2025年OWASP十大安全风险:软件供应链漏洞
随着万众期待的2025年OWASP十大安全威胁榜单发布,企业需对若干新型威胁保持高度警惕,其中一项更荣登榜首。软件供应链缺陷作为新晋类别(实则并非全新)位列第三,在开放网络应用安全项目(OWASP)四年一度的网络应用安全风险评估中名列前茅。企业必须对此风险高度重视——若尚未采取行动,更应立即行动。
软件供应链漏洞自2021年起已从原先的"易受攻击且过时的组件"类别中独立出来,现涵盖更广泛的风险范畴,包括整个软件依赖生态系统、构建系统及分发基础设施中的各类安全隐患。 其上榜并不令人意外——2019年"太阳风"攻击、今年初Bybit交易所遭黑客入侵事件,以及当前肆虐的"沙伊-胡鲁德"行动(一种在暴露开发环境中肆虐的恶性自复制npm蠕虫)等知名供应链攻击事件,已充分揭示此类威胁造成的破坏性影响。
总体而言,OWASP十大安全风险榜单保持稳定,该榜单每四年发布一次,期间会进行更新。通常榜单会有一些变化:例如长期占据榜单的注入攻击从第3位跌至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项威胁:前述的"软件供应链缺陷"与"异常情况处理不当",后者以第十名之姿首次入选。接下来我们将重点剖析供应链漏洞这一新增威胁。
漏洞可能出现在几乎任何地方
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大漏洞中,其在OWASP研究数据中的案例数量最少,但该类别因包含五项常见弱点枚举(CWE)而获得了最高的平均利用率和影响评分。 OWASP指出,该类别案例数量有限可能是由于当前测试难度较大所致,未来情况或将改善。无论如何,受访者普遍认为软件供应链缺陷是首要关注点之一。
供应链中的大多数漏洞源于商业活动的互联性质,涉及上游、下游合作伙伴及第三方。 每次交互都涉及软件组件(亦称依赖项或库),这些组件可能存在安全漏洞。企业若未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,确保其不存在漏洞、兼容性问题或过时风险,则可能面临安全威胁。 组件通常享有与应用程序同等的权限,因此受损组件(包括第三方或开源代码库来源的组件)可能造成广泛影响。及时应用补丁和更新至关重要——即使是常规的月度或季度补丁计划,也可能使企业暴露在风险中长达数日乃至数月。
同样地,若未对集成开发环境(IDE)或代码库、镜像库、库文件及其他供应链环节的变更进行追踪,供应链中缺乏变更管理流程将可能引发安全漏洞。 企业需要通过实施访问控制策略和最小权限原则来强化供应链安全,确保任何人都无法在无人监督的情况下创建代码并将其部署到生产环境,同时禁止从非可信来源下载组件。
供应链攻击可能以多种形式出现。著名的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新中,影响了约1.8万名客户。虽然实际受影响的企业接近100家,但名单中包含多家大型企业和政府机构。 Bybit交易所遭黑客攻击事件造成15亿美元损失,追溯源头指向朝鲜,该事件涉及加密货币应用程序被入侵。近期"水晶蠕虫"供应链攻击则利用隐形自复制代码感染了Open VSX应用商店。
供应链漏洞防范
鉴于供应链攻击涉及系统间的相互依赖性,防御措施需要采取整体策略。OWASP提供了防范攻击的建议,包括实施补丁管理流程以:
- 了解您所有软件的软件物料清单(SBOM),并集中管理SBOM。建议在编译阶段生成SBOM,而非后期处理,采用SPDX或CyclonedX等标准格式,并为每个版本至少发布一份机器可读的SBOM。
- 跟踪所有依赖项(包括传递依赖项),移除未使用的依赖项以及多余的功能、组件、文件和文档。
- 通过OWASP依赖性 检查或retire.js等工具,持续清点客户端和服务器端组件及其依赖关系 。
- 及时了解漏洞动态,持续监控漏洞来源(如通用漏洞与暴露(CVE)数据库和国家漏洞数据库(NVD)网站),并订阅您所用组件相关安全漏洞的邮件警报。
- 仅通过安全链接从可信来源获取组件。例如,可靠的供应商会愿意与研究人员合作,共同披露该研究人员在组件中发现的CVE漏洞。
- 请谨慎选择依赖项的版本,仅在必要时进行更新。使用第三方库时,请确保其漏洞已在NVD等权威来源公开披露。
- 监控未维护或不兼容的库及组件。若无法应用补丁,请考虑实施虚拟补丁来监控、检测或防范已发现的问题。
- 定期更新开发者工具。
