改善组织安全态势的一个可靠方法是让开发人员掌握安全编码的最佳实践，并在一个包含基线和基准的框架内提供开发人员所需的特定学习途径。然而，安全编码不是一次性就能解决的问题，它必须成为一种生活方式，融入组织的基因。开发人员不仅要向左转，或从左开始，而且要一直向左转。 

仅仅提供培训是不够的。企业需要确认开发人员是否完全吸收了培训内容，并在软件开发生命周期（SDLC）的初期就遵循最佳实践，将其作为日常工作的一部分。您需要跟踪开发人员的绩效，并根据内部标准和行业基准衡量他们的进步，从而有效衡量投资培训的投资回报率。

Secure Code Warrior信任分值"可提供单个开发人员绩效的可见性，并将数据汇总以提供组织整体绩效的assessment 。它可以显示提高技能计划的有效性，同时确定需要改进的领域。此外，它还有助于确保符合一系列监管合规要求，无论是《通用数据保护条例》（GDPR）、《支付卡行业数据安全标准》（PCI DSS）、《加利福尼亚州消费者隐私法案》（CCPA）还是其他要求。

我们的研究表明，安全代码培训是有效的。信任分数》采用一种算法，从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点，揭示了该算法在减少漏洞方面的有效性，以及如何使这一举措更加有效。

如果开发人员接受培训，培训就能提高安全性 

多年来，在软件开发流程（SDLC）的开始阶段使用安全最佳实践在软件行业似乎只是一种愿望--有朝一日能实现就好了，但并不是当前的首要任务。但是，随着软件开发速度的不断加快，以及复杂而具有破坏性的网络威胁（通常建立在针对软件漏洞的基础上）步伐的加快，安全编码变得至关重要。网络安全和基础设施安全局(CISA) 通过其 "安全设计"计划将安全代码放在最重要的位置，该计划正在发展成为一项国际运动。 

我们的研究证明了这一点--"按设计确保安全 "方法与减少软件漏洞之间的相关性是显而易见的。我们分析了 SCW 26% 客户群的漏洞减少数据，发现开发人员培训导致软件漏洞减少了 22% 到 84%。这一范围是由各种变量造成的，如相关公司的规模（规模较小、开发人员相对较少的公司产生的结果范围更大），以及学习小组是否专注于某个特定问题，在这种情况下，他们消除的漏洞比例更高。

大公司的结果相当一致。拥有 7,000 名或更多开发人员的公司预计，由于开发人员提高了安全技能，漏洞将减少 47% 至 53%。例如，据统计，一家拥有 10,000 多名开发人员的平均水平公司（既不是平台上的佼佼者，也不是基准最高的公司）的漏洞减少了 53%。 

当然，最有效的培训并不是笼统的、一刀切的方法。培训应根据开发人员的工作环境和开发类型量身定制。

公司应首先确定开发人员必须掌握的基本技能，使他们能够像编写代码一样自然地编写安全代码。提高技能计划应包括在真实世界场景中进行的实践性敏捷培训，这些场景应与开发人员的工作类型和使用的语言相匹配。此外，培训还应该足够灵活，以便将培训课程与他们的工作时间安排相匹配。 

对于开发人员来说，技能组合涉及的不仅仅是编写代码。他们需要能够检查人工智能助手和第三方（如开源软件库）创建的软件。开发人员热衷于使用生成式人工智能模型，他们普遍称赞这种模型能帮助他们更快地创建更多代码。然而，尽管在Snyk的一项调查中，76% 的受访者表示人工智能生成的代码比人类生成的代码更安全，但仍有 56.4% 的受访者表示人工智能有时或经常会引入错误。同一调查还发现，80% 的开发人员跳过了应用人工智能代码安全策略，这表明人工智能代码中的代码问题并未得到解决。

在 "按设计确保安全 "方法中，开发人员将与安全团队合作，而不是与他们分开，在 SDLC 的早期阶段解决这些问题，在代码投入生产之前发现并修复缺陷。

信任分数衡量个人和企业绩效

此外，持续培训也至关重要。公司需要采用一种安全第一的文化，这种文化适用于从公司最高层到下级的所有地方。这种文化应注重持续改进，并在整个 SDLC 中应用最佳安全实践。技术和网络罪犯不会停止发展，网络安全也不应该停止发展。对于生产软件的企业来说，经过安全培训的开发人员是基础。

