为何我们需要支持而非惩罚那些对安全充满好奇的心灵
青少年安全研究员比尔·德米尔卡皮近期曝光其学校所用软件存在重大漏洞的报告,无疑勾起了我的回忆。记得儿时充满好奇的我,总爱掀开软件的引擎盖一探究竟——想看看一切如何运转,更重要的是,想看看自己能否破解它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手法略显大胆)在发现缺陷和潜在灾难方面发挥着重要作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,针对他的发现,校方仅给予了轻微的停学处分。而这一切发生的前提是,他已竭尽所能私下联系该公司(富乐特公司),最终选择以相当公开的方式自曝身份,展示其破解系统的能力。 他多次试图以合乎道德的方式向富乐特公司发出警告,却始终未获回应。与此同时,该软件的漏洞依然存在,大量学生数据因未加密而轻易暴露在外。
他还发现了另一家企业——Blackboard——软件中的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。他的学校同时使用了Blackboard和Follett的产品。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在定义图标上展示了他的发现,而他那些最调皮捣蛋的恶作剧细节赢得了观众的喝彩。 事实上,尽管他最初被列入黑名单,为让发现获得认可而遭遇重重阻碍,但福莱特公司最终认可了他的努力,采纳了他的建议,从而增强了软件安全性,避免了这场危机沦为又一起数据泄露事件的统计数字。 高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家稳步前进。
作为安全人员,很难不对这种处理方式表示异议。尽管这次事件最终圆满解决,但起初他们对待他的方式,就像对待一个爱管闲事的烦人编剧。 谷歌搜索该事件时,会出现将他称为"黑客"的报道(在安全专家眼中,这等同于将他塑造成反派),而实际上他的工作方式(以及许多同行的做法)正是保障数据安全的重要手段。
我们需要更多充满好奇心、头脑聪明且专注安全的人士进行秘密侦查,而且这类行动必须更加频繁。仅今年七月以来,已有超过40亿条记录遭受恶意数据泄露。随着八月时尚生活品牌Poshmark遭入侵,这一数字可能再增加5000万条。
我们总在重蹈覆辙,更令人忧心的是,这些漏洞往往简单得如同将手掌摊开,却足以让我们失足跌倒。
跨站脚本攻击和SQL注入并未消失。
据CABLEADO报道,Demirkapi发现Blackboards社区参与软件和Folletts学生信息系统存在常见安全漏洞,包括跨站脚本(XSS)和SQL注入,这些漏洞自1990年代以来就一直是安全专家们诟病的焦点。 我们容忍这些漏洞存在的时间实在太久了,就像Hypercolor变色T恤和软盘一样,它们早就该成为遥远的回忆了。
然而事实并非如此,显然缺乏足够数量的开发者具备足够的安全意识来阻止这些漏洞进入代码。代码扫描工具和人工代码审查收效甚微,且存在比XSS和SQL注入更为复杂的安全问题,因此这些耗时耗力的措施本可用于更有效的防护。
像比尔·德米尔卡皮这样的人物应当激励开发者建立更高的代码标准;年仅17岁的他,通过本应在代码编写前就被检测并修复的威胁向量,成功入侵了两个高流量系统。
游戏化:参与的关键?
