首席执行官、主席和联合创始人
皮特-丹休
Pieter Danhieux是Secure Code Warrior 的首席执行官、主席和联合创始人。
2020年,Pieter被确认为2020年欧洲SC奖多样性冠军类别的决赛选手,并被业界领先的电子信息安全杂志《网络防御杂志》(CDM)授予年度首席执行官的编辑选择。2016年,他在澳大利亚最酷的科技人员名单中排名第80位(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并且是福布斯技术委员会的成员。
Pieter也是SANS研究所的首席讲师,教授军事、政府和私人组织如何针对和评估组织、系统和个人的安全弱点的攻击性技术。他还担任欧洲的网络安全咨询公司NVISO的顾问委员会成员。在创办自己的公司之前,Pieter曾在安永会计师事务所和BAE系统工作。他也是BruCON的联合创始人之一,这是这个星球上最棒的黑客会议之一。
他很早就开始了他的信息安全事业,并作为比利时有史以来最年轻的人之一获得了信息系统安全专业认证(CISSP)。在他的道路上,他收集了一系列的网络安全证书(CISA、GCFA、GCIH、GPEN、GWAP),目前是全球少数几个拥有顶级认证GIAC安全专家(GSE)的人之一。
首席执行官、主席和联合创始人
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug.
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
Das National Institute of Standards & Technology (NIST) veröffentlichte ein aktualisiertes Whitepaper, in dem mehrere Aktionspläne zur Reduzierung von Softwareschwachstellen und Cyberrisiken detailliert beschrieben werden.
Ich hätte diesen Artikel mit all den Fakten und Zahlen beginnen können, die auf ein florierendes, wachstumsstarkes Startup hinweisen. Sie sind unbestreitbar beeindruckend und unser kontinuierlicher Unternehmenskurs ist stark. Für mich spiegeln diese Zahlen jedoch nicht wider, worauf ich 2019 am meisten stolz bin.
Unsere Geburtstagsmeilensteine sind eine wunderbare Erinnerung daran, über die Früchte unserer Arbeit nachzudenken, das Team zu feiern und das kommende Jahr mit Zuversicht anzugehen. Und jetzt, sieben Jahre seit der Gründung, frage ich mich: Haben wir es geschafft? Ist das schon ein echtes Unternehmen? Natürlich sind wir erwachsen geworden, aber ich hoffe wirklich, dass wir nie das Gefühl von Neugier, Leidenschaft und Geekiness verlieren, das wir von Anfang an hatten.
Diese Woche feiern wir offiziell acht Jahre Secure Code Warrior. Einerseits ist das die 350-fache Länge der Apollo-11-Mission und das Äquivalent von 45.000 Fußballspielen oder 5696 Spielen von Super Mario Odyssey bis zum Ende. Andererseits ist es nur ein Dreißigstel der Lebensdauer einer Riesenschildkröte (250 Jahre, falls Sie sich das fragen). In der Welt eines wachstumsstarken Startups ist es eine Reise mit vielen Wendungen, Lektionen und Errungenschaften, von denen viele unvorstellbar waren, als wir unseren Geschäftsplan zum ersten Mal verfassten.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus.
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der 25 gefährlichsten Softwarefehler von CWE, von denen 2019 die Welt betroffen war. Und das meiste davon war keine Überraschung.
Unsere Vision ist es, Entwickler in die Lage zu versetzen, die erste Verteidigungslinie in ihrem Unternehmen zu sein, indem wir Sicherheit deutlich sichtbar machen und ihnen die Fähigkeiten und Tools an die Hand geben, um sicheren Code von Anfang an zu schreiben.
Entwickler von Anfang an in die Lage zu versetzen, sicheren Code zu schreiben, ist eine Gelegenheit für CISOs, aus der Sicherheitslücke heraus eine gewisse proaktive Kontrolle zu übernehmen. Hier besteht die Möglichkeit, schnelle, einfache und messbare Verbesserungen sowohl für Sicherheits- als auch für Entwicklungsteams zu erzielen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
In der Cybersicherheit sind wir oft wie Jäger. Unsere Augen sind fest auf den Horizont gerichtet und suchen nach der nächsten Sicherheitslücke. Diese vorausschauende Ausrichtung kann jedoch den überraschenden Effekt haben, dass unser allgemeines Sicherheitsbewusstsein beeinträchtigt wird.
Diese Veranstaltungen rund um Entwickler gehören zu meinen Favoriten im Kalender. Sie sind eine demütigende Erinnerung an die Community, die unermüdlich daran arbeitet, Softwareingenieure und Spezialisten weiterzubilden und zu befähigen, sich bei ihrer Arbeit für Sicherheit einzusetzen.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Die Betonung auf einen präventiven — im Gegensatz zu einem reaktiven — Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, insbesondere wenn kein großer, schwerwiegender Sicherheitsvorfall stattgefunden hat.
