为何SQL注入是应用安全领域的蟑螂(以及首席信息安全官如何彻底根除它们)
根据一项广为人知的理论,蟑螂几乎能抵御任何灾难,甚至核爆炸也不例外。尽管该理论仅在一定程度上成立,但其简单的身体构造使其在同等体型生物中具有超强的抗性,在多数环境下都难以彻底根除。
我暗自思忖……倘若蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种漏洞已存在二十余年,但各类组织却屡屡中招。塔吉特公司那场影响广泛、代价高昂的攻击正是SQL注入所致,伊利诺伊州选举系统遭入侵事件亦是如此——20万选民档案遭泄露,促使联邦调查局紧急建议所有IT管理员立即强化安全措施。
D'Imperva关于黑客情报计划的报告显示,在2005至2011年间,83%的已报告数据泄露事件中都使用了SQL注入攻击。时至今日,注入漏洞仍稳居OWASP十大威胁榜首。这类漏洞虽相对简单,却始终难以根除。
令人费解的是,同样的漏洞竟在大量应用程序安全分析中屡屡出现。我们既了解其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全仍存在改进空间。
Veracode《2017年软件安全现状报告》基于40万次应用程序扫描数据揭示了一项令人担忧的统计数据:仅有30%的应用程序符合OWASP十大安全风险政策。 过去五年间,这一问题始终存在:在最近扫描的应用程序中,近三分之一存在SQL注入漏洞。 这证明了问题已成痼疾:我们未能从错误中吸取教训,而信息安全负责人似乎难以招募到足够的安全人才。通常情况下,应用程序安全专家与开发人员的比例不足100:1。
为何软件安全正处于生存模式?
众所周知,安全专家本就稀缺,但我们还需警惕开发人员并未及时解决问题,且显然缺乏足够能力避免从源头引入漏洞。 Veracode的同一份报告还揭示,仅有14.4%的开发相关漏洞具备可追溯的缓解措施。换言之,多数漏洞提交时并未附带任何开发层面的缓解方案。 不到三分之一的漏洞在90天内得到修复,42%的漏洞在整个开发周期内始终未被修复。
我经常与安全专家、首席信息安全官和首席执行官们交流,有趣的是,我发现许多企业对检测到的众多无法缓解的漏洞(再加上众所周知的误报问题)感到如此沮丧, 以至于彻底停止漏洞排查,只能祈祷一切顺利。
为什么应用安全专业人员会放任这种情况发生?
别误会:应用安全人员对代码问题有着极其敏锐的洞察力。毕竟,这正是他们作为团队宝贵资源的核心能力之一。然而,他们常常受到多重因素的制约。
例如,应用安全负责人发现问题后会询问开发人员:"能否修复代码?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付冲刺周期而分身乏术,既无时间解决这些问题,也缺乏相应的工具支持。 应用安全专业人员或许能识别漏洞,但他们往往缺乏必要的技能和/或权限来直接修复问题。
我们还必须认识到,每个问题都需要找到解决方案、实施并测试。即使是代码中发现的微小问题,解决所需的时间——更不用说所需资源——也是巨大的。软件中可能存在超过700个漏洞,而单凭个人力量根本无法防御所有这些漏洞。 正因如此,多数企业仅专注于OWASP十大漏洞。与此同时,开发者仍在持续创建新功能,而他们编写的代码又不断引入新的漏洞。
解决方案是什么?