这就是为什么证明培训已经有效地开展起来与培训本身同样重要的原因。Trust Score 不仅能提供开发人员个人和组织整体绩效的可见性，还能让组织深入了解绩效数据，关注特定语言、开发人员团队或软件类别。来自个人和综合绩效结果的数据还有助于确定需要改进培训的领域--例如，如果培训没有对开发人员的日常绩效产生预期效果。

Trust Score 使企业能够评估开发人员的绩效，并确认他们是否已经掌握并正在使用必要的安全技能，从而确保他们获得编码许可。它使企业能够放心地让合格的开发人员访问其最敏感的数据和关键软件项目，同时拒绝让那些尚未准备好的工具开发人员访问。

不断变化的安全文化的证明

网络安全不再仅仅是一个安全问题。它是一个商业问题，影响着许多组织最宝贵的资产--数据的完整性。严重的漏洞会影响组织的运营、声誉，甚至可能影响其生存能力。监管机构并没有忽视网络安全的重要性，它们一直在实施越来越严格的法规，并愿意对 CISO 以及其他可能的高层管理人员提起诉讼，甚至提出刑事指控，如Uber和SolarWinds 的案例。 

在当今的环境中，采用全企业范围的安全文化至关重要。由于公司的价值主要体现在数据、应用程序和服务上，因此安全编码是这种文化的核心要素。作为文化思想的一部分，有针对性的培训和技能提升，再加上证明培训有助于改变文化的证据，可以让企业走上加强安全态势的道路。 

开发人员驱动的安全计划是有价值的。信任分数就是最好的证明。

在当今云驱动的 DevOps 世界中，安全团队很难跟上如潮水般涌现的新创新，因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。 

然而，尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件，到近年来发生的更多事件，如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞，并在事件发生时作出反应。这种方法在另一个时代也许是合适的，但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。

为了避免继续处于不利地位，他们需要停止追逐那些对他们来说发展太快的安全威胁，或者等到数据外泄事件发生时才行动。相反，他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性，就必须采用安全设计方法，并辅以有效的开发人员培训，以确保在软件开发生命周期（SDLC）之初就采用最佳安全实践，并在投入生产之前对漏洞进行修复。

迄今为止，事实证明这说起来容易做起来难。 

安全编码员供不应求

美国网络安全和基础设施安全局（CISA）一直试图通过其 "设计安全"（Secure-by-Design）倡议将预防作为一项关键政策来推动，该倡议提倡安全编码以及其他最佳实践--从多因素身份验证（MFA）到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而，我们的研究表明，迄今为止，只有极少数组织加入了该计划。

如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起，那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计，这约占全球开发人员总数的 3.5%，预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码，尤其是在生成式人工智能程序大大加快了开发速度的情况下，很少有人会学习如何从安全代码入手。 

软件工程师一般不学习网络安全知识，因为传统模式要求开发人员和安全专业人员分头工作，安全团队在软件制作完成后再解决安全问题。但在当今的环境中，安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告（BSIMM14）显示，全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全，这并不是确保代码安全的良方。 

如果将应用安全的市场规模与其他安全领域进行比较，应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场，预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长，但与网络安全（预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元）或操作技术安全（预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元）的支出相比，就显得微不足道了。 

考虑到安全代码和应用程序的重要性与日俱增，这方面的资金却不足。事实上，如果企业在应用程序安全和 "安全设计 "方法上投入更多资金，就可以在其他安全领域节省开支。 

还有其他一些因素导致人们认为预防性安全更难实施，因此也更难向高层管理人员推销。首先，一些历史悠久的公司，如金融服务行业的公司，都有一些老旧的遗留系统，其中一些可以追溯到上世纪中叶，当时 COBOL 还是首选的编程语言。 

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏，但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。 

建设预防文化

向预防性安全方法的过渡可能起步较慢，但采用 "按设计确保安全 "实践的推动力不会消失，因为在当今的网络威胁环境中，对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员，而不是提高汽车的安全性，那么它将会被大肆抨击。

企业需要采取预防性的主动方法来降低风险。他们应该制定计划，在 SDLC 的早期阶段，提高开发人员编写安全代码和纠正错误（如人工智能助手或第三方代码带来的错误）的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划，并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。

重要的是，这需要包括一种衡量其进展的方法，以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况，同时还能确定需要改进的领域。 

