未来的前沿阵地。为什么开发人员需要超越OWASP前10名的安全编码的掌握程度
2021 年,我们迎来了传说中的 OWASP Top 10 的新纪元。最新发布的榜单揭示了一些重大的变化,注入漏洞终于从榜首的位置上被挤了下来,取而代之的是访问控制漏洞(Broken Access Control)。不安全设计》和《软件和数据完整性失效》等全新条目显示了漏洞类别的发展趋势,而不是独立的安全漏洞,这证明最常见漏洞的威胁范围和潜在攻击面正在不断扩大。
OWASP 一直是研究我们日常使用的软件中最常见和最隐蔽的安全问题的权威机构,如果说企业应该努力的基准是什么的话,那就是在经过安全培训的开发人员的帮助下征服这十大漏洞。虽然许多公司都认识到了这一点,但如果要缩小网络安全技能的鸿沟,并在面对疯狂的代码需求时对软件安全产生积极影响,我们就必须开始在开发人员的技能提升方面撒下更大的网。
本白皮书将剖析新的 OWASP Top 10,包括
- 脆弱性类别对个别问题的影响
- 建筑安全为何再次受到关注
- 将 OWASP Top 10 作为基准的价值,以及为什么企业需要规划自己的开发人员技能提升优先事项清单
- 为什么以人为本的减少漏洞解决方案比基于工具的防御方法更全面?


2021 年,我们迎来了传说中的 OWASP Top 10 的新纪元。最新发布的榜单揭示了一些重大的变化,注入漏洞终于从榜首的位置上被挤了下来,取而代之的是访问控制漏洞(Broken Access Control)。不安全设计》和《软件和数据完整性失效》等全新条目显示了漏洞类别的发展趋势,而不是独立的安全漏洞,这证明最常见漏洞的威胁范围和潜在攻击面正在不断扩大。
OWASP 一直是研究我们日常使用的软件中最常见和最隐蔽的安全问题的权威机构,如果说企业应该努力的基准是什么的话,那就是在经过安全培训的开发人员的帮助下征服这十大漏洞。虽然许多公司都认识到了这一点,但如果要缩小网络安全技能的鸿沟,并在面对疯狂的代码需求时对软件安全产生积极影响,我们就必须开始在开发人员的技能提升方面撒下更大的网。
本白皮书将剖析新的 OWASP Top 10,包括
- 脆弱性类别对个别问题的影响
- 建筑安全为何再次受到关注
- 将 OWASP Top 10 作为基准的价值,以及为什么企业需要规划自己的开发人员技能提升优先事项清单
- 为什么以人为本的减少漏洞解决方案比基于工具的防御方法更全面?

2021 年,我们迎来了传说中的 OWASP Top 10 的新纪元。最新发布的榜单揭示了一些重大的变化,注入漏洞终于从榜首的位置上被挤了下来,取而代之的是访问控制漏洞(Broken Access Control)。不安全设计》和《软件和数据完整性失效》等全新条目显示了漏洞类别的发展趋势,而不是独立的安全漏洞,这证明最常见漏洞的威胁范围和潜在攻击面正在不断扩大。
OWASP 一直是研究我们日常使用的软件中最常见和最隐蔽的安全问题的权威机构,如果说企业应该努力的基准是什么的话,那就是在经过安全培训的开发人员的帮助下征服这十大漏洞。虽然许多公司都认识到了这一点,但如果要缩小网络安全技能的鸿沟,并在面对疯狂的代码需求时对软件安全产生积极影响,我们就必须开始在开发人员的技能提升方面撒下更大的网。
本白皮书将剖析新的 OWASP Top 10,包括
- 脆弱性类别对个别问题的影响
- 建筑安全为何再次受到关注
- 将 OWASP Top 10 作为基准的价值,以及为什么企业需要规划自己的开发人员技能提升优先事项清单
- 为什么以人为本的减少漏洞解决方案比基于工具的防御方法更全面?
2021 年,我们迎来了传说中的 OWASP Top 10 的新纪元。最新发布的榜单揭示了一些重大的变化,注入漏洞终于从榜首的位置上被挤了下来,取而代之的是访问控制漏洞(Broken Access Control)。不安全设计》和《软件和数据完整性失效》等全新条目显示了漏洞类别的发展趋势,而不是独立的安全漏洞,这证明最常见漏洞的威胁范围和潜在攻击面正在不断扩大。
OWASP 一直是研究我们日常使用的软件中最常见和最隐蔽的安全问题的权威机构,如果说企业应该努力的基准是什么的话,那就是在经过安全培训的开发人员的帮助下征服这十大漏洞。虽然许多公司都认识到了这一点,但如果要缩小网络安全技能的鸿沟,并在面对疯狂的代码需求时对软件安全产生积极影响,我们就必须开始在开发人员的技能提升方面撒下更大的网。
本白皮书将剖析新的 OWASP Top 10,包括
- 脆弱性类别对个别问题的影响
- 建筑安全为何再次受到关注
- 将 OWASP Top 10 作为基准的价值,以及为什么企业需要规划自己的开发人员技能提升优先事项清单
- 为什么以人为本的减少漏洞解决方案比基于工具的防御方法更全面?
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。