Vos développeurs constituent-ils la première ligne de risque ou de défense ? Évaluez votre entreprise par rapport à notre liste de contrôle du codage sécurisé
如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。
在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。
现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。
我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。
1.你的C级主管是否认识到,传统的网络安全是不够的?
使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。
2.你是否从一开始就考虑到安全问题?
目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。
3.你是否真正建立了安全技能,而不是只提供知识?
大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。
4.你是否用实时指标来衡量你的安全编码技能?
重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。
5.你确定你的外包供应商应用了安全编码技术吗?
许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。
6.你的开发人员是否了解最常见的安全弱点?
85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。
7.你有内部安全推行者吗?
每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。
8.你是否为你的开发人员投资了工具以使安全编码更容易?
在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。
你的组织是如何对照这个检查表的?
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。
Alors que les DSI développent de manière agressive les capacités agiles de leur entreprise, les compétences de codage sécurisé seront une arme d'innovation et leur absence sera un instrument de destruction.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。
在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。
现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。
我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。
1.你的C级主管是否认识到,传统的网络安全是不够的?
使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。
2.你是否从一开始就考虑到安全问题?
目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。
3.你是否真正建立了安全技能,而不是只提供知识?
大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。
4.你是否用实时指标来衡量你的安全编码技能?
重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。
5.你确定你的外包供应商应用了安全编码技术吗?
许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。
6.你的开发人员是否了解最常见的安全弱点?
85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。
7.你有内部安全推行者吗?
每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。
8.你是否为你的开发人员投资了工具以使安全编码更容易?
在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。
你的组织是如何对照这个检查表的?
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。
如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。
在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。
现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。
我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。
1.你的C级主管是否认识到,传统的网络安全是不够的?
使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。
2.你是否从一开始就考虑到安全问题?
目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。
3.你是否真正建立了安全技能,而不是只提供知识?
大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。
4.你是否用实时指标来衡量你的安全编码技能?
重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。
5.你确定你的外包供应商应用了安全编码技术吗?
许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。
6.你的开发人员是否了解最常见的安全弱点?
85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。
7.你有内部安全推行者吗?
每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。
8.你是否为你的开发人员投资了工具以使安全编码更容易?
在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。
你的组织是如何对照这个检查表的?
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
如果我们看一下任何组织,无论是公共的还是商业的,有两件事我们可以保证。首先,他们的产品和服务越来越数字化,这意味着他们涉及软件开发人员创建的代码行。第二,这些数字企业面临着来自传统和非传统竞争对手的压力,在一个更加动态和全球化的世界中运作。
在这种环境下,首席信息官已成为新的创新者,并处于权力和影响力的地位。然而,加快上市速度、提高质量和增加灵活性的强大压力导致了复杂的、分布式的开发团队,他们专注于特性和功能的快速开发,而没有意识到他们可能造成的漏洞。
现在比以往任何时候都更需要一种新的工作方式。你只需要看看Equifax最近的漏洞所造成的核损害,那是不安全的编码造成的。CIO和CISO应该仔细考虑他们的开发团队是否是风险的第一线,或者他们是公司的安全推行者,是公司真正的 "第一道防线"。
我创建了这个安全编码检查表,以帮助CIO和CISO考虑你是否已经将你的开发团队设置为安全编码的推行者,他们可以帮助你以更快、更好和更安全的代码进行创新。
1.你的C级主管是否认识到,传统的网络安全是不够的?
使用传统的安全措施确保网络层的安全已经不够了,而且无论如何都很少成功,即使面对半专业的黑客。在许多赞同的报告中,Verizon的2017年数据泄露调查报告中指出,今天35%的数据泄露是由网络应用程序漏洞引起的。网络应用安全与网络安全一样重要。
2.你是否从一开始就考虑到安全问题?
目前的应用程序安全工具侧重于在软件开发生命周期(SDLC)中从右向左移动。这种方法支持检测和反应,这意味着安全团队检测编写的代码中的漏洞并作出反应来修复它们。根据美国国家标准与技术研究所(NIST)的数据,检测和修复已提交代码中的漏洞比在IDE中编写代码时预防漏洞的成本高30倍。更不用说在补救问题时产生的时间延迟了。安全代码冠军从SDLC的最左边开始,重点是不断培训他们的开发人员进行安全编码,这样他们就可以成为他们组织的第一道防线,从一开始就防止漏洞。
3.你是否真正建立了安全技能,而不是只提供知识?
大多数培训方案(在线和课堂)都集中在建立知识而不是建立技能。 对于开发人员来说,他们需要定期获得实践学习的机会,让他们积极地学习和建立他们的安全编码技能。他们需要在真正的代码中,以及在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复代码中的已知漏洞。
4.你是否用实时指标来衡量你的安全编码技能?
重要的是要创造证据,向开发者和她的组织证明开发者的安全编码技能正在提高。你不能改善你不能衡量的东西。你的评估应该有助于实时识别你的开发团队的进展,以及对他们的安全编码的优势和劣势进行基准评估。
5.你确定你的外包供应商应用了安全编码技术吗?
许多组织决定将开发工作外包给大型的在岸或离岸开发公司。在最好的情况下,组织对安全的唯一保证形式是在合同中声明要求交付的产品是 "安全的"。很少有人真正验证这些开发公司的技能,最终得到的软件并没有遵循良好的安全编码实践。最坏的情况是,他们不知道这些,并开始使用该应用程序。 最常见的情况是,他们被专门的专家发现了(你为此付出了代价),而你面临的是延迟上线,以及关于谁需要为修复这些安全弱点付费的合同讨论。聪明一点,先评估一下将为你建立下一个应用程序的开发人员的应用安全技能。
6.你的开发人员是否了解最常见的安全弱点?
85.5%被利用的网络应用程序漏洞都是由10个已知的漏洞 "OWASP Top 10 "引起的。你的应用安全培训至少需要覆盖这些漏洞和更多的漏洞类型。你的开发人员完成的挑战需要不断地被修改和更新,包括新的编码框架或新的漏洞类型的挑战。
7.你有内部安全推行者吗?
每一个开发人员密集的组织都应该投资一个人,让他在你的开发团队中倡导安全。他们的目的是为任何有安全问题的人提供支持性的联络点,同时在团队中倡导安全编码和安全架构实践。
8.你是否为你的开发人员投资了工具以使安全编码更容易?
在应用程序有许多变化的环境中,或者在实行敏捷开发的环境中,将安全的部分自动化对于跟上节奏和数量是至关重要的。在开发生命周期的每个阶段都有一些工具,可以作为顾问、质量门或检测工具。你应该有IDE插件,可以专注于某些类型的安全漏洞,并在开发人员编写代码时像拼写检查员一样行事。还有一些与构建过程集成的工具,可以在代码提交到代码库时检测某些类型的弱点。还有一些工具在代码上运行自动测试,一旦软件进入生产阶段就模拟黑客技术。所有这些都有自己的好处和挑战,没有一个能100%保证没有安全问题。黄金法则是,你越早抓住弱点,补救弱点的速度就越快,成本就越低,对企业的影响就越小。
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。 在你跳过这个关键能力之前,请三思而后行。
你的组织是如何对照这个检查表的?
随着首席信息官们积极建立他们的企业敏捷能力,安全编码技能将成为创新的武器,而不具备这些技能将成为毁灭的工具。在你跳过这个关键能力之前,请三思而后行。
%20(1).avif)
.avif)