通过设计确保安全的方法是整体性的，反映了组织内安全第一的思想，即安全是业务的优先事项。当然，响应和恢复是企业整体安全态势的重要组成部分。但是，通过将重点放在预防上，企业可以在降低风险方面取得长足进步，或许还能避免可能威胁企业生存的重大漏洞。

立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。

随着网络威胁日益猖獗和复杂，网络安全的焦点正集中在安全代码的重要性上。白宫的《国家网络安全战略》、网络安全和基础设施安全局（CISA）的 "按设计保证安全"（Secure-by-Design）倡议，以及其他国家的倡议和立法，将安全责任完全推到了软件生产商的肩上。在软件开发生命周期（SDLC）的早期确保安全，曾经被认为是一件很好的事情，但现在对于企业保护其数据和系统并避免发生漏洞后的监管后果至关重要。

确保安全编码实践的关键在于开发人员的培训。软件工程师通常很少或根本没有接受过网络安全教育。他们的工作，尤其是在当今加速的 DevOps 环境中，一直是尽快开发出新的应用程序、升级和服务，而且越来越多地借助快速工作的生成式人工智能模型，让安全团队在 SDLC 的后期阶段解决网络安全问题。这种方法无法有效解决大量代码产生的缺陷，往往会导致软件漏洞被释放到生态系统中。

开发人员需要从一开始就接受编写安全代码的培训，并能够捕捉人工智能生成的不安全代码，或者当这些代码出现在他们使用的开源软件和其他第三方软件中时。对于许多开发团队和组织来说，这是一个尚未涉足的领域。他们如何知道开发人员正在接受所需的培训？培训是否定期进行？

一些开展开发人员教育的公司发现，为开发人员建立一套技能基准并根据明确定义的基准来衡量他们的进展是有益的。为了帮助实现这一目标，Secure Code Warrior 推出了一项基准，旨在准确衡量开发人员在安全培训方面的进展。SCW Trust Score使企业能够衡量培训在工作中的应用情况，并使安全、开发人员和工程团队能够进行协作。

这种方法既能证明安全代码培训已初见成效，又能找出需要改进的地方。

安全设计的理由

软件生产商完全有理由在 SDLC 流程之初就将安全性纳入其中。事实证明，对应用程序和服务不断增长的需求以及人工智能为开发流程带来的速度对开发人员非常有用，他们很快就采用了生成式人工智能，但这也不可避免地导致漏洞百出的软件被发布到管道中。生成的代码越多，缺陷也就越多--最近的研究发现，近四分之三的应用程序（无论其创建方式如何）至少包含一个安全漏洞，其中近 20% 被认为是关键漏洞。 

在软件开发流程（SDLC）的后期弥补漏洞变得既耗时又昂贵，令人望而却步。美国国家标准与技术研究院（NIST）发现，在测试过程中修复缺陷所需的时间是在 SDLC 开始阶段确保软件安全所需的时间的 15 倍，而在部署/维护阶段修复缺陷所需的时间则要长 30 到 100 倍。 

所有这些都强调了在开发周期开始时应用安全的重要性，事实证明，这不仅是降低风险的最有效方法，也是最具成本效益的方法。开发人员与安全团队合作，而不是让他们作为单独的实体运作，是将安全引入 SDLC 开始阶段的最佳人选。接受过安全最佳实践培训的开发人员能有效减少漏洞。问题是，接受过培训的开发人员少之又少。

基准之美 

公司的基本途径包括建立安全技能基线、提供培训，以及向组织和监管机构证实开发人员已掌握必要的技能。事实证明，这对所有经济部门的许多组织来说都具有挑战性，但其实大可不必如此。

安全领导者面临的挑战之一，是在整个企业中推广培训计划的难度。但 SCW 的研究表明，企业，尤其是那些拥有大量开发人员的企业，可以成功实施安全设计方法。规模较小的企业在应用安全设计原则的程度上往往差异很大。不过，它们也能从包含信任分数的方法中获益，而且可能会更快地显示出改进效果。

Trust Score 使用基准指标来衡量每个学员的进步，汇总他们的分数来评估整个团队的表现，并将组织的进步与行业基准和最佳实践进行比较。它不仅能跟踪培训情况，还能显示开发人员日常应用新技能的情况。它还能突出需要改进的方面，使企业能够优化其培训/技能提升计划。 

