为什么我们应该支持而非惩罚那些充满好奇心的安保人员
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在严重安全漏洞,这无疑唤起了人们的某些回忆。 我记得自己曾是个充满好奇心的孩子,总爱掀开软件的"罩子",窥探幕后运作机制——更重要的是,看看能否搞砸它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全研究社区(尽管其方法有时略显冒犯)在发现漏洞和潜在灾难方面发挥着关键作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,他因这些发现仅受到轻微的停学处分。而这一切发生在他已竭尽所能私下联系该公司(Follett Corporation)未果后,最终选择以相当公开的方式发难,以此证明自身及其破解该公司系统的能力。 他多次试图以合乎道德的方式警告富乐特公司,却始终未获回应。与此同时,该软件系统持续存在漏洞,海量学生数据因未加密而相对容易被获取。
他还着手寻找另一家公司的软件漏洞:Blackboard。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能入侵系统并窃取数百万条额外数据记录。该软件与Follett的产品均被其所在学校采用。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在今年的"无论如何"大会上展示了他的研究成果,其中那些滑稽戏中的俏皮细节赢得了全场热烈的掌声。 这确实实至名归。尽管他最初备受质疑,在获得发现认可的道路上遭遇重重阻碍,但据报道,福莱特公司对其付出心怀感激,采纳了他的建议,最终使软件更安全,避免了这场本可能成为数据泄露统计数据的危机。 高中毕业后,他还将进入罗切斯特理工学院深造。由此可见,他正朝着成为炙手可热的安全专家的道路稳步前行。
作为一名安保人员,我很难不对事件处理方式产生疑虑。尽管最终结果尚可,但起初他被当作一个惹人厌的剧本小子对待——那种爱管闲事、不识时务的家伙。 谷歌搜索该事件时,仍能看到将他称为"黑客"的报道(在安全门外汉眼中,这无异于将其塑造成反派),尽管他的做法(以及许多同行的做法)实际上正在守护我们的数据安全。
我们需要充满求知欲、聪明且注重安全的人士去探究系统底层,更需要这类行为频繁发生。截至7月,仅今年就有逾40亿条数据因恶意泄露而曝光。若加上8月时尚生活品牌Poshmark遭入侵事件,这一数字可能再增加5000万条。
我们总在犯同样的错误,更令人担忧的是,这些往往是简单的安全漏洞,却总让我们屡屡跌倒。
跨站脚本攻击和SQL注入并未消失。
据VERKABELT报道,Demirkapi发现Blackboard社区参与软件和Follett学生信息系统存在常见安全漏洞,如跨站脚本攻击(XSS)和SQL注入,这些漏洞自1990年代以来就令安全专家深恶痛绝。 我们忍受这些漏洞的存在已久——实在太久了。它们本该像变色T恤和软盘一样,早已成为遥远的记忆。
但事实并非如此,显然没有足够多的开发者具备充分的安全意识来阻止这些漏洞出现在他们的代码中。扫描工具和手动代码审查的作用有限,而比跨站脚本攻击和SQL注入更复杂的安全问题比比皆是——这些昂贵且耗时的措施本可以用于解决更关键的安全隐患。
像比尔·德米尔卡皮这样的人应该激励开发者制定更高的代码标准。年仅17岁的他通过威胁向量攻破了两个高流量系统——这些漏洞本应在代码发布前就被发现并修复。
游戏化:参与度的关键?
