Copiar y pegar es una técnica de codificación peligrosa
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
La importancia de este trabajo es que proporcionamos evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, que no se habían reportado anteriormente.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Investigadores de VirginiaTech publicaron un artículo después de analizar cientos de publicaciones en el foro de desarrolladores más popular (Stack Overflow). Analizaron el tipo de preguntas que se formulan en torno a la seguridad, las respuestas más populares dadas por la comunidad y el efecto que tiene en los ingenieros de software de código.
No es una verdadera sorpresa para las personas que llevan un tiempo en el campo de la ciberseguridad, pero se necesita más conciencia sobre este problema desde la perspectiva de los desarrolladores:
- Las funciones de seguridad que proporcionan los marcos de codificación (por ejemplo, JAVA Spring) son demasiado complicadas y están mal documentadas
- Un número considerable de desarrolladores no parecen entender las implicaciones de seguridad de las opciones de codificación, lo que demuestra una falta de formación en ciberseguridad
- Muchas de las sugerencias y «correcciones» de estos foros no son seguras, pero estamos obteniendo votos positivos y, por lo tanto, más valoraciones.
El informe sugiere las siguientes soluciones:
- Reentrenamiento de la fuerza laboral
- Detección y corrección de errores de seguridad semiautomáticas
Tenemos que hacer que la seguridad sea fácil para los desarrolladores y que esté integrada desde el principio para mantener la velocidad con la que operan las empresas en la actualidad.
«La importancia de este trabajo es que hemos proporcionado evidencia empírica sobre un número significativo de problemas alarmantes de codificación segura, de los que no se había informado anteriormente», dice el documento. «Estos problemas se deben a diversas razones, entre las que se incluyen el rápido aumento de la necesidad de aplicaciones de seguridad empresariales, la falta de formación en seguridad del personal de desarrollo de software y el mal diseño de las bibliotecas de seguridad».
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
%20(1).avif)
.avif)
