博客

复制/粘贴是一种危险的编码技术

皮特-丹休
发表于2017年9月30日

来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。

对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。

  • 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
  • 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
  • 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。

报告提出了以下解决方案。

  • 劳动力再培训
  • 半自动化的安全漏洞检测和修复

我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。

"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

查看资源
查看资源

这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
发表于2017年9月30日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。

对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。

  • 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
  • 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
  • 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。

报告提出了以下解决方案。

  • 劳动力再培训
  • 半自动化的安全漏洞检测和修复

我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。

"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。

对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。

  • 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
  • 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
  • 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。

报告提出了以下解决方案。

  • 劳动力再培训
  • 半自动化的安全漏洞检测和修复

我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。

"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
发表于2017年9月30日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。

对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。

  • 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
  • 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
  • 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。

报告提出了以下解决方案。

  • 劳动力再培训
  • 半自动化的安全漏洞检测和修复

我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。

"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心