我曾多次撰文阐述开发者为何对安全问题普遍漠不关心,简而言之,组织层面和教育层面都缺乏有效措施来引导开发者重视安全。 当企业投入精力打造安全文化——通过奖励机制认可安全承诺,包括实施符合开发者思维模式的培训并激励他们持续改进——这些令人头疼的安全漏洞遗留问题,终将从我们使用的软件中逐渐消失。
显然,德米尔卡皮对安全领域有着超出本职工作的兴趣,他花时间学习如何对恶意软件进行逆向工程、发现缺陷,以及——嗯,破坏那些表面看似完好无损的东西。然而,在与VICIO的对话中(以及通过他在DEF CON大会的幻灯片),他对自己自学成才的经历做出了一个有趣的表述……他将其游戏化了:
«为了在学校的软件中寻找漏洞,这成为一种有趣且游戏化的方式,让我掌握了大量渗透测试知识。虽然我最初是带着获取更多信息的意图开始研究,但最终发现实际情况远比预想的更糟糕,»他解释道。
尽管并非所有开发者都希望专攻安全领域,但所有人都应有机会提升安全意识——基础安全知识几乎相当于组织内部的"编程执照",尤其对于那些掌控我们大量敏感数据的企业而言。 若所有开发者都能在漏洞被编写出来之前就修复最基础的安全缺陷,面对蓄意破坏者时,我们的防御体系将坚不可摧。
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮近期曝光其学校所用软件存在重大漏洞的报告,无疑勾起了我的回忆。记得儿时充满好奇的我,总爱掀开软件的引擎盖一探究竟——想看看一切如何运转,更重要的是,想看看自己能否破解它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手法略显大胆)在发现缺陷和潜在灾难方面发挥着重要作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,针对他的发现,校方仅给予了轻微的停学处分。而这一切发生的前提是,他已竭尽所能私下联系该公司(富乐特公司),最终选择以相当公开的方式自曝身份,展示其破解系统的能力。 他多次试图以合乎道德的方式向富乐特公司发出警告,却始终未获回应。与此同时,该软件的漏洞依然存在,大量学生数据因未加密而轻易暴露在外。
他还发现了另一家企业——Blackboard——软件中的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。他的学校同时使用了Blackboard和Follett的产品。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在定义图标上展示了他的发现,而他那些最调皮捣蛋的恶作剧细节赢得了观众的喝彩。 事实上,尽管他最初被列入黑名单,为让发现获得认可而遭遇重重阻碍,但福莱特公司最终认可了他的努力,采纳了他的建议,从而增强了软件安全性,避免了这场危机沦为又一起数据泄露事件的统计数字。 高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家稳步前进。
作为安全人员,很难不对这种处理方式表示异议。尽管这次事件最终圆满解决,但起初他们对待他的方式,就像对待一个爱管闲事的烦人编剧。 谷歌搜索该事件时,会出现将他称为"黑客"的报道(在安全专家眼中,这等同于将他塑造成反派),而实际上他的工作方式(以及许多同行的做法)正是保障数据安全的重要手段。
我们需要更多充满好奇心、头脑聪明且专注安全的人士进行秘密侦查,而且这类行动必须更加频繁。仅今年七月以来,已有超过40亿条记录遭受恶意数据泄露。随着八月时尚生活品牌Poshmark遭入侵,这一数字可能再增加5000万条。
我们总在重蹈覆辙,更令人忧心的是,这些漏洞往往简单得如同将手掌摊开,却足以让我们失足跌倒。
跨站脚本攻击和SQL注入并未消失。
据CABLEADO报道,Demirkapi发现Blackboards社区参与软件和Folletts学生信息系统存在常见安全漏洞,包括跨站脚本(XSS)和SQL注入,这些漏洞自1990年代以来就一直是安全专家们诟病的焦点。 我们容忍这些漏洞存在的时间实在太久了,就像Hypercolor变色T恤和软盘一样,它们早就该成为遥远的回忆了。
然而事实并非如此,显然缺乏足够数量的开发者具备足够的安全意识来阻止这些漏洞进入代码。代码扫描工具和人工代码审查收效甚微,且存在比XSS和SQL注入更为复杂的安全问题,因此这些耗时耗力的措施本可用于更有效的防护。
像比尔·德米尔卡皮这样的人物应当激励开发者建立更高的代码标准;年仅17岁的他,通过本应在代码编写前就被检测并修复的威胁向量,成功入侵了两个高流量系统。
游戏化:参与的关键?
我曾多次撰文阐述开发者为何对安全问题普遍漠不关心,简而言之,组织层面和教育层面都缺乏有效措施来引导开发者重视安全。 当企业投入精力打造安全文化——通过奖励机制认可安全承诺,包括实施符合开发者思维模式的培训并激励他们持续改进——这些令人头疼的安全漏洞遗留问题,终将从我们使用的软件中逐渐消失。