事实上,我们并未为开发人员提供必要的工具和培训来促进安全编码的成功。没有任何法规要求企业确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习项目同样未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
我们必须投入时间培训开发人员编写安全代码。然而在当今世界,软件开发节奏快,优秀开发人员和安全专家又稀缺,这似乎永远不是优先事项。是时候改变这种论调了。
世界经济论坛近期一篇题为《没有安全就不可能有数字经济》的文章,其内容强调必须将安全置于所有数字化转型战略的核心位置。"安全是保护企业、使其能够创新并创造新产品与服务的基础。 安全不仅具有防御功能,更能为企业提供增长层面的战略优势。"
提升安全编码技能与成果将为组织增添强大的网络防护层,助力其创建更高效、更快速的代码。开发者无需成为安全专家,但必须通过积极实用的赋能成为抵御网络攻击的第一道防线。他们有望成为安全与创新领域的未来先锋。 他们是极具智慧的群体,擅长创造性解决问题,且普遍渴望提升技能。通过提供他们应得的专项培训,充分发挥其优势,并致力于遵守更严格的软件安全标准。阅读我们的白皮书了解更多详情。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
根据一项广为人知的理论,蟑螂几乎能抵御任何灾难,甚至核爆炸也不例外。尽管该理论仅在一定程度上成立,但其简单的身体构造使其在同等体型生物中具有超强的抗性,在多数环境下都难以彻底根除。
我暗自思忖……倘若蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种漏洞已存在二十余年,但各类组织却屡屡中招。塔吉特公司那场影响广泛、代价高昂的攻击正是SQL注入所致,伊利诺伊州选举系统遭入侵事件亦是如此——20万选民档案遭泄露,促使联邦调查局紧急建议所有IT管理员立即强化安全措施。
D'Imperva关于黑客情报计划的报告显示,在2005至2011年间,83%的已报告数据泄露事件中都使用了SQL注入攻击。时至今日,注入漏洞仍稳居OWASP十大威胁榜首。这类漏洞虽相对简单,却始终难以根除。
令人费解的是,同样的漏洞竟在大量应用程序安全分析中屡屡出现。我们既了解其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全仍存在改进空间。
Veracode《2017年软件安全现状报告》基于40万次应用程序扫描数据揭示了一项令人担忧的统计数据:仅有30%的应用程序符合OWASP十大安全风险政策。 过去五年间,这一问题始终存在:在最近扫描的应用程序中,近三分之一存在SQL注入漏洞。 这证明了问题已成痼疾:我们未能从错误中吸取教训,而信息安全负责人似乎难以招募到足够的安全人才。通常情况下,应用程序安全专家与开发人员的比例不足100:1。
为何软件安全正处于生存模式?
众所周知,安全专家本就稀缺,但我们还需警惕开发人员并未及时解决问题,且显然缺乏足够能力避免从源头引入漏洞。 Veracode的同一份报告还揭示,仅有14.4%的开发相关漏洞具备可追溯的缓解措施。换言之,多数漏洞提交时并未附带任何开发层面的缓解方案。 不到三分之一的漏洞在90天内得到修复,42%的漏洞在整个开发周期内始终未被修复。
我经常与安全专家、首席信息安全官和首席执行官们交流,有趣的是,我发现许多企业对检测到的众多无法缓解的漏洞(再加上众所周知的误报问题)感到如此沮丧, 以至于彻底停止漏洞排查,只能祈祷一切顺利。
为什么应用安全专业人员会放任这种情况发生?
别误会:应用安全人员对代码问题有着极其敏锐的洞察力。毕竟,这正是他们作为团队宝贵资源的核心能力之一。然而,他们常常受到多重因素的制约。
例如,应用安全负责人发现问题后会询问开发人员:"能否修复代码?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付冲刺周期而分身乏术,既无时间解决这些问题,也缺乏相应的工具支持。 应用安全专业人员或许能识别漏洞,但他们往往缺乏必要的技能和/或权限来直接修复问题。
我们还必须认识到,每个问题都需要找到解决方案、实施并测试。即使是代码中发现的微小问题,解决所需的时间——更不用说所需资源——也是巨大的。软件中可能存在超过700个漏洞,而单凭个人力量根本无法防御所有这些漏洞。 正因如此,多数企业仅专注于OWASP十大漏洞。与此同时,开发者仍在持续创建新功能,而他们编写的代码又不断引入新的漏洞。
解决方案是什么?
事实上,我们并未为开发人员提供必要的工具和培训来促进安全编码的成功。没有任何法规要求企业确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习项目同样未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
我们必须投入时间培训开发人员编写安全代码。然而在当今世界,软件开发节奏快,优秀开发人员和安全专家又稀缺,这似乎永远不是优先事项。是时候改变这种论调了。
世界经济论坛近期一篇题为《没有安全就不可能有数字经济》的文章,其内容强调必须将安全置于所有数字化转型战略的核心位置。"安全是保护企业、使其能够创新并创造新产品与服务的基础。 安全不仅具有防御功能,更能为企业提供增长层面的战略优势。"
提升安全编码技能与成果将为组织增添强大的网络防护层,助力其创建更高效、更快速的代码。开发者无需成为安全专家,但必须通过积极实用的赋能成为抵御网络攻击的第一道防线。他们有望成为安全与创新领域的未来先锋。 他们是极具智慧的群体,擅长创造性解决问题,且普遍渴望提升技能。通过提供他们应得的专项培训,充分发挥其优势,并致力于遵守更严格的软件安全标准。阅读我们的白皮书了解更多详情。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
根据一项广为人知的理论,蟑螂几乎能抵御任何灾难,甚至核爆炸也不例外。尽管该理论仅在一定程度上成立,但其简单的身体构造使其在同等体型生物中具有超强的抗性,在多数环境下都难以彻底根除。
我暗自思忖……倘若蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种漏洞已存在二十余年,但各类组织却屡屡中招。塔吉特公司那场影响广泛、代价高昂的攻击正是SQL注入所致,伊利诺伊州选举系统遭入侵事件亦是如此——20万选民档案遭泄露,促使联邦调查局紧急建议所有IT管理员立即强化安全措施。
D'Imperva关于黑客情报计划的报告显示,在2005至2011年间,83%的已报告数据泄露事件中都使用了SQL注入攻击。时至今日,注入漏洞仍稳居OWASP十大威胁榜首。这类漏洞虽相对简单,却始终难以根除。
令人费解的是,同样的漏洞竟在大量应用程序安全分析中屡屡出现。我们既了解其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全仍存在改进空间。
Veracode《2017年软件安全现状报告》基于40万次应用程序扫描数据揭示了一项令人担忧的统计数据:仅有30%的应用程序符合OWASP十大安全风险政策。 过去五年间,这一问题始终存在:在最近扫描的应用程序中,近三分之一存在SQL注入漏洞。 这证明了问题已成痼疾:我们未能从错误中吸取教训,而信息安全负责人似乎难以招募到足够的安全人才。通常情况下,应用程序安全专家与开发人员的比例不足100:1。
为何软件安全正处于生存模式?