在 CISA 有数据可查的关键基础设施领域中，大多数组织在实施安全设计原则方面的水平大致相同。从金融服务和国防工业基地到医疗保健、IT 和关键制造等行业的信任度得分都在同一范围内--在 1000 分的评分标准中略高于 300 分。尽管传统观点认为，作为监管最严格的行业，金融服务业将遥遥领先，但没有一个行业超过其他行业。

未纳入信任度排名的关键基础设施部门，如化工、能源和核运营部门，一般不会创建自己的软件，而是依赖于其他部门，尤其是 IT 部门。然而，在这些部门内维护安全系统的重要性（没有人愿意看到核电站被入侵）只能说明，首先确保这些部门所使用软件的安全是多么重要。

总结

监管压力的增加和网络威胁形势的现实，使得那些希望保护其数据、系统、业务运营和声誉的企业必须采用 "按设计确保安全 "的方法。在很大程度上，创建安全软件的工作掌握在开发人员的手中，但他们需要得到全面的技能提升和培训计划的帮助，以提供他们所需的教育，并展示如何应用这些教育。 

一个包含基准的计划，在信任分数等工具的支持下，可以清楚地了解开发团队的关键进展。这是一种重要的新方法，开发人员和他们为之工作的公司都需要这种方法，以确保他们不断提高安全软件开发技能，同时满足新的设计安全要求。

‍

令人振奋的是，随着美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国承诺将类似的指导方针纳入其更广泛的网络安全战略，CISA 的 "按设计保证安全"（SBD）运动在全球范围内获得了强劲的发展势头，其中许多国家还为最初的建议做出了贡献。

自 2024 年 4 月以来，已有 200 多家公司签署了 "按设计保证安全"承诺书，其中包括美国、澳大利亚、新西兰、加拿大、新加坡、日本、德国和英国。 Secure Code Warrior等 200 多家公司签署了 "按设计保证安全 "承诺书，表明业界对更高软件质量和安全标准的广泛承诺。我们将这些指导方针视为网络安全领导者的关键时刻，他们首次获得了全球政府对软件开发中重大文化变革的支持。虽然这些建议在直接向美国政府销售的软件供应商之外还不是强制性的，但我认为这不仅是未来的趋势，也是开始反击威胁行为者的黄金机会。指导方针的核心是努力消除各类漏洞，全行业都关注这一目标，我们将在数十年内对数字安全产生最重大、最积极的影响。

我们相信这一行动至关重要，我们的最新研究论文 安全技能基准：简化企业的安全设计 是我们深入分析企业级真正的 "按设计确保安全 "计划，并根据数据驱动的研究结果得出最佳实践方法的结果。 

衡量组织安全设计工作的投资回报率

彻底改革长期存在的软件开发实践并非易事。首席信息安全官在试图证明安全计划活动在个人和公司层面的投资回报率 (ROI) 和商业价值时经常面临挑战，许多人对预算削减和缺乏高管对新网络计划的支持感到越来越沮丧。然而，一份有数据支持的提案将在这里发挥重要作用。 

近年来，缺乏技能基准来让组织评估其是否符合行业标准一直是一大挑战。这使得设计和实施安全计划变得异常困难，这些计划会影响正确的领域并促进开发团队的持续改进，而这是成功的软件安全实践的关键要素。 

让“安全设计”计划发挥作用的关键不仅在于让开发人员掌握确保代码安全的技能，还在于向监管机构保证这些技能已经到位。因此，我们决定分析开发人员团队的准备情况，结果可能会令人惊讶。

试图加速 SBD 计划的公司如何利用信任评分

如果不清楚从哪里开始以及需要达到什么目标，那么几乎不可能有效地改进。然而，数百家企业客户有效地利用了SCW 信任评分（一种量化开发人员团队安全能力的全球基准）来提供这些有用的、细粒度的数据点。这些见解塑造了高效的、由开发人员驱动的安全计划，有助于成功实施 Secure-by-Design 计划。

我们白皮书中的分析显示，顶级关键基础设施行业的组织在培训开发人员推进 SBD 计划方面取得了进展。我们还发现这些行业的开发团队的安全态势处于平均水平。

Secure Code Warrior对关键基础设施行业开发人员技能提升的分析基于来自全球 600 家企业客户和 25 万多名活跃开发人员的 2000 多万个数据点的洞察。分析发现：

