推动网络应用程序安全缺陷的被遗忘的人为因素
2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。
在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。
网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。
在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。
但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。
在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?
这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。
这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。
我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。
看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。
如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。
在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。
网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。
在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。
但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。
在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?
这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。
这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。
我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。
看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。
如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?
2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。
在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。
网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。
在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。
但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。
在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?
这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。
这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。
我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。
看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。
如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。
在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。
网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。
在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。
但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。
在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?
这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。
这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。
我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。
看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。
如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