我曾多次撰文阐述为何开发者至今仍普遍回避安全议题,简而言之,无论是组织层面还是教育层面,都鲜少采取有效措施培养具备安全意识的开发者。 当企业愿意投入时间构建安全文化——这种文化既能奖励又能认可参与者的贡献,包括实施符合开发者思维模式的培训,激励他们持续探索——那些困扰我们软件的安全漏洞顽疾,终将逐渐消失。
德米尔卡皮显然对安全领域怀有课外兴趣,他花时间学习了恶意软件逆向工程、漏洞挖掘,以及——嗯——破坏那些看似坚不可摧的东西。但在与LAST的访谈中(以及通过他在DEF CON的演讲幻灯片),他透露了关于自我学习的有趣见解……他将其游戏化了:
“为了在学校的软件中寻找漏洞,这成为一种有趣且富有游戏性的方式,让我自学了大量渗透测试知识。虽然我最初是抱着学习目的开始研究,但发现实际情况远比我预期的要糟糕得多,”他说道。
虽然并非每位开发者都希望专攻安全领域,但每位开发者都应获得提升安全意识的机会——安全基础知识在组织内部几乎相当于"编程执照",尤其对于那些掌控海量敏感数据的人员而言。 若最基础的安全漏洞能在被编写前就被每位开发者修复,我们便能更从容地应对那些企图制造混乱的威胁。
年轻的安全研究员比尔·德米尔卡皮在发现学校使用的软件存在重大安全漏洞时,想必唤起了许多人的回忆。我记得自己小时候也是个充满好奇心的孩子,总爱掀开软件的盖子一探究竟,看看内部如何运作……以及我能否搞坏它。
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在严重安全漏洞,这无疑唤起了人们的某些回忆。 我记得自己曾是个充满好奇心的孩子,总爱掀开软件的"罩子",窥探幕后运作机制——更重要的是,看看能否搞砸它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全研究社区(尽管其方法有时略显冒犯)在发现漏洞和潜在灾难方面发挥着关键作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,他因这些发现仅受到轻微的停学处分。而这一切发生在他已竭尽所能私下联系该公司(Follett Corporation)未果后,最终选择以相当公开的方式发难,以此证明自身及其破解该公司系统的能力。 他多次试图以合乎道德的方式警告富乐特公司,却始终未获回应。与此同时,该软件系统持续存在漏洞,海量学生数据因未加密而相对容易被获取。
他还着手寻找另一家公司的软件漏洞:Blackboard。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能入侵系统并窃取数百万条额外数据记录。该软件与Follett的产品均被其所在学校采用。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在今年的"无论如何"大会上展示了他的研究成果,其中那些滑稽戏中的俏皮细节赢得了全场热烈的掌声。 这确实实至名归。尽管他最初备受质疑,在获得发现认可的道路上遭遇重重阻碍,但据报道,福莱特公司对其付出心怀感激,采纳了他的建议,最终使软件更安全,避免了这场本可能成为数据泄露统计数据的危机。 高中毕业后,他还将进入罗切斯特理工学院深造。由此可见,他正朝着成为炙手可热的安全专家的道路稳步前行。
作为一名安保人员,我很难不对事件处理方式产生疑虑。尽管最终结果尚可,但起初他被当作一个惹人厌的剧本小子对待——那种爱管闲事、不识时务的家伙。 谷歌搜索该事件时,仍能看到将他称为"黑客"的报道(在安全门外汉眼中,这无异于将其塑造成反派),尽管他的做法(以及许多同行的做法)实际上正在守护我们的数据安全。
我们需要充满求知欲、聪明且注重安全的人士去探究系统底层,更需要这类行为频繁发生。截至7月,仅今年就有逾40亿条数据因恶意泄露而曝光。若加上8月时尚生活品牌Poshmark遭入侵事件,这一数字可能再增加5000万条。
我们总在犯同样的错误,更令人担忧的是,这些往往是简单的安全漏洞,却总让我们屡屡跌倒。
跨站脚本攻击和SQL注入并未消失。
据VERKABELT报道,Demirkapi发现Blackboard社区参与软件和Follett学生信息系统存在常见安全漏洞,如跨站脚本攻击(XSS)和SQL注入,这些漏洞自1990年代以来就令安全专家深恶痛绝。 我们忍受这些漏洞的存在已久——实在太久了。它们本该像变色T恤和软盘一样,早已成为遥远的记忆。
但事实并非如此,显然没有足够多的开发者具备充分的安全意识来阻止这些漏洞出现在他们的代码中。扫描工具和手动代码审查的作用有限,而比跨站脚本攻击和SQL注入更复杂的安全问题比比皆是——这些昂贵且耗时的措施本可以用于解决更关键的安全隐患。
像比尔·德米尔卡皮这样的人应该激励开发者制定更高的代码标准。年仅17岁的他通过威胁向量攻破了两个高流量系统——这些漏洞本应在代码发布前就被发现并修复。
游戏化:参与度的关键?