• 目前参与以开发人员为中心的 SBD 技能提升计划的开发人员总数不到全球所有开发人员的 4%；
• 金融服务行业拥有最高的信任评分，为 336；
• 大多数大规模的安全设计技能提升计划都取得了成功，而规模较小的计划往往比较分散。然而，事实证明，一旦获得授权，这些计划就能更快地带来可衡量的投资回报 (ROI)；
• 当技能提升计划牢固实施时，开发人员在应用程序中引入的风险会大大减少。分析发现，大型技能提升计划中的开发人员（一家公司有 7000 多名开发人员）可以预测漏洞减少 47-53%。

解决方案 | 结论

SCW 信任评分是任何安全领导者的强大工具，可全面深入了解组织内的特定领域。报告可以根据语言、团队或类别进行筛选，生成定制报告，使公司能够满足开发人员或团队的特定需求，并确定需要额外培训或指导的领域。毕竟，安全是一项永无止境的事业；有效地对性能进行基准测试将有助于发现持续改进的机会。

软件开发和部署的加速，加上网络威胁形势愈发严峻，监管部门也愈发严厉，网络安全问题已成为当务之急。如果企业尚未这样做，那么必须优先考虑在企业范围内建立安全第一的文化。

最近，Linux 用户的日子并不好过，据报道，在过去几年中，有几个高严重性漏洞以各种方式影响着该系统。

2024 年 9 月 27 日，evasocket.net 的 Simone Margaritelli发布了有关 CUPS 中几个可利用漏洞的重要信息，并随后为其中四个漏洞分配了 CVE。这个数字可能还会增加，但在撰写本文时，安全社区还在争论这些发现的实际严重性。虽然其中一个 CVE（CVE-2024-47177）目前被 MITRE 评为 9.1 级严重程度，但成功利用这个命令注入漏洞依赖于启用了 CUPS 服务的服务器，此外还需要访问 UDP 端口 631 或 DNS-SD。不过RedHat指出，可以将 CUPS 重新映射到其他端口。 

Margaritelli 对这一事件进行了全面的分析，揭示了一个阴险、复杂的攻击链，尽管社区存在分歧，但这一攻击链不容忽视。它给我们上了一堂课，让我们了解到，如果威胁行为者足够果断，如果糟糕的编码模式留下了可乘之机，看似无害的依赖关系也会被深度利用。

CUPS 场景与许多开发人员和 AppSec 专业人员以前可能经历过的场景有些不同，让我们一起来看看，顺便测试一下你的技能。

漏洞：通过 CUPS 远程执行代码 (RCE)

Evilsocket 博客提供了有关这些漏洞的无与伦比的详尽背景资料，我们将继续密切关注这一资源。Margaritelli 还在文章中引用了一位不愿透露姓名的消息人士的话，他似乎对 Linux 的总体安全性并不乐观：

‍

"从通用安全的角度来看，如今的整个 Linux 系统就是一个无穷无尽、毫无希望的安全漏洞大杂烩，等着被人利用。"

这令人清醒地意识到开源环境中仍然普遍存在的固有安全风险，更不用说全球开发社区对提高安全意识和安全编码技能的迫切需要了。

让我们来看看 CVEs：

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍该漏洞链非常广泛，目前影响到以下软件包的所有当前和先前版本：

• Distrotech/cups-filters
• OpenPrinting/cups-filters
• 浏览杯子
• libcupsfilters
• libppd
  
  

二十多年来，CUPS 一直是 UNIX 和 Linux 操作系统的传统组件。它作为打印服务依赖程序的功能使其急于执行网络请求，成为 RCE 类漏洞的主要攻击目标。

不过，在这种情况下，如何将攻击巧妙地结合在一起并取得成功结果，还是有一些独到之处的。这主要是指未经身份验证、未被发现的攻击者可以用恶意 URL 替换 Internet 打印协议 (IPP) URL，此外还可以修改指令，从而在 "PPD（PostScript 打印机描述）文件"（该文件用于描述新添加打印机的功能）中造成命令注入。一旦打印任务被激活，就会导致命令执行攻击，而这依赖于 CUPS 组件中缺乏输入验证。

此外，正如 Evilsocket指出的那样，修复这一特定漏洞是一把双刃剑。CUPS 包括 foomatic-rip 过滤器，这个可执行文件以前曾是一个高风险、可被利用的组件。与该组件相关的 CVE 可以追溯到 2011 年，虽然已经确定 foomatic-rip 可以被用来执行操作系统命令，但修复该漏洞会导致稳定性问题，并失去对许多旧版打印机的支持。这是一个需要克服的复杂问题。