显然,德米尔卡皮对安全领域有着超出本职工作的兴趣,他花时间学习如何对恶意软件进行逆向工程、发现缺陷,以及——嗯,破坏那些表面看似完好无损的东西。然而,在与VICIO的对话中(以及通过他在DEF CON大会的幻灯片),他对自己自学成才的经历做出了一个有趣的表述……他将其游戏化了:
«为了在学校的软件中寻找漏洞,这成为一种有趣且游戏化的方式,让我掌握了大量渗透测试知识。虽然我最初是带着获取更多信息的意图开始研究,但最终发现实际情况远比预想的更糟糕,»他解释道。
尽管并非所有开发者都希望专攻安全领域,但所有人都应有机会提升安全意识——基础安全知识几乎相当于组织内部的"编程执照",尤其对于那些掌控我们大量敏感数据的企业而言。 若所有开发者都能在漏洞被编写出来之前就修复最基础的安全缺陷,面对蓄意破坏者时,我们的防御体系将坚不可摧。
青少年安全研究员比尔·德米尔卡皮近期曝光其学校所用软件存在重大漏洞的报告,无疑勾起了我的回忆。记得儿时充满好奇的我,总爱掀开软件的引擎盖一探究竟——想看看一切如何运转,更重要的是,想看看自己能否破解它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手法略显大胆)在发现缺陷和潜在灾难方面发挥着重要作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,针对他的发现,校方仅给予了轻微的停学处分。而这一切发生的前提是,他已竭尽所能私下联系该公司(富乐特公司),最终选择以相当公开的方式自曝身份,展示其破解系统的能力。 他多次试图以合乎道德的方式向富乐特公司发出警告,却始终未获回应。与此同时,该软件的漏洞依然存在,大量学生数据因未加密而轻易暴露在外。
他还发现了另一家企业——Blackboard——软件中的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。他的学校同时使用了Blackboard和Follett的产品。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在定义图标上展示了他的发现,而他那些最调皮捣蛋的恶作剧细节赢得了观众的喝彩。 事实上,尽管他最初被列入黑名单,为让发现获得认可而遭遇重重阻碍,但福莱特公司最终认可了他的努力,采纳了他的建议,从而增强了软件安全性,避免了这场危机沦为又一起数据泄露事件的统计数字。 高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家稳步前进。
作为安全人员,很难不对这种处理方式表示异议。尽管这次事件最终圆满解决,但起初他们对待他的方式,就像对待一个爱管闲事的烦人编剧。 谷歌搜索该事件时,会出现将他称为"黑客"的报道(在安全专家眼中,这等同于将他塑造成反派),而实际上他的工作方式(以及许多同行的做法)正是保障数据安全的重要手段。
我们需要更多充满好奇心、头脑聪明且专注安全的人士进行秘密侦查,而且这类行动必须更加频繁。仅今年七月以来,已有超过40亿条记录遭受恶意数据泄露。随着八月时尚生活品牌Poshmark遭入侵,这一数字可能再增加5000万条。
我们总在重蹈覆辙,更令人忧心的是,这些漏洞往往简单得如同将手掌摊开,却足以让我们失足跌倒。
跨站脚本攻击和SQL注入并未消失。
据CABLEADO报道,Demirkapi发现Blackboards社区参与软件和Folletts学生信息系统存在常见安全漏洞,包括跨站脚本(XSS)和SQL注入,这些漏洞自1990年代以来就一直是安全专家们诟病的焦点。 我们容忍这些漏洞存在的时间实在太久了,就像Hypercolor变色T恤和软盘一样,它们早就该成为遥远的回忆了。
然而事实并非如此,显然缺乏足够数量的开发者具备足够的安全意识来阻止这些漏洞进入代码。代码扫描工具和人工代码审查收效甚微,且存在比XSS和SQL注入更为复杂的安全问题,因此这些耗时耗力的措施本可用于更有效的防护。
像比尔·德米尔卡皮这样的人物应当激励开发者建立更高的代码标准;年仅17岁的他,通过本应在代码编写前就被检测并修复的威胁向量,成功入侵了两个高流量系统。
游戏化:参与的关键?
我曾多次撰文阐述开发者为何对安全问题普遍漠不关心,简而言之,组织层面和教育层面都缺乏有效措施来引导开发者重视安全。 当企业投入精力打造安全文化——通过奖励机制认可安全承诺,包括实施符合开发者思维模式的培训并激励他们持续改进——这些令人头疼的安全漏洞遗留问题,终将从我们使用的软件中逐渐消失。
显然,德米尔卡皮对安全领域有着超出本职工作的兴趣,他花时间学习如何对恶意软件进行逆向工程、发现缺陷,以及——嗯,破坏那些表面看似完好无损的东西。然而,在与VICIO的对话中(以及通过他在DEF CON大会的幻灯片),他对自己自学成才的经历做出了一个有趣的表述……他将其游戏化了:
«为了在学校的软件中寻找漏洞,这成为一种有趣且游戏化的方式,让我掌握了大量渗透测试知识。虽然我最初是带着获取更多信息的意图开始研究,但最终发现实际情况远比预想的更糟糕,»他解释道。
