专家访谈。与Oscar Quintas讨论基础设施即代码
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
