Mit NIST Schritte machen: Unsere von Menschen geleitete Position zur Zukunft der Cyberabwehr
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
.avif)
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
Die jüngste Cybersicherheitsverordnung der Biden-Administration hat die Sicherheitsbranche sicherlich zum Reden gebracht, insbesondere diejenigen, die Entwickler dafür gewinnen wollen, wie wichtig es ist, bewährte Methoden für sichere Codierung in ihrer täglichen Arbeit anzuwenden.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
目录
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