1. 威胁方发起攻击
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. 受害者系统处理打印机属性
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. 受害者系统连接到攻击者控制的 IPP 服务器
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

如何降低 RCE 风险？

对于使用 CUPS 作为业务运营一部分的公司，必须遵循Evilsocket和RedHat 建议的修复建议。这包括但不限于作为紧急优先事项应用安全补丁。

有关命令注入的一般信息，请查看我们的综合指南。

如果您有兴趣获得更多免费的编码指南，请查看Secure Code Coach，它可以帮助您掌握安全编码的最佳实践。

可衡量安全代码学习工作的实用见解 

最大化安全代码学习计划的价值在很大程度上取决于用户的参与度。网络安全世界是一个不断变化的世界，既有新的威胁，也有加强整体安全态势的机会。要积极主动地保护代码安全，就必须持续开展安全代码学习，以最大限度地提高计划的效率和相关性。要做到这一点，项目领导者需要清楚地了解用户的参与情况，不仅是在单个时间点上的参与情况，还包括长期的参与情况，以确定趋势并优化项目的性能。

因此，我们非常高兴地宣布推出一份新报告，该报告旨在衡量用户的参与度，从而轻松发现关键趋势，并确定何时在组织内部采取行动。有了这些新的洞察力，企业不仅可以采取更多措施，最大限度地提高安全代码学习的投资回报，还可以持久改善网络安全状况。

本报告有何新内容？

Engagement Insights报告显示了您所选时间段（默认情况下为过去12个月）内与您的敏捷学习计划相关的一些关键统计数据，所有这些数据也可通过报告API访问。参与度报告可快速、轻松地查看在此期间积极参与南华早报敏捷学习learning platform 的新学员人数、参与平台的活跃学员人数以及当前启用学员人数。

‍

‍

这些总数仅仅是个开始。您可以细分学员参与平台的方式，发现所选时间段内活跃学员的趋势。有了这些信息，您就可以计划沟通（内部通讯、博客）或其他参与活动，让开发人员不断回来磨练自己的技能。

‍

同样，"上次学习活动 "细目显示了学习者最近一次使用 SCW 平台的时间。与任何形式的学习一样，概念的记忆会随着时间的推移而逐渐消失。理想的状态是将大部分学习者归入表示最近参与的前几个括号中。这种分组方式不仅能保持开发人员技能的新鲜度，还能避免技能随着时间的推移而逐渐消退，从而提高企业的SCW 信任分值。

‍

‍

洞察力不仅仅局限于频率和重复性。您可以深入了解用户是如何参与安全代码学习活动的。"参与度报告 "提供了学习者在所选时间段内在Secure Code Warrior 平台不同部分所花费时间的明细。管理员可以利用这些信息来确定用户群参与的驱动因素。您是否已经有一段时间没有开展 SCWtournament ，是否有机会重新吸引一部分开发人员？学习者是否在Courses 或 "评估 "中的结构化学习内容之外使用 "探索 "模块来开阔视野？识别高参与度类型以及顶级用户为设计开发人员喜爱的程序和表彰活跃的领导者提供了机会。

‍

正如您所看到的，有许多方法可以衡量学员对敏捷学习计划的参与度。我们将继续致力于提供更多的见解和报告，以推动最有效的学习成果和组织网络安全态势的改善。如果您有任何问题、反馈，或想了解更多有助于优化您的计划的具体数据，请告诉我们！

‍

减少安全债务是所有公司都在努力实现的目标。 如何最大限度地减少安全漏洞？ 如何加快产品上市速度，同时确保生成的代码是一流的？  

与许多公司一样，DigitalOcean 选择了Secure Code Warrior ，以便与具有安全意识的开发人员一起，从一开始就构建和发布高质量的代码，从而推动数字创新和现代化。  

DigitalOcean 提供可扩展的计算资源和一整套云解决方案，使开发人员能够毫不费力地部署、管理和扩展应用程序。随着公司的扩张和工程团队的壮大，该公司转向Secure Code Warrior 。 在快节奏的技术行业中，该公司需要确保其开发人员能够识别设计审查中出现的常见不良编码模式，从而主动防止其再次发生。 