众所周知,安全专家本就稀缺,但我们还需警惕开发人员并未及时解决问题,且显然缺乏足够能力避免从源头引入漏洞。 Veracode的同一份报告还揭示,仅有14.4%的开发相关漏洞具备可追溯的缓解措施。换言之,多数漏洞提交时并未附带任何开发层面的缓解方案。 不到三分之一的漏洞在90天内得到修复,42%的漏洞在整个开发周期内始终未被修复。
我经常与安全专家、首席信息安全官和首席执行官们交流,有趣的是,我发现许多企业对检测到的众多无法缓解的漏洞(再加上众所周知的误报问题)感到如此沮丧, 以至于彻底停止漏洞排查,只能祈祷一切顺利。
为什么应用安全专业人员会放任这种情况发生?
别误会:应用安全人员对代码问题有着极其敏锐的洞察力。毕竟,这正是他们作为团队宝贵资源的核心能力之一。然而,他们常常受到多重因素的制约。
例如,应用安全负责人发现问题后会询问开发人员:"能否修复代码?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付冲刺周期而分身乏术,既无时间解决这些问题,也缺乏相应的工具支持。 应用安全专业人员或许能识别漏洞,但他们往往缺乏必要的技能和/或权限来直接修复问题。
我们还必须认识到,每个问题都需要找到解决方案、实施并测试。即使是代码中发现的微小问题,解决所需的时间——更不用说所需资源——也是巨大的。软件中可能存在超过700个漏洞,而单凭个人力量根本无法防御所有这些漏洞。 正因如此,多数企业仅专注于OWASP十大漏洞。与此同时,开发者仍在持续创建新功能,而他们编写的代码又不断引入新的漏洞。
解决方案是什么?
事实上,我们并未为开发人员提供必要的工具和培训来促进安全编码的成功。没有任何法规要求企业确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习项目同样未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
我们必须投入时间培训开发人员编写安全代码。然而在当今世界,软件开发节奏快,优秀开发人员和安全专家又稀缺,这似乎永远不是优先事项。是时候改变这种论调了。
世界经济论坛近期一篇题为《没有安全就不可能有数字经济》的文章,其内容强调必须将安全置于所有数字化转型战略的核心位置。"安全是保护企业、使其能够创新并创造新产品与服务的基础。 安全不仅具有防御功能,更能为企业提供增长层面的战略优势。"
提升安全编码技能与成果将为组织增添强大的网络防护层,助力其创建更高效、更快速的代码。开发者无需成为安全专家,但必须通过积极实用的赋能成为抵御网络攻击的第一道防线。他们有望成为安全与创新领域的未来先锋。 他们是极具智慧的群体,擅长创造性解决问题,且普遍渴望提升技能。通过提供他们应得的专项培训,充分发挥其优势,并致力于遵守更严格的软件安全标准。阅读我们的白皮书了解更多详情。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
根据一项广为人知的理论,蟑螂几乎能抵御任何灾难,甚至核爆炸也不例外。尽管该理论仅在一定程度上成立,但其简单的身体构造使其在同等体型生物中具有超强的抗性,在多数环境下都难以彻底根除。
我暗自思忖……倘若蟑螂在数字世界有对应物,那必然是代码中的SQL注入漏洞(SQLi)。这种漏洞已存在二十余年,但各类组织却屡屡中招。塔吉特公司那场影响广泛、代价高昂的攻击正是SQL注入所致,伊利诺伊州选举系统遭入侵事件亦是如此——20万选民档案遭泄露,促使联邦调查局紧急建议所有IT管理员立即强化安全措施。
D'Imperva关于黑客情报计划的报告显示,在2005至2011年间,83%的已报告数据泄露事件中都使用了SQL注入攻击。时至今日,注入漏洞仍稳居OWASP十大威胁榜首。这类漏洞虽相对简单,却始终难以根除。
令人费解的是,同样的漏洞竟在大量应用程序安全分析中屡屡出现。我们既了解其运作机制,也掌握了防范方法。这究竟是怎么回事?事实是,我们的软件安全仍存在改进空间。
Veracode《2017年软件安全现状报告》基于40万次应用程序扫描数据揭示了一项令人担忧的统计数据:仅有30%的应用程序符合OWASP十大安全风险政策。 过去五年间,这一问题始终存在:在最近扫描的应用程序中,近三分之一存在SQL注入漏洞。 这证明了问题已成痼疾:我们未能从错误中吸取教训,而信息安全负责人似乎难以招募到足够的安全人才。通常情况下,应用程序安全专家与开发人员的比例不足100:1。
为何软件安全正处于生存模式?
