博客

点击分享的漏洞可能已被修补,但它们掩盖了一个更大的问题

马蒂亚斯-马杜博士
发表于2020年9月28日

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

查看资源
查看资源

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备也是惊人的复杂,而且还与其他一切事物联网。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发表于2020年9月28日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发表于2020年9月28日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在 DevOps.com.它已被更新,以便在此发布,并包括漏洞挑战的互动链接。

我想我们都能回忆起最近的一次,在一次会议上或在一个会议上,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎都期望有一个笨拙的体验,至少在最初。因此,ClickShare的无缝应用立即受到终端用户的欢迎,这并不奇怪。对他们来说,没有什么比使用ClickShare应用程序将笔记本电脑、平板电脑或智能手机上的演示文稿推送到大屏幕或会议室投影仪上更容易了。总部位于比利时的数字投影和成像技术供应商巴可公司将他们的自动化平台设计成这种方式,大企业也接受了这一概念。FutureSource咨询公司认为巴可在会议技术方面的市场份额为29%,并与《财富》杂志1000家公司中的40%进行了整合。

当F-Secure公司的研究人员在12月透露,这个看似无害的自动化平台充满了安全漏洞时,它在商业界引起了震动。被发现的安全漏洞在本质上是关键的,有可能使任何数量的恶意活动成为可能。

研究人员展示了这些漏洞如何允许远程用户窥探活动演示,创建进入安全网络的后门,甚至配置一个间谍软件分发服务器,感染连接到巴可设备的每个用户。突然间,公司面临着在整个组织的会议室和办公室内直接安装严重安全问题的前景。而且,由于漏洞的性质,一个被破坏的设备可以支持整个网络的破坏。

"F-Secure的官员在他们的报告中写道:"成功入侵一个单元的攻击者获得了解密以及为任何单元制作有效的加密图像的能力,无论是在一个家庭内还是跨家庭。"此外,这样的攻击者可能会获得休息时的敏感数据,如配置的Wi-Fi PSK和证书。"

值得称赞的是,巴可一直非常积极地对其产品中发现的漏洞发布补丁和修复。安全厂商Tenable最近发布的一份报告显示,包括巴可在内的八种演示工具存在15个漏洞。截至2月,只有巴可一直在积极部署修复程序。

虽然巴可公司的一些漏洞需要改变硬件(如果一个公司行动到这种程度,根本无法保证它们的安全,那么这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁进行纠正。这给大多数企业用户提供了一个看似很好的计划来解决他们眼前的问题,但他们现在几乎没有任何问题。在处理知名硬件和软件产品的漏洞时,巴可公司的问题只是冰山一角。

问题的根源

现在,眼前的问题已经解决,我们需要问的是,存在严重安全缺陷的设备是如何出现在全球成千上万的会议室里的,或者说,为什么它们的设计和编程如此糟糕。这并不像F-Secure团队发现的零日或以前未知的漏洞。在Barco产品中发现的10个缺陷与众所周知的常见漏洞有关,如代码注入攻击。大多数已经有了共同漏洞和暴露(CVE)的标识。

那么,几十年前的CVE是如何被编码的,甚至是硬连接到现代演示工具中的?唯一可能的答案是,开发人员要么不知道这些问题,要么在设计巴可设备时没有把安全作为优先事项。可悲的是,这是一种常见的情况,当然不是巴可团队独有的。

修复漏洞的最佳时机是在应用程序正在开发的时候,也就是在它被发送给用户之前。最糟糕的(也是最昂贵的)时间是在产品被部署之后,或者在它被攻击者利用之后。这可能是一个艰难的教训,也是巴可肯定会学到的一个教训,因为在这次安全惨败之后,它曾经坚不可摧的市场份额受到了打击。

将安全问题的解决转移到开发过程中并不容易,但在今天的世界中是必要的,因为即使是像演示工具这样看似简单的设备,也会出乎意料地复杂,而且还与其他一切事物联网。在这种环境下,安全必须成为一种组织的最佳实践。不管一个公司是为社交媒体编程还是制造智能烤面包机,安全问题必须在组织的每个方面都得到考虑。

优先考虑安全最佳实践并使其成为共同的责任是DevSecOps运动的目标,在这个运动中,开发、安全和运营团队一起工作,编码和部署安全的软件和产品。这需要文化上的改变,就像其他事情一样。新的心态需要是,部署一个有安全漏洞的工作产品和创造一个不能执行其主要功能的产品一样,都是失败。

在一个健康的DevSecOps环境中,任何接触软件的人都应该有安全意识,开发人员要经常接受相关的培训,以避免在工作中引入灾难性的漏洞。如果为巴可工作的团队将安全视为一种共同的责任,就不可能有这么多的漏洞,包括几十年前的CVE,会进入他们的演示工具。

安全前进的道路

没有人愿意成为下一个巴可,不得不解释为什么众所周知的安全缺陷通过他们的设备被部署到世界各地成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应该立即将安全作为一项共同的责任和组织的最佳实践来优先考虑。创建一个健康的DevSecOps项目需要时间,也可能需要文化上的转变,但其结果将更值得努力。强大的DevSecOps可以在漏洞造成麻烦之前就将其粉碎。

对于购买产品和软件的公司来说,支持那些已经接受DevSecOps的公司符合他们的最佳利益。这样做将在很大程度上确保从他们那里获得的设备和软件不会成为等待被日益熟练的攻击者利用的定时炸弹。

请查看 Secure Code Warrior博客页面,了解更多关于DevSecOps的见解,以及如何保护你的组织和你的客户免受安全缺陷和漏洞的破坏。

想深入了解巴可经历的安全漏洞吗?

在上玩这些游戏化的挑战。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心