- 将您的持续集成/持续交付(CI/CD)管道组件视为该流程的一部分,在记录变更的同时对其进行强化和监控。
变更管理或变更跟踪流程也应适用于持续集成/持续交付(CI/CD)配置、代码仓库、测试环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、创建的工件、日志系统与日志记录、第三方集成(如SaaS)、工件仓库及容器注册表。 同时需强化从开发人员工作站到CI/CD流程的系统安全。务必启用多因素认证,并同步实施严格的身份与访问管理策略。
在高度互联的世界中,防范软件供应链故障是一项持续且多方面的努力。组织必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这一快速演变的现代威胁。
致SCW Trust Score™用户:
随着我们更新学习平台内容以符合OWASP 2025年十大安全风险标准,您可能会注意到全栈开发人员的信任评分出现微调。如有任何疑问或需要协助,请联系您的客户成功代表。
OWASP 2025年十大安全风险将软件供应链漏洞列为第三大威胁。通过严格实施软件物料清单(SBOM)、追踪依赖项并强化持续集成/持续交付(CI/CD)管道,可有效缓解这一高影响风险。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着万众期待的2025年OWASP十大安全威胁榜单发布,企业需对若干新型威胁保持高度警惕,其中一项更荣登榜首。软件供应链缺陷作为新晋类别(实则并非全新)位列第三,在开放网络应用安全项目(OWASP)四年一度的网络应用安全风险评估中名列前茅。企业必须对此风险高度重视——若尚未采取行动,更应立即行动。
软件供应链漏洞自2021年起已从原先的"易受攻击且过时的组件"类别中独立出来,现涵盖更广泛的风险范畴,包括整个软件依赖生态系统、构建系统及分发基础设施中的各类安全隐患。 其上榜并不令人意外——2019年"太阳风"攻击、今年初Bybit交易所遭黑客入侵事件,以及当前肆虐的"沙伊-胡鲁德"行动(一种在暴露开发环境中肆虐的恶性自复制npm蠕虫)等知名供应链攻击事件,已充分揭示此类威胁造成的破坏性影响。
总体而言,OWASP十大安全风险榜单保持稳定,该榜单每四年发布一次,期间会进行更新。通常榜单会有一些变化:例如长期占据榜单的注入攻击从第3位跌至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项威胁:前述的"软件供应链缺陷"与"异常情况处理不当",后者以第十名之姿首次入选。接下来我们将重点剖析供应链漏洞这一新增威胁。
漏洞可能出现在几乎任何地方
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大漏洞中,其在OWASP研究数据中的案例数量最少,但该类别因包含五项常见弱点枚举(CWE)而获得了最高的平均利用率和影响评分。 OWASP指出,该类别案例数量有限可能是由于当前测试难度较大所致,未来情况或将改善。无论如何,受访者普遍认为软件供应链缺陷是首要关注点之一。
供应链中的大多数漏洞源于商业活动的互联性质,涉及上游、下游合作伙伴及第三方。 每次交互都涉及软件组件(亦称依赖项或库),这些组件可能存在安全漏洞。企业若未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,确保其不存在漏洞、兼容性问题或过时风险,则可能面临安全威胁。 组件通常享有与应用程序同等的权限,因此受损组件(包括第三方或开源代码库来源的组件)可能造成广泛影响。及时应用补丁和更新至关重要——即使是常规的月度或季度补丁计划,也可能使企业暴露在风险中长达数日乃至数月。
同样地,若未对集成开发环境(IDE)或代码库、镜像库、库文件及其他供应链环节的变更进行追踪,供应链中缺乏变更管理流程将可能引发安全漏洞。 企业需要通过实施访问控制策略和最小权限原则来强化供应链安全,确保任何人都无法在无人监督的情况下创建代码并将其部署到生产环境,同时禁止从非可信来源下载组件。
供应链攻击可能以多种形式出现。著名的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新中,影响了约1.8万名客户。虽然实际受影响的企业接近100家,但名单中包含多家大型企业和政府机构。 Bybit交易所遭黑客攻击事件造成15亿美元损失,追溯源头指向朝鲜,该事件涉及加密货币应用程序被入侵。近期"水晶蠕虫"供应链攻击则利用隐形自复制代码感染了Open VSX应用商店。