众所周知,安全专家本就稀缺,但我们还需警惕开发人员并未及时解决问题,且显然缺乏足够能力避免从源头引入漏洞。 Veracode的同一份报告还揭示,仅有14.4%的开发相关漏洞具备可追溯的缓解措施。换言之,多数漏洞提交时并未附带任何开发层面的缓解方案。 不到三分之一的漏洞在90天内得到修复,42%的漏洞在整个开发周期内始终未被修复。
我经常与安全专家、首席信息安全官和首席执行官们交流,有趣的是,我发现许多企业对检测到的众多无法缓解的漏洞(再加上众所周知的误报问题)感到如此沮丧, 以至于彻底停止漏洞排查,只能祈祷一切顺利。
为什么应用安全专业人员会放任这种情况发生?
别误会:应用安全人员对代码问题有着极其敏锐的洞察力。毕竟,这正是他们作为团队宝贵资源的核心能力之一。然而,他们常常受到多重因素的制约。
例如,应用安全负责人发现问题后会询问开发人员:"能否修复代码?"。这个关键问题的答案因组织而异,但通常开发人员因需严格遵守功能交付冲刺周期而分身乏术,既无时间解决这些问题,也缺乏相应的工具支持。 应用安全专业人员或许能识别漏洞,但他们往往缺乏必要的技能和/或权限来直接修复问题。
我们还必须认识到,每个问题都需要找到解决方案、实施并测试。即使是代码中发现的微小问题,解决所需的时间——更不用说所需资源——也是巨大的。软件中可能存在超过700个漏洞,而单凭个人力量根本无法防御所有这些漏洞。 正因如此,多数企业仅专注于OWASP十大漏洞。与此同时,开发者仍在持续创建新功能,而他们编写的代码又不断引入新的漏洞。
解决方案是什么?
事实上,我们并未为开发人员提供必要的工具和培训来促进安全编码的成功。没有任何法规要求企业确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习项目同样未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
我们必须投入时间培训开发人员编写安全代码。然而在当今世界,软件开发节奏快,优秀开发人员和安全专家又稀缺,这似乎永远不是优先事项。是时候改变这种论调了。
世界经济论坛近期一篇题为《没有安全就不可能有数字经济》的文章,其内容强调必须将安全置于所有数字化转型战略的核心位置。"安全是保护企业、使其能够创新并创造新产品与服务的基础。 安全不仅具有防御功能,更能为企业提供增长层面的战略优势。"
提升安全编码技能与成果将为组织增添强大的网络防护层,助力其创建更高效、更快速的代码。开发者无需成为安全专家,但必须通过积极实用的赋能成为抵御网络攻击的第一道防线。他们有望成为安全与创新领域的未来先锋。 他们是极具智慧的群体,擅长创造性解决问题,且普遍渴望提升技能。通过提供他们应得的专项培训,充分发挥其优势,并致力于遵守更严格的软件安全标准。阅读我们的白皮书了解更多详情。
当有人想驾驶飞机时,必须经过极其严格的流程:接受专业培训、积累实践经验、通过体检、掌握安全知识并通过考核,才能获得飞行资格。没有人敢想象在缺乏如此深入的准备和技能验证的情况下,竟能被放任翱翔天际——但这正是日常编程工作中普遍存在的现象。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