正如产品安全高级经理 Ari Kalfus 所说："我们需要一个针对开发人员、实践性强、专注于我们组织面临的风险的解决方案。"Secure Code Warrior 实现了这一点，其中最显著的成果之一就是能够快速、定期地强化安全编码实践。 这使得各团队的安全债务明显减少。总体而言，DigitalOcean发现，接受SCW培训的团队不仅更善于识别和缓解安全问题，而且现在也有信心在不影响安全的情况下推动创新。

点击这里了解更多有关DigitalOcean如何减少其整体安全债务......现在，DigitalOcean正利用其安全盈余进一步推动生产力和创新的发展。

澳大利亚政府与 CISA 在全球管理的最高层面开展合作，正在指导供应商提高软件质量和安全性标准。

软件安全性的显著提升需要对安全技能建设的大力支持，而对于开发人员而言，则需要强调围绕安全编码最佳实践的持续学习。令人耳目一新的是，全球各国政府正在以身作则，提供适当的指导，以减少暗藏的代码级漏洞。

澳大利亚女性安全网络（AWSN）为促进更多女性在澳大利亚担任网络安全职务做出了不懈努力。最近，我们与联邦银行（CBA）共同举办了安全编码tournament ，让精通安全的开发人员和专业人士在友好的竞争环境中展示自己的技能。

参加 7 月 17 日活动的有来自多个垂直领域的杰出女性代表，可以说，她们的贡献将有助于澳大利亚在 2030 年之前成为世界上网络最安全的国家之一。

认可更安全的未来

我们有幸邀请到澳大利亚网络安全协调员米歇尔-麦格尼斯（Michelle McGuiness）中将为 AWSN/CBA/SCWtournament 的联合活动提供支持。她直接谈到了澳大利亚的 "六大网络盾牌"（Six Cyber Shields）计划，并对 "按设计保证安全"（Secure-by-Design）原则表示赞同，她的话引起了在场致力于积极变革、提高软件设计和执行标准的网络专业人士的共鸣：

‍

‍

"我们希望让整个国家都参与到应对[网络安全]挑战中来，这包括确保我们建立一支强大的、多元化的，当然也是包容的、受欢迎的网络工作队伍。

我们的战略围绕六大网络盾牌展开，有助于保护我们的企业、组织和公民。也许与今天的活动最相关的是我们在该战略下开展的工作，其重点是 "设计安全 "和 "默认安全"。我们应该坚信，在购买数字设备或软件时，我们不会面临不必要的风险。

当然，工业界在帮助我们培养、发展和支持这些途径方面可以发挥重要作用，这有利于他们的公司，有利于我们的经济......有利于我们国家的安全......我赞扬Secure Code Warrior 和 CBA 以及......AWSN 在举办今天的活动中所发挥的领导作用"。

当你像女孩一样编码时会发生什么？

每当我们举办类似tournament 这样的大型活动时，总会有一些不可思议的事情让我眼前一亮。通常情况下，这些活动有数万名开发人员参与，而根据整个行业的统计，女性参与者的比例很小。

然而，女性参赛者往往会登上获奖者的领奖台并分享奖金。我认为，这充分说明了女性在传统上以男性为主的领域中的包容性。她们不仅有归属感，还能在团队中脱颖而出，成为一股令人向往的力量。

本次活动的竞争非常激烈，我们的总冠军贝拉-霍华德（Bella Howard ）和 山奈尔-海尔（Shanelle Haire）显然在开发人员驱动的安全实践前沿拥有光明的未来。她们在谈到获胜时说

"我们对获奖感到非常高兴！双人合作是我们成功的关键，我们相信我们的不同技能和经验可以完美互补。

我们还要感谢大家的出色表现。我们非常荣幸能够获胜，也非常享受这次活动。我们期待在下一次比赛中见到你们！"

让我们进一步了解他们：

‍

• 您学习安全编码技能有多久了？

我们都攻读了 IT 双学位，在这里，我们的安全编码技能开始成型。贝拉对网络安全产生了浓厚的兴趣，我们都参加了各种活动和研讨会，以扩展我们在安全领域的知识。

在我们的工作中，我们有机会使用Secure Code Warrior ，这对我们的发展很有帮助。Bella 对安全编码实践的关注增强了她作为安全分析师的知识，而 Shanelle 作为软件工程师的角色要求具备安全思维，这使得安全编码成为她职责中必不可少的一部分。