供应链漏洞防范
鉴于供应链攻击涉及系统间的相互依赖性,防御措施需要采取整体策略。OWASP提供了防范攻击的建议,包括实施补丁管理流程以:
- 了解您所有软件的软件物料清单(SBOM),并集中管理SBOM。建议在编译阶段生成SBOM,而非后期处理,采用SPDX或CyclonedX等标准格式,并为每个版本至少发布一份机器可读的SBOM。
- 跟踪所有依赖项(包括传递依赖项),移除未使用的依赖项以及多余的功能、组件、文件和文档。
- 通过OWASP依赖性 检查或retire.js等工具,持续清点客户端和服务器端组件及其依赖关系 。
- 及时了解漏洞动态,持续监控漏洞来源(如通用漏洞与暴露(CVE)数据库和国家漏洞数据库(NVD)网站),并订阅您所用组件相关安全漏洞的邮件警报。
- 仅通过安全链接从可信来源获取组件。例如,可靠的供应商会愿意与研究人员合作,共同披露该研究人员在组件中发现的CVE漏洞。
- 请谨慎选择依赖项的版本,仅在必要时进行更新。使用第三方库时,请确保其漏洞已在NVD等权威来源公开披露。
- 监控未维护或不兼容的库及组件。若无法应用补丁,请考虑实施虚拟补丁来监控、检测或防范已发现的问题。
- 定期更新开发者工具。
- 将您的持续集成/持续交付(CI/CD)管道组件视为该流程的一部分,在记录变更的同时对其进行强化和监控。
变更管理或变更跟踪流程也应适用于持续集成/持续交付(CI/CD)配置、代码仓库、测试环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、创建的工件、日志系统与日志记录、第三方集成(如SaaS)、工件仓库及容器注册表。 同时需强化从开发人员工作站到CI/CD流程的系统安全。务必启用多因素认证,并同步实施严格的身份与访问管理策略。
在高度互联的世界中,防范软件供应链故障是一项持续且多方面的努力。组织必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这一快速演变的现代威胁。
致SCW Trust Score™用户:
随着我们更新学习平台内容以符合OWASP 2025年十大安全风险标准,您可能会注意到全栈开发人员的信任评分出现微调。如有任何疑问或需要协助,请联系您的客户成功代表。
随着万众期待的2025年OWASP十大安全威胁榜单发布,企业需对若干新型威胁保持高度警惕,其中一项更荣登榜首。软件供应链缺陷作为新晋类别(实则并非全新)位列第三,在开放网络应用安全项目(OWASP)四年一度的网络应用安全风险评估中名列前茅。企业必须对此风险高度重视——若尚未采取行动,更应立即行动。
软件供应链漏洞自2021年起已从原先的"易受攻击且过时的组件"类别中独立出来,现涵盖更广泛的风险范畴,包括整个软件依赖生态系统、构建系统及分发基础设施中的各类安全隐患。 其上榜并不令人意外——2019年"太阳风"攻击、今年初Bybit交易所遭黑客入侵事件,以及当前肆虐的"沙伊-胡鲁德"行动(一种在暴露开发环境中肆虐的恶性自复制npm蠕虫)等知名供应链攻击事件,已充分揭示此类威胁造成的破坏性影响。
总体而言,OWASP十大安全风险榜单保持稳定,该榜单每四年发布一次,期间会进行更新。通常榜单会有一些变化:例如长期占据榜单的注入攻击从第3位跌至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项威胁:前述的"软件供应链缺陷"与"异常情况处理不当",后者以第十名之姿首次入选。接下来我们将重点剖析供应链漏洞这一新增威胁。
漏洞可能出现在几乎任何地方
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大漏洞中,其在OWASP研究数据中的案例数量最少,但该类别因包含五项常见弱点枚举(CWE)而获得了最高的平均利用率和影响评分。 OWASP指出,该类别案例数量有限可能是由于当前测试难度较大所致,未来情况或将改善。无论如何,受访者普遍认为软件供应链缺陷是首要关注点之一。
供应链中的大多数漏洞源于商业活动的互联性质,涉及上游、下游合作伙伴及第三方。 每次交互都涉及软件组件(亦称依赖项或库),这些组件可能存在安全漏洞。企业若未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,确保其不存在漏洞、兼容性问题或过时风险,则可能面临安全威胁。 组件通常享有与应用程序同等的权限,因此受损组件(包括第三方或开源代码库来源的组件)可能造成广泛影响。及时应用补丁和更新至关重要——即使是常规的月度或季度补丁计划,也可能使企业暴露在风险中长达数日乃至数月。