我曾多次撰文阐述为何开发者至今仍普遍回避安全议题,简而言之,无论是组织层面还是教育层面,都鲜少采取有效措施培养具备安全意识的开发者。 当企业愿意投入时间构建安全文化——这种文化既能奖励又能认可参与者的贡献,包括实施符合开发者思维模式的培训,激励他们持续探索——那些困扰我们软件的安全漏洞顽疾,终将逐渐消失。
德米尔卡皮显然对安全领域怀有课外兴趣,他花时间学习了恶意软件逆向工程、漏洞挖掘,以及——嗯——破坏那些看似坚不可摧的东西。但在与LAST的访谈中(以及通过他在DEF CON的演讲幻灯片),他透露了关于自我学习的有趣见解……他将其游戏化了:
“为了在学校的软件中寻找漏洞,这成为一种有趣且富有游戏性的方式,让我自学了大量渗透测试知识。虽然我最初是抱着学习目的开始研究,但发现实际情况远比我预期的要糟糕得多,”他说道。
虽然并非每位开发者都希望专攻安全领域,但每位开发者都应获得提升安全意识的机会——安全基础知识在组织内部几乎相当于"编程执照",尤其对于那些掌控海量敏感数据的人员而言。 若最基础的安全漏洞能在被编写前就被每位开发者修复,我们便能更从容地应对那些企图制造混乱的威胁。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在严重安全漏洞,这无疑唤起了人们的某些回忆。 我记得自己曾是个充满好奇心的孩子,总爱掀开软件的"罩子",窥探幕后运作机制——更重要的是,看看能否搞砸它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全研究社区(尽管其方法有时略显冒犯)在发现漏洞和潜在灾难方面发挥着关键作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,他因这些发现仅受到轻微的停学处分。而这一切发生在他已竭尽所能私下联系该公司(Follett Corporation)未果后,最终选择以相当公开的方式发难,以此证明自身及其破解该公司系统的能力。 他多次试图以合乎道德的方式警告富乐特公司,却始终未获回应。与此同时,该软件系统持续存在漏洞,海量学生数据因未加密而相对容易被获取。
他还着手寻找另一家公司的软件漏洞:Blackboard。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能入侵系统并窃取数百万条额外数据记录。该软件与Follett的产品均被其所在学校采用。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在今年的"无论如何"大会上展示了他的研究成果,其中那些滑稽戏中的俏皮细节赢得了全场热烈的掌声。 这确实实至名归。尽管他最初备受质疑,在获得发现认可的道路上遭遇重重阻碍,但据报道,福莱特公司对其付出心怀感激,采纳了他的建议,最终使软件更安全,避免了这场本可能成为数据泄露统计数据的危机。 高中毕业后,他还将进入罗切斯特理工学院深造。由此可见,他正朝着成为炙手可热的安全专家的道路稳步前行。
作为一名安保人员,我很难不对事件处理方式产生疑虑。尽管最终结果尚可,但起初他被当作一个惹人厌的剧本小子对待——那种爱管闲事、不识时务的家伙。 谷歌搜索该事件时,仍能看到将他称为"黑客"的报道(在安全门外汉眼中,这无异于将其塑造成反派),尽管他的做法(以及许多同行的做法)实际上正在守护我们的数据安全。
我们需要充满求知欲、聪明且注重安全的人士去探究系统底层,更需要这类行为频繁发生。截至7月,仅今年就有逾40亿条数据因恶意泄露而曝光。若加上8月时尚生活品牌Poshmark遭入侵事件,这一数字可能再增加5000万条。
我们总在犯同样的错误,更令人担忧的是,这些往往是简单的安全漏洞,却总让我们屡屡跌倒。
跨站脚本攻击和SQL注入并未消失。
据VERKABELT报道,Demirkapi发现Blackboard社区参与软件和Follett学生信息系统存在常见安全漏洞,如跨站脚本攻击(XSS)和SQL注入,这些漏洞自1990年代以来就令安全专家深恶痛绝。 我们忍受这些漏洞的存在已久——实在太久了。它们本该像变色T恤和软盘一样,早已成为遥远的记忆。
但事实并非如此,显然没有足够多的开发者具备充分的安全意识来阻止这些漏洞出现在他们的代码中。扫描工具和手动代码审查的作用有限,而比跨站脚本攻击和SQL注入更复杂的安全问题比比皆是——这些昂贵且耗时的措施本可以用于解决更关键的安全隐患。
像比尔·德米尔卡皮这样的人应该激励开发者制定更高的代码标准。年仅17岁的他通过威胁向量攻破了两个高流量系统——这些漏洞本应在代码发布前就被发现并修复。
游戏化:参与度的关键?