In diesem Jahr veröffentlichte der PCI Security Standards Council im Rahmen seines PCI Software Security Frameworks eine Reihe völlig neuer Softwaresicherheitsrichtlinien. Dieses Update zielt darauf ab, bewährte Verfahren zur Softwaresicherheit mit der modernen Softwareentwicklung in Einklang zu bringen.
Da CIOs ihre agilen Fähigkeiten im Unternehmen aggressiv ausbauen, werden sichere Programmierkenntnisse eine Innovationswaffe sein, und wenn sie nicht vorhanden sind, wird dies ein Instrument der Zerstörung sein.
In einem kürzlich erschienenen Bericht des britischen Huawei Cyber Security Evaluation Centre wurden wichtige Sicherheitsprobleme in den Softwareentwicklungsprozessen von Huawei identifiziert. Aber es ist ein Problem, das behoben werden kann.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Der jüngste Angriff auf GitHub-Repositorys verdeutlicht ein bekanntes Problem in der Sicherheitsbranche: Die meisten Entwickler sind einfach nicht ausreichend sicherheitsbewusst, und wertvolle Daten können jederzeit gefährdet sein.
Es gibt viele Lösungen, die Sicherheitslücken im Code finden, aber die Sicherheitsabteilung muss mehr Wert darauf legen, Entwicklern beizubringen, Sicherheitsrichtlinien zu befolgen, die verhindern, dass sie diese Fehler überhaupt machen.
Mit der Einführung der DSGVO und einer überarbeiteten Strategie nach einem mehrstufigen Angriff, bei dem die sensiblen Daten vieler Persönlichkeiten des öffentlichen Lebens — sowie von Servern der deutschen Bundesregierung — aufgedeckt wurden, ist klar, dass das Bewusstsein und die entsprechenden Maßnahmen für Cybersicherheit bei Führungskräften in der DACH-Region an erster Stelle stehen.
Die Vorstellung, was den Akt der sicheren Codierung ausmacht, steht zur Debatte. Jüngsten Untersuchungen in Zusammenarbeit mit Evans Data zufolge wurde dieses Gefühl schwarz auf weiß enthüllt. Die Umfrage State of Developer-Driven Security 2022 befasst sich mit den wichtigsten Erkenntnissen und Erfahrungen von 1200 aktiven Entwicklern und beleuchtet deren Einstellungen und Herausforderungen im Sicherheitsbereich.
Während sicheres Programmieren im Tertiärbereich zu einem obligatorischen Bestandteil der Softwaretechnik werden muss, sind einige Universitäten führend, wenn es darum geht, erstklassige Schulungen anzubieten und Sicherheit von Anfang an als Teil des Entwicklungsprozesses priorisiert.p
Kreative, inspirierende CISOs und CIOs haben die Macht, unsere digitale Welt zu innovieren und zu gestalten, aber sie können auch maßgeblich zur Transformation der Sicherheitskultur eines Unternehmens beitragen.
VxWorks ist dem Durchschnittsverbraucher zwar kein Begriff, aber dieses Softwareprodukt kommt vielen Menschen wie Ihnen und mir jeden Tag zugute. Und jetzt stehen wir vor der Möglichkeit, dass Hunderte Millionen von Geräten, die mit VxWorks betrieben werden, gefährdet sind.
Es ist diese besondere Zeit des Jahres (jedenfalls für uns), in der ich über unsere letzte Runde um die Sonne nachdenke und darüber, was in den letzten 365 Tagen getan wurde, um uns für ein neues Jahr voller Wachstum, Lektionen und unvermeidlicher Unvorhersehbarkeit zu rüsten.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Es spielt keine Rolle, ob Sie die C-Suite in Cybersicherheit ausbilden oder Entwicklern dabei helfen, sichere JAVA- oder C#-Programmierkenntnisse zu erlernen, hier ist Platz für Kreativität, Gamification und Spaß.
Der 23. Juni ist ein besonderer Eintrag im Geek-Kalender, der den Internationalen Tag der Frauen in der Ingenieurskunst markiert. Dies ist unsere Chance, den Beitrag von Frauen zur Softwareentwicklung zu beleuchten.
Die Softwaresicherheitsbranche ist nicht gerade für ihre warmen und verschwommenen Gefühle, skurrilen Beobachtungen und Lebenskommentare bekannt, aber vielleicht denke ich mit zunehmendem Alter darüber nach, welchen Einfluss wir alle auf die Welt haben können.