同样地,若未对集成开发环境(IDE)或代码库、镜像库、库文件及其他供应链环节的变更进行追踪,供应链中缺乏变更管理流程将可能引发安全漏洞。 企业需要通过实施访问控制策略和最小权限原则来强化供应链安全,确保任何人都无法在无人监督的情况下创建代码并将其部署到生产环境,同时禁止从非可信来源下载组件。
供应链攻击可能以多种形式出现。著名的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新中,影响了约1.8万名客户。虽然实际受影响的企业接近100家,但名单中包含多家大型企业和政府机构。 Bybit交易所遭黑客攻击事件造成15亿美元损失,追溯源头指向朝鲜,该事件涉及加密货币应用程序被入侵。近期"水晶蠕虫"供应链攻击则利用隐形自复制代码感染了Open VSX应用商店。
供应链漏洞防范
鉴于供应链攻击涉及系统间的相互依赖性,防御措施需要采取整体策略。OWASP提供了防范攻击的建议,包括实施补丁管理流程以:
- 了解您所有软件的软件物料清单(SBOM),并集中管理SBOM。建议在编译阶段生成SBOM,而非后期处理,采用SPDX或CyclonedX等标准格式,并为每个版本至少发布一份机器可读的SBOM。
- 跟踪所有依赖项(包括传递依赖项),移除未使用的依赖项以及多余的功能、组件、文件和文档。
- 通过OWASP依赖性 检查或retire.js等工具,持续清点客户端和服务器端组件及其依赖关系 。
- 及时了解漏洞动态,持续监控漏洞来源(如通用漏洞与暴露(CVE)数据库和国家漏洞数据库(NVD)网站),并订阅您所用组件相关安全漏洞的邮件警报。
- 仅通过安全链接从可信来源获取组件。例如,可靠的供应商会愿意与研究人员合作,共同披露该研究人员在组件中发现的CVE漏洞。
- 请谨慎选择依赖项的版本,仅在必要时进行更新。使用第三方库时,请确保其漏洞已在NVD等权威来源公开披露。
- 监控未维护或不兼容的库及组件。若无法应用补丁,请考虑实施虚拟补丁来监控、检测或防范已发现的问题。
- 定期更新开发者工具。
- 将您的持续集成/持续交付(CI/CD)管道组件视为该流程的一部分,在记录变更的同时对其进行强化和监控。
变更管理或变更跟踪流程也应适用于持续集成/持续交付(CI/CD)配置、代码仓库、测试环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、创建的工件、日志系统与日志记录、第三方集成(如SaaS)、工件仓库及容器注册表。 同时需强化从开发人员工作站到CI/CD流程的系统安全。务必启用多因素认证,并同步实施严格的身份与访问管理策略。
在高度互联的世界中,防范软件供应链故障是一项持续且多方面的努力。组织必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这一快速演变的现代威胁。
致SCW Trust Score™用户:
随着我们更新学习平台内容以符合OWASP 2025年十大安全风险标准,您可能会注意到全栈开发人员的信任评分出现微调。如有任何疑问或需要协助,请联系您的客户成功代表。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
本文由Secure Code Warrior的行业专家团队致力于让开发人员从一开始就具备构建安全软件的知识和技能。凭借在安全编码实践、行业趋势和现实世界见解方面的深厚专业知识。
随着万众期待的2025年OWASP十大安全威胁榜单发布,企业需对若干新型威胁保持高度警惕,其中一项更荣登榜首。软件供应链缺陷作为新晋类别(实则并非全新)位列第三,在开放网络应用安全项目(OWASP)四年一度的网络应用安全风险评估中名列前茅。企业必须对此风险高度重视——若尚未采取行动,更应立即行动。
软件供应链漏洞自2021年起已从原先的"易受攻击且过时的组件"类别中独立出来,现涵盖更广泛的风险范畴,包括整个软件依赖生态系统、构建系统及分发基础设施中的各类安全隐患。 其上榜并不令人意外——2019年"太阳风"攻击、今年初Bybit交易所遭黑客入侵事件,以及当前肆虐的"沙伊-胡鲁德"行动(一种在暴露开发环境中肆虐的恶性自复制npm蠕虫)等知名供应链攻击事件,已充分揭示此类威胁造成的破坏性影响。