尽管并非所有开发者都希望专攻安全领域,但所有人都应有机会提升安全意识——基础安全知识几乎相当于组织内部的"编程执照",尤其对于那些掌控我们大量敏感数据的企业而言。 若所有开发者都能在漏洞被编写出来之前就修复最基础的安全缺陷,面对蓄意破坏者时,我们的防御体系将坚不可摧。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮近期曝光其学校所用软件存在重大漏洞的报告,无疑勾起了我的回忆。记得儿时充满好奇的我,总爱掀开软件的引擎盖一探究竟——想看看一切如何运转,更重要的是,想看看自己能否破解它。 数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手法略显大胆)在发现缺陷和潜在灾难方面发挥着重要作用——但愿能在恶意攻击者之前完成这项工作。
然而问题在于,针对他的发现,校方仅给予了轻微的停学处分。而这一切发生的前提是,他已竭尽所能私下联系该公司(富乐特公司),最终选择以相当公开的方式自曝身份,展示其破解系统的能力。 他多次试图以合乎道德的方式向富乐特公司发出警告,却始终未获回应。与此同时,该软件的漏洞依然存在,大量学生数据因未加密而轻易暴露在外。
他还发现了另一家企业——Blackboard——软件中的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。他的学校同时使用了Blackboard和Follett的产品。
“邪恶黑客”的叙事存在问题。
德米尔卡皮在定义图标上展示了他的发现,而他那些最调皮捣蛋的恶作剧细节赢得了观众的喝彩。 事实上,尽管他最初被列入黑名单,为让发现获得认可而遭遇重重阻碍,但福莱特公司最终认可了他的努力,采纳了他的建议,从而增强了软件安全性,避免了这场危机沦为又一起数据泄露事件的统计数字。 高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家稳步前进。
作为安全人员,很难不对这种处理方式表示异议。尽管这次事件最终圆满解决,但起初他们对待他的方式,就像对待一个爱管闲事的烦人编剧。 谷歌搜索该事件时,会出现将他称为"黑客"的报道(在安全专家眼中,这等同于将他塑造成反派),而实际上他的工作方式(以及许多同行的做法)正是保障数据安全的重要手段。
我们需要更多充满好奇心、头脑聪明且专注安全的人士进行秘密侦查,而且这类行动必须更加频繁。仅今年七月以来,已有超过40亿条记录遭受恶意数据泄露。随着八月时尚生活品牌Poshmark遭入侵,这一数字可能再增加5000万条。
我们总在重蹈覆辙,更令人忧心的是,这些漏洞往往简单得如同将手掌摊开,却足以让我们失足跌倒。
跨站脚本攻击和SQL注入并未消失。
据CABLEADO报道,Demirkapi发现Blackboards社区参与软件和Folletts学生信息系统存在常见安全漏洞,包括跨站脚本(XSS)和SQL注入,这些漏洞自1990年代以来就一直是安全专家们诟病的焦点。 我们容忍这些漏洞存在的时间实在太久了,就像Hypercolor变色T恤和软盘一样,它们早就该成为遥远的回忆了。
然而事实并非如此,显然缺乏足够数量的开发者具备足够的安全意识来阻止这些漏洞进入代码。代码扫描工具和人工代码审查收效甚微,且存在比XSS和SQL注入更为复杂的安全问题,因此这些耗时耗力的措施本可用于更有效的防护。
像比尔·德米尔卡皮这样的人物应当激励开发者建立更高的代码标准;年仅17岁的他,通过本应在代码编写前就被检测并修复的威胁向量,成功入侵了两个高流量系统。
游戏化:参与的关键?
我曾多次撰文阐述开发者为何对安全问题普遍漠不关心,简而言之,组织层面和教育层面都缺乏有效措施来引导开发者重视安全。 当企业投入精力打造安全文化——通过奖励机制认可安全承诺,包括实施符合开发者思维模式的培训并激励他们持续改进——这些令人头疼的安全漏洞遗留问题,终将从我们使用的软件中逐渐消失。
显然,德米尔卡皮对安全领域有着超出本职工作的兴趣,他花时间学习如何对恶意软件进行逆向工程、发现缺陷,以及——嗯,破坏那些表面看似完好无损的东西。然而,在与VICIO的对话中(以及通过他在DEF CON大会的幻灯片),他对自己自学成才的经历做出了一个有趣的表述……他将其游戏化了:
«为了在学校的软件中寻找漏洞,这成为一种有趣且游戏化的方式,让我掌握了大量渗透测试知识。虽然我最初是带着获取更多信息的意图开始研究,但最终发现实际情况远比预想的更糟糕,»他解释道。
尽管并非所有开发者都希望专攻安全领域,但所有人都应有机会提升安全意识——基础安全知识几乎相当于组织内部的"编程执照",尤其对于那些掌控我们大量敏感数据的企业而言。 若所有开发者都能在漏洞被编写出来之前就修复最基础的安全缺陷,面对蓄意破坏者时,我们的防御体系将坚不可摧。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