我曾多次撰文阐述为何开发者至今仍普遍回避安全议题,简而言之,无论是组织层面还是教育层面,都鲜少采取有效措施培养具备安全意识的开发者。 当企业愿意投入时间构建安全文化——这种文化既能奖励又能认可参与者的贡献,包括实施符合开发者思维模式的培训,激励他们持续探索——那些困扰我们软件的安全漏洞顽疾,终将逐渐消失。
德米尔卡皮显然对安全领域怀有课外兴趣,他花时间学习了恶意软件逆向工程、漏洞挖掘,以及——嗯——破坏那些看似坚不可摧的东西。但在与LAST的访谈中(以及通过他在DEF CON的演讲幻灯片),他透露了关于自我学习的有趣见解……他将其游戏化了:
“为了在学校的软件中寻找漏洞,这成为一种有趣且富有游戏性的方式,让我自学了大量渗透测试知识。虽然我最初是抱着学习目的开始研究,但发现实际情况远比我预期的要糟糕得多,”他说道。
虽然并非每位开发者都希望专攻安全领域,但每位开发者都应获得提升安全意识的机会——安全基础知识在组织内部几乎相当于"编程执照",尤其对于那些掌控海量敏感数据的人员而言。 若最基础的安全漏洞能在被编写前就被每位开发者修复,我们便能更从容地应对那些企图制造混乱的威胁。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在严重安全漏洞,这无疑唤起了人们的某些回忆。 我记得自己曾是个充满好奇心的孩子,总爱掀开软件的"罩子",窥探幕后运作机制——更重要的是,看看能否搞砸它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全研究社区(尽管其方法有时略显冒犯)在发现漏洞和潜在灾难方面发挥着关键作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,他因这些发现仅受到轻微的停学处分。而这一切发生在他已竭尽所能私下联系该公司(Follett Corporation)未果后,最终选择以相当公开的方式发难,以此证明自身及其破解该公司系统的能力。 他多次试图以合乎道德的方式警告富乐特公司,却始终未获回应。与此同时,该软件系统持续存在漏洞,海量学生数据因未加密而相对容易被获取。
他还着手寻找另一家公司的软件漏洞:Blackboard。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能入侵系统并窃取数百万条额外数据记录。该软件与Follett的产品均被其所在学校采用。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在今年的"无论如何"大会上展示了他的研究成果,其中那些滑稽戏中的俏皮细节赢得了全场热烈的掌声。 这确实实至名归。尽管他最初备受质疑,在获得发现认可的道路上遭遇重重阻碍,但据报道,福莱特公司对其付出心怀感激,采纳了他的建议,最终使软件更安全,避免了这场本可能成为数据泄露统计数据的危机。 高中毕业后,他还将进入罗切斯特理工学院深造。由此可见,他正朝着成为炙手可热的安全专家的道路稳步前行。
作为一名安保人员,我很难不对事件处理方式产生疑虑。尽管最终结果尚可,但起初他被当作一个惹人厌的剧本小子对待——那种爱管闲事、不识时务的家伙。 谷歌搜索该事件时,仍能看到将他称为"黑客"的报道(在安全门外汉眼中,这无异于将其塑造成反派),尽管他的做法(以及许多同行的做法)实际上正在守护我们的数据安全。
我们需要充满求知欲、聪明且注重安全的人士去探究系统底层,更需要这类行为频繁发生。截至7月,仅今年就有逾40亿条数据因恶意泄露而曝光。若加上8月时尚生活品牌Poshmark遭入侵事件,这一数字可能再增加5000万条。
我们总在犯同样的错误,更令人担忧的是,这些往往是简单的安全漏洞,却总让我们屡屡跌倒。
跨站脚本攻击和SQL注入并未消失。
据VERKABELT报道,Demirkapi发现Blackboard社区参与软件和Follett学生信息系统存在常见安全漏洞,如跨站脚本攻击(XSS)和SQL注入,这些漏洞自1990年代以来就令安全专家深恶痛绝。 我们忍受这些漏洞的存在已久——实在太久了。它们本该像变色T恤和软盘一样,早已成为遥远的记忆。
但事实并非如此,显然没有足够多的开发者具备充分的安全意识来阻止这些漏洞出现在他们的代码中。扫描工具和手动代码审查的作用有限,而比跨站脚本攻击和SQL注入更复杂的安全问题比比皆是——这些昂贵且耗时的措施本可以用于解决更关键的安全隐患。
像比尔·德米尔卡皮这样的人应该激励开发者制定更高的代码标准。年仅17岁的他通过威胁向量攻破了两个高流量系统——这些漏洞本应在代码发布前就被发现并修复。
游戏化:参与度的关键?
我曾多次撰文阐述为何开发者至今仍普遍回避安全议题,简而言之,无论是组织层面还是教育层面,都鲜少采取有效措施培养具备安全意识的开发者。 当企业愿意投入时间构建安全文化——这种文化既能奖励又能认可参与者的贡献,包括实施符合开发者思维模式的培训,激励他们持续探索——那些困扰我们软件的安全漏洞顽疾,终将逐渐消失。
德米尔卡皮显然对安全领域怀有课外兴趣,他花时间学习了恶意软件逆向工程、漏洞挖掘,以及——嗯——破坏那些看似坚不可摧的东西。但在与LAST的访谈中(以及通过他在DEF CON的演讲幻灯片),他透露了关于自我学习的有趣见解……他将其游戏化了:
“为了在学校的软件中寻找漏洞,这成为一种有趣且富有游戏性的方式,让我自学了大量渗透测试知识。虽然我最初是抱着学习目的开始研究,但发现实际情况远比我预期的要糟糕得多,”他说道。
虽然并非每位开发者都希望专攻安全领域,但每位开发者都应获得提升安全意识的机会——安全基础知识在组织内部几乎相当于"编程执照",尤其对于那些掌控海量敏感数据的人员而言。 若最基础的安全漏洞能在被编写前就被每位开发者修复,我们便能更从容地应对那些企图制造混乱的威胁。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
