Mit NIST Schritte machen: Unsere von Menschen geleitete Position zur Zukunft der Cyberabwehr
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
.webp)
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
Die jüngste Cybersicherheitsverordnung der Biden-Administration hat die Sicherheitsbranche sicherlich zum Reden gebracht, insbesondere diejenigen, die Entwickler dafür gewinnen wollen, wie wichtig es ist, bewährte Methoden für sichere Codierung in ihrer täglichen Arbeit anzuwenden.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