Angesichts der zunehmenden Cyberangriffe, die alle Arten von Unternehmen in allen Branchen betreffen, ist die Gefahr teurer, peinlicher und sich negativ auf das Geschäftsergebnis auswirkender Datenschutzverletzungen sehr real. Das Problem wird nicht kleiner, es wächst wie ein Tumor.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die wichtigsten Probleme für das Jahr vorherzusagen. Angesichts der Tatsache, dass 2019 mehr als fünf Milliarden vertrauliche Datensätze gestohlen wurden, dachten wir, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit im Bereich Cybersicherheit nicht passieren wird.
Indem wir helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software auch trotz der Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Der Open Source Software Security Mobilization Plan ist ein positiver Schritt für entwicklerorientierte Sicherheit. Wir müssen jedoch alle Bilanz ziehen und ehrlich beurteilen, ob wir in unserer Organisation ausgereift genug sind — und ob unsere Entwicklungsteams über das richtige Maß an Sicherheitsbewusstsein und Fähigkeiten verfügen —, um die neuesten und besten Abwehrstrategien umzusetzen.
Das Panel Leaders in AppSec befasste sich mit wichtigen Themen wie der optimalen Nutzung des AppSec-Budgets eines Unternehmens sowie mit mehreren lockigen Fragen des Publikums und bot eine echte Morgenmagie, die Sicherheitsspezialisten bei der Entwicklung tragfähiger Programme in ihren Organisationen unterstützen wird.
Je älter meine Tochter und das Unternehmen werden, desto mehr wird mir klar, dass es so viele Ähnlichkeiten zwischen einer Startup-Reise und der ersten Elternreise gibt. Ich bin jetzt beide in meinem vierten Jahr.pi
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.
Die nationale Cybersicherheitsstrategie von CISA ist die beste Chance, die wir haben, um die Softwarestandards allgemein zu erhöhen und endlich eine neue Ära sicherheitskompetenter Entwickler einzuleiten.
Es scheint zwar unvermeidlich, dass die KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir viele Aspekte der Arbeit angehen — nicht nur die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen stehen. Und als Begleiter beim Programmieren sind ihre Schwächen vielleicht das „menschlichste“ Merkmal.
Unmittelbar nach der Ankündigung unserer Serie-C-Finanzierung freue ich mich, einen weiteren Schritt auf dem Weg unseres Unternehmens ankündigen zu können. Der Marktführer in der Sicherheitsbranche, Synopsys, hat eine spannende Neuerung seiner Produktsuite begrüßt: das Synopsys Developer Security Training, das von Secure Code Warrior unterstützt wird.
Heute ist unser neunter Geburtstag, und ich bin nach wie vor sehr stolz und dankbar für unsere Erfolge und unseren dauerhaften Platz im Bereich der Cybersicherheit, da sich die Szene weiterhin rasant verändert.
Eine kritische Sicherheitslücke, CVE-2024-3094, wurde in der Datenkomprimierungsbibliothek XZ Utils entdeckt, die von großen Linux-Distributionen verwendet wird und durch eine Hintertür von einem Bedrohungsakteur eingeführt wurde. Dieses hochgradige Problem ermöglicht eine potenzielle Codeausführung aus der Ferne und stellt ein erhebliches Risiko für Softwareerstellungsprozesse dar. Der Fehler betrifft frühe Versionen (5.6.0 und 5.6.1) von XZ Utils in Fedora Rawhide. Unternehmen werden dringend aufgefordert, Patches zu implementieren. Der Vorfall unterstreicht die entscheidende Rolle von Freiwilligen aus der Community bei der Wartung von Open-Source-Software und unterstreicht die Notwendigkeit verbesserter Sicherheitspraktiken und Zugriffskontrollen innerhalb des Softwareentwicklungszyklus.
Das Gründungsteam von Secure Code Warrior ist zusammen geblieben und hat das Schiff ein ganzes Jahrzehnt lang durch jede Lektion, jeden Triumph und jeden Rückschlag gesteuert. Wir expandieren und sind bereit für unser nächstes Kapitel, SCW 2.0, als Marktführer im Bereich Risikomanagement für Entwickler.
Vibe Coding ist wie eine Studentenparty, und KI ist das Herzstück aller Feierlichkeiten, das Fass. Es macht viel Spaß, loszulassen, kreativ zu werden und zu sehen, wohin Ihre Fantasie Sie führen kann, aber nach ein paar Fassständen ist es zweifellos die sicherere langfristige Lösung, in Maßen zu trinken (oder KI einzusetzen).