• 对于 STEM 领域中刚刚开始安全编码职业生涯的女性，您有什么建议吗？

我们强烈建议您参加安全社区，并向已在该领域工作的人员学习。加入由女性领导的社区也是获得女性支持的绝佳方式，因为她们曾站在你的立场上，可以为你提供宝贵的指导和鼓励。

参加安全编码Tournament 和其他行业相关研讨会等活动，在娱乐中学习和交流。寻找能够指导你的职业生涯并提供宝贵见解的导师。不要等到觉得自己什么都懂了才开始学习，亲身体验是最好的学习方式。

• 为了宣传网络安全最佳实践的重要性，您会做哪一件事？

必须强调的是，安全是每个人的责任。为了有效地实现深度安全，技术栈中的所有工作人员以及技术的所有用户都需要了解并遵守安全最佳实践。通过培养一种将安全视为集体责任的文化，我们可以更好地保护我们的系统和数据。

‍

我们感谢所有参与者，并期待与 AWSN 在未来的项目中开展合作。

‍

各组织都知道，只有通过开发人员驱动的安全性，才能成功实施安全设计原则。毕竟，开发人员负责设计、构建并最终提交为组织软件提供动力的代码。确保这些宝贵的贡献者掌握实施安全代码最佳实践的知识和技能绝对是至关重要的。 然而，实现这一点的挑战往往在于如何使开发人员的安全代码知识和技能与他们在构建软件时使用的编程语言相一致。

由于组织代码库中使用的编程语言数量庞大、种类繁多，安全团队往往完全不知情，因此这一挑战变得更加复杂。那么，CISO、AppSec 和工程领导者如何确保正在生成和提交的代码是由开发人员的安全代码知识和技能在该提交的特定编程语言中支持的呢？
‍

介绍 SCW 信托代理

Secure Code Warrior 已推出 SCW Trust Agent 来回答这一难题。SCW Trust Agent 为安全领导者提供了扩展开发人员驱动型安全所需的可视性和控制力，使开发人员和团队能够更快地交付代码，同时维护和提高所提交代码的安全性。
‍

SCW 信托代理如何工作？

SCW信任代理可连接到您的代码库，以评估每次代码提交的元数据。它会检查提交代码的开发人员、使用的编程语言以及代码发布的确切时间戳。然后，它将这一分析与 SCW 敏捷learning platform 的数据和洞察力结合起来，以确定开发人员是否具备该特定编程语言的足够安全知识。根据这些信息，它将按照您的策略配置返回该提交的健康度评级。这些策略可由管理员用户自定义和配置，他们可以根据项目或版本库的整体敏感度为提交设置特定的准则和要求，这些要求的阈值可高可低。
‍

加强安全态势

拥有这种可视性和可定制的控制，不仅能让企业深入了解其所有资源库的整体提交健康状况，还能提供所需的工具来加强其安全态势，通过采取积极主动的方法来降低风险。SCW Trust Agent可确保开发人员在进行提交时，了解并熟练掌握所使用的特定编码语言的安全含义。这种保证降低了无意中将漏洞引入代码并加以利用的可能性。
‍

优化开发生命周期

这种积极主动的方法不仅能改善组织的整体安全状况，还能在开发生命周期中推动新的优化。通过确保开发人员掌握安全代码知识和提交语言的技能，可以减少日后需要识别和补救的引入漏洞的数量。补救和返工往往会耗费开发人员大量的时间，经常会打断他们的工作流程，影响他们的开发速度。 通过积极主动的方法减少漏洞，可以最大限度地缩短这些修复周期，使开发团队专注于交付高价值代码和功能。
‍

扩展开发人员驱动的安全

SCW Trust Agent为企业提供了扩展开发人员驱动的安全计划所需的工具。首席信息安全官（CISO）和应用程序安全团队可通过对策略设计、应用和遵守情况的详细了解，获得应用适当治理、满足甚至超越合规标准所需的可见性和控制力。开发人员可以通过安全代码培训更快地交付安全代码，这些培训针对他们在交付代码时所使用的语言。

SCW信任代理可与任何基于Git的源代码管理工具配合使用，并通过多种连接选项（包括内部部署、基于云和手动上传）轻松连接您的代码库。欲了解更多信息，请访问www.scwtrustagent.com 或联系我们，我们很乐意与您探讨如何帮助您的组织加强其安全态势和扩展开发人员驱动的安全性。

‍