为何SQL注入是应用安全领域的蟑螂(以及CISO如何彻底根除它们)
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
有一种广为人知的理论认为,蟑螂几乎能从任何灾难中幸存——甚至包括核爆炸。尽管这种说法仅在一定程度上成立,但由于其简单的身体构造,蟑螂在同等体型生物中具有极强的生命力,在多数环境下都难以彻底根除。
我一直在思考……如果蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种安全隐患已存在二十余年,但企业却屡屡中招。塔吉特百货遭受的广泛而代价高昂的攻击正是源于SQL注入漏洞,伊利诺伊州选举系统遭黑客入侵导致20万选民数据泄露的事件亦是如此——这促使联邦调查局紧急建议所有IT管理员加紧行动,强化安全防护措施。
Imperva黑客情报计划报告揭示,2005至2011年间,83%的已报告数据泄露事件都涉及SQL注入攻击。时至今日,注入漏洞仍是OWASP十大安全漏洞中最大的威胁。这类漏洞虽然相对简单,却始终难以根除。
令人难以置信的是,同一个安全漏洞竟仍在大量应用程序安全扫描中反复出现。我们清楚其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全领域存在着巨大的改进空间。
Veracode软件安全现状报告——基于2017年40万次应用程序扫描数据显示出"令人震惊的统计结果:仅30%的应用程序符合OWASP十大安全指南。这一问题在过去五年中始终存在。 近三分之一的新扫描应用程序存在SQL注入漏洞,这证明该问题已广泛蔓延。我们未能从过往错误中汲取教训,而首席信息安全官显然正面临着寻找足够安全人才的艰巨挑战。通常情况下,应用安全专家与开发人员的比例严重失衡,仅为1:100。
为什么软件安全是维系生命的关键?
众所周知,专业安全人才十分稀缺,但我们还需关注开发人员往往未能及时修复问题,显然他们缺乏能力从源头避免安全漏洞的产生。 同一份Veracode报告披露,开发过程中仅有14.4%的安全漏洞具备可追溯的修复措施。换言之,多数安全漏洞在报告时仍处于无解状态。不到三分之一的安全漏洞能在90天内修复,而42%的漏洞在整个开发周期内始终未能解决。
我经常与安全专家、首席信息安全官和首席执行官交流,从他们的亲身经历中我意识到,许多企业对发现的无法缓解的安全漏洞数量感到如此沮丧(再加上被称为误报的困扰),以至于他们干脆停止搜索漏洞,只能祈祷一切顺利。
为什么应用安全专家会放任这种情况发生?
别搞错了:应用安全团队成员对代码中的问题有着深刻的认识。毕竟,这正是他们成为团队宝贵资源的核心能力所在。然而,他们的工作常常受到多重因素的制约。
例如,应用安全经理发现问题后会询问开发人员:"您能修复代码吗?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付的冲刺周期而不堪重负,既没有时间修复这些问题,也没有合适的工具协助处理。 应用安全专家或许能识别漏洞,但他们通常缺乏修复漏洞所需的技术能力及/或操作权限。
我们必须清楚认识到,每个问题都需要经历一个流程:先找到解决方案,再实施,最后进行测试。即便是代码中发现的最小问题,其修复所需的时间也极为可观,更不用说所需的资源了。 软件中可能存在700余种安全漏洞,单凭个人力量根本无法全面防范。正因如此,多数企业仅遵循OWASP十大安全风险清单。与此同时,开发者在持续开发功能的同时,也在不断将安全漏洞植入所编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发人员提供必要的工具和培训来促进成功的安全编程。没有任何法规强制企业确保开发人员具备足够的安全知识,而令人遗憾的现实是,大多数大学和实习项目同样未能培养年轻开发者进行安全编程的能力。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
我们必须花时间教导开发人员编写安全的代码。但在当今这个软件开发日新月异、优秀开发人员和安全专家供不应求的世界里,这似乎永远不是优先事项。现在是时候改变这种局面了。
世界经济论坛的一则最新头条赫然宣告:"没有安全,就不可能有数字经济",其配套内容更论证了安全作为数字化转型战略核心要素的必要性。"安全保护企业免受威胁,使其能够创新并开发新产品与服务。安全不仅具有防御作用,更能为企业提供战略性增长优势。"
提升安全编程的能力与成效,将为企业提供强大的网络防护层,助力其编写更优质、更高效的代码。开发者无需成为安全专家,但必须积极主动且切实具备能力,成为抵御网络攻击的第一道防线。 开发者完全可以成为下一代安全与创新的先锋。他们才智过人,善于创新性解决问题,且普遍渴望拓展技能边界。请通过专业培训激发他们的潜能,共同践行更高的软件安全标准。阅读我们的白皮书了解更多详情。
若有人想驾驶飞机,必须经过极为严格的程序:在获得飞行资格前,需完成培训、积累实践经验、通过体检、掌握安全知识并通过考核。没有人敢想象,未经如此全面的准备和能力验证的人竟能在空中自由翱翔——然而在编写代码时,这种情况却每天都在发生。
目录
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
