许多安全专家已经开始预测今年的热点问题，但由于2019年有超过50亿条敏感数据记录被盗，我们认为预测在可预见的未来网络安全领域不会发生什么事情会更准确。

如何推出有效的开发者安全培训：5条重要经验

关于如何推出有效的开发者安全培训的5条重要经验

重新思考组织结构中的软件问题

通过帮助定义我们的应用程序和软件在一个严格的层次结构中的责任，并以最小的特权执行这些政策，我们可以确保我们的应用程序和软件也能生存和发展，尽管他们面临着各种威胁。

对于开源软件安全动员计划，我们是否足够成熟？

开源软件安全动员计划代表了开发者驱动的安全的一个积极步骤。然而，我们都必须总结并诚实地评估我们的组织是否足够成熟--以及我们的开发团队是否有正确的安全意识和技能水平--来实施最新和最伟大的防御策略。

早午餐会上的佼佼者。我们在应用安全领域的领导者分享他们的智慧

针对如何充分利用企业的应用安全预算等热点问题，以及听众提出的一些弯弯绕绕的问题，应用安全领域的领导者小组提供了一些真正的早晨魔法，将帮助安全专家在他们的组织内建立可行的计划。

四岁生日快乐Secure Code Warrior, 你这个厚脸皮的小家伙

我的女儿和公司越长大，我就越意识到，创业的历程和 "初为人父 "的历程之间有很多相似之处。我现在已经是这两者的第四年了。

每个开发者都应该向他们的潜在雇主提出的一百万美元的问题

有一个问题是需要每个开发者问的，无论你是毕业生还是老手。而答案很重要。

网络安全行业分析。我们必须纠正的另一个反复出现的漏洞

我们没有得到现实的建议，也没有得到最快的解决方案，来对抗现代网络安全的不间断攻击。当然，每个漏洞都有其不同的方式，而且有许多攻击载体可以在脆弱的软件中被利用。可行的通用建议将是有限的，但最佳实践方法看起来越发有缺陷了。

COBOL应用开发安全Secure Code Warrior

传统的COBOL，虽然是一种较老的计算机语言，但至今仍然有效。了解更多关于COBOL安全应用开发的信息，请访问Secure Code Warrior 。

泄漏的API有可能将公司的声誉冲到海里去

API安全是一个离大多数安全专家都不远的问题，这也是我们需要用知识来武装自己的问题。

PCI-DSS 4.0将比你想象的更快到来，这是一个提升你的组织的网络复原力的机会。

今年早些时候，PCI 安全标准委员会公布了支付卡行业数据安全标准（PCI DSS）的 4.0 版本。虽然企业在 2025 年 3 月之前不需要完全符合 4.0 标准，但这次更新是迄今为止最具变革性的一次，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈元素。除此之外，还需要对开发人员实施基于角色的安全意识培训和定期安全编码教育。

Pieter Danhieux，首席执行官兼联合创始人，Secure Code Warrior ："每个人都应该了解并接受他们在网络安全中扮演的角色"

CyberNews与Pieter Danhieux（首席执行官兼联合创始人）的问答，Secure Code Warrior 。

主动保护：利用国家网络安全战略进行高级威胁预防

CISA的国家网络安全战略代表了我们在全面提高软件标准方面的最佳机会，并最终迎来了一个具有安全技能的开发者的新时代。

法律硕士：安全编码的（非）完美人性化方法？

虽然 LLM 式的人工智能技术将不可避免地改变我们处理许多方面工作的方式，而不仅仅是软件开发，但我们必须退后一步，考虑头条新闻之外的风险。作为编码伴侣，它的缺陷或许是其最 "人性化 "的属性。

提高安全编码的标准：为未来就绪的企业注入敏捷学习

我们宣布完成C轮融资，为我们下一阶段的使命筹集了5000万美元：帮助更多先锋组织利用其开发团队的力量挫败常见漏洞。 

揭晓：令人兴奋的合作伙伴关系，提升企业敏捷学习和开发人员驱动的安全性

我们刚刚宣布了 C 轮融资，我非常高兴地宣布我们公司又迈出了新的一步。安全行业的领导者Synopsys公司的产品套件又增加了一个令人兴奋的新成员：Synopsys 开发人员安全培训由Secure Code Warrior 提供。

您的安全计划为 CISA 的网络安全战略计划做好准备了吗？

网络安全战略计划》对大多数组织处理网络安全的方式提出了重大变革，而开发人员在帮助实现这些新目标方面处于独特的地位。

九的力量：在令人振奋的网络安全时代发展Secure Code Warrior的遗产

今天是我们的九岁生日，我为我们取得的成就和在网络安全领域的持久地位感到无比自豪和感激，因为网络安全领域仍在发生着日新月异的变化。

Linux 中的 XZ Utils 后门指向了更广泛的供应链安全问题，我们需要的不仅仅是社区精神来阻止它的出现

在主要 Linux 发行版使用的 XZ Utils 数据压缩库中发现了一个关键漏洞（CVE-2024-3094），该漏洞是由威胁行为者通过后门引入的。这个高严重性问题允许潜在的远程代码执行，给软件构建过程带来重大风险。该漏洞影响了 Fedora Rawhide 中 XZ Utils 的早期版本（5.6.0 和 5.6.1），并紧急呼吁企业实施补丁。该事件凸显了社区志愿者在维护开源软件方面的关键作用，并强调了在软件开发生命周期内加强安全实践和访问控制的必要性。

女性在安全领域大获全胜：AWSN 如何培养新一代安全女超人

通过设计确保安全是每个人都在谈论的最新倡议，澳大利亚政府与 CISA 在全球管理的最高层面上开展合作，正在指导供应商提高软件质量和安全标准。

捍卫者的十年Secure Code Warrior 十周年

Secure Code Warrior在过去的整整十年中，SCW 的创始团队始终团结一致，在每一次教训、胜利和挫折中掌舵前行。作为开发人员风险管理的领导者，我们正在扩大规模，准备迎接下一个篇章，即 SCW 2.0。

Vibe Coding 会把你的代码库变成兄弟会派对吗？

Vibe 编码就像大学里的兄弟会派对，而人工智能就是所有庆祝活动的核心--小桶。放纵自己，发挥创意，看看自己的想象力能把你带向何方，是一件非常有趣的事情，但在喝了几桶酒之后，适度地喝酒（或使用人工智能）无疑是更安全的长期解决方案。

当好工具变坏时：人工智能工具中毒，以及如何阻止人工智能充当双面间谍

在软件开发中快速采用代理人工智能！(剧透：你可能不应该采用）。

网络安全界是否在代理人工智能方面发展过快？人工智能安全的未来已经到来，现在是专家们从思考走向现实的时候了。

SCW迎来十一周年：一场关于适应性与持续改进的实时实践课

2025年对人工智能、网络安全以及SCW而言都是重要的一年。我正以沉稳的信心迎接2026年，这份乐观唯有辛勤付出终获回报才能孕育。 

人工智能能编写和审查代码——但风险仍由人类承担

Anthropic公司推出的Claude代码安全系统，标志着人工智能辅助软件开发与现代网络安全防护方式的快速演进之间形成关键交汇点。

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.