总体而言,OWASP十大安全风险榜单保持稳定,该榜单每四年发布一次,期间会进行更新。通常榜单会有一些变化:例如长期占据榜单的注入攻击从第3位跌至第5位,不安全设计下滑两位至第6位,而安全配置错误则从第5位跃升至第2位。 "访问控制失效"仍稳居榜首。2025年版新增两项威胁:前述的"软件供应链缺陷"与"异常情况处理不当",后者以第十名之姿首次入选。接下来我们将重点剖析供应链漏洞这一新增威胁。
漏洞可能出现在几乎任何地方
软件供应链漏洞在该列表中属于较为特殊的类别,因为在十大漏洞中,其在OWASP研究数据中的案例数量最少,但该类别因包含五项常见弱点枚举(CWE)而获得了最高的平均利用率和影响评分。 OWASP指出,该类别案例数量有限可能是由于当前测试难度较大所致,未来情况或将改善。无论如何,受访者普遍认为软件供应链缺陷是首要关注点之一。
供应链中的大多数漏洞源于商业活动的互联性质,涉及上游、下游合作伙伴及第三方。 每次交互都涉及软件组件(亦称依赖项或库),这些组件可能存在安全漏洞。企业若未能追踪自身组件(客户端、服务器端或嵌套组件)的所有版本,以及其他库的传递性依赖项,确保其不存在漏洞、兼容性问题或过时风险,则可能面临安全威胁。 组件通常享有与应用程序同等的权限,因此受损组件(包括第三方或开源代码库来源的组件)可能造成广泛影响。及时应用补丁和更新至关重要——即使是常规的月度或季度补丁计划,也可能使企业暴露在风险中长达数日乃至数月。
同样地,若未对集成开发环境(IDE)或代码库、镜像库、库文件及其他供应链环节的变更进行追踪,供应链中缺乏变更管理流程将可能引发安全漏洞。 企业需要通过实施访问控制策略和最小权限原则来强化供应链安全,确保任何人都无法在无人监督的情况下创建代码并将其部署到生产环境,同时禁止从非可信来源下载组件。
供应链攻击可能以多种形式出现。著名的SolarWinds攻击始于俄罗斯黑客将恶意软件植入该公司热门网络管理软件的更新中,影响了约1.8万名客户。虽然实际受影响的企业接近100家,但名单中包含多家大型企业和政府机构。 Bybit交易所遭黑客攻击事件造成15亿美元损失,追溯源头指向朝鲜,该事件涉及加密货币应用程序被入侵。近期"水晶蠕虫"供应链攻击则利用隐形自复制代码感染了Open VSX应用商店。
供应链漏洞防范
鉴于供应链攻击涉及系统间的相互依赖性,防御措施需要采取整体策略。OWASP提供了防范攻击的建议,包括实施补丁管理流程以:
- 了解您所有软件的软件物料清单(SBOM),并集中管理SBOM。建议在编译阶段生成SBOM,而非后期处理,采用SPDX或CyclonedX等标准格式,并为每个版本至少发布一份机器可读的SBOM。
- 跟踪所有依赖项(包括传递依赖项),移除未使用的依赖项以及多余的功能、组件、文件和文档。
- 通过OWASP依赖性 检查或retire.js等工具,持续清点客户端和服务器端组件及其依赖关系 。
- 及时了解漏洞动态,持续监控漏洞来源(如通用漏洞与暴露(CVE)数据库和国家漏洞数据库(NVD)网站),并订阅您所用组件相关安全漏洞的邮件警报。
- 仅通过安全链接从可信来源获取组件。例如,可靠的供应商会愿意与研究人员合作,共同披露该研究人员在组件中发现的CVE漏洞。
- 请谨慎选择依赖项的版本,仅在必要时进行更新。使用第三方库时,请确保其漏洞已在NVD等权威来源公开披露。
- 监控未维护或不兼容的库及组件。若无法应用补丁,请考虑实施虚拟补丁来监控、检测或防范已发现的问题。
- 定期更新开发者工具。
- 将您的持续集成/持续交付(CI/CD)管道组件视为该流程的一部分,在记录变更的同时对其进行强化和监控。
变更管理或变更跟踪流程也应适用于持续集成/持续交付(CI/CD)配置、代码仓库、测试环境、集成开发环境(IDE)、软件物料清单(SBOM)工具、创建的工件、日志系统与日志记录、第三方集成(如SaaS)、工件仓库及容器注册表。 同时需强化从开发人员工作站到CI/CD流程的系统安全。务必启用多因素认证,并同步实施严格的身份与访问管理策略。
在高度互联的世界中,防范软件供应链故障是一项持续且多方面的努力。组织必须在其应用程序和组件的整个生命周期中采取强有力的防御措施,以抵御这一快速演变的现代威胁。
致SCW Trust Score™用户:
随着我们更新学习平台内容以符合OWASP 2025年十大安全风险标准,您可能会注意到全栈开发人员的信任评分出现微调。如有任何疑问或需要协助,请联系您的客户成功代表。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
