博客

软件供应商是否像你一样关心安全问题?

马蒂亚斯-马杜博士
发表于 2023 年 9 月 11 日

这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。

对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。

超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。

而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。

供应链安全的巨大转变

一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。

对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。

虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。

可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。

企业如何改进软件供应链?

这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全? 

EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。

显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。 

所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。

而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码

诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。 

下一步?

风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。 

你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。

最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。 

在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。

查看资源
查看资源

可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,并将供应商的安全实践视为其内部安全计划的一部分进行严格审查。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发表于 2023 年 9 月 11 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。

对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。

超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。

而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。

供应链安全的巨大转变

一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。

对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。

虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。

可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。

企业如何改进软件供应链?

这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全? 

EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。

显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。 

所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。

而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码

诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。 

下一步?

风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。 

你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。

最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。 

在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。

对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。

超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。

而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。

供应链安全的巨大转变

一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。

对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。

虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。

可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。

企业如何改进软件供应链?

这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全? 

EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。

显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。 

所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。

而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码

诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。 

下一步?

风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。 

你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。

最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。 

在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发表于 2023 年 9 月 11 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。

对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。

超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。

而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。

供应链安全的巨大转变

一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。

对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。

虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。

可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。

企业如何改进软件供应链?

这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全? 

EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。

显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。 

所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。

而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码

诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。 

下一步?

风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。 

你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。

最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。 

在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心