为何SQL注入是应用安全领域的蟑螂(以及CISO如何彻底根除它们)
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
