马蒂亚斯·马杜博士

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ-ビジネスロジック

この脆弱性は、コーダーがビジネスロジックルールを適切に実装できない場合に発生する可能性があり、悪意のあるユーザーがそれらを悪用した場合、アプリケーションがさまざまな種類の攻撃に対して脆弱になる可能性があります。

目に見えない隠れ家:SolarWinds攻撃が悪意のあるサイバーリスク以上のものを明らかにした理由

サイバーセキュリティ業界でクリスマスを台無しにする何かがあったとしたら、それは壊滅的なデータ侵害であり、米国政府に影響を及ぼした記録上最大のサイバースパイ活動になる見込みです。

Equifaxのハッキングの根本原因はウェブアプリの脆弱性です

繰り返しになりますが、Equifaxのハッキングの根本原因はWebアプリの脆弱性です。この種の脆弱性は10年以上前から存在していますが、今日でもなお重大な問題です。

OWASPの2021年リストシャッフル：新しいバトルプランと主な敵

悪名高い脆弱性の王様であるインジェクション攻撃（カテゴリー別）は、アクセス制御の破れによる最悪の攻撃としてトップの座を失っており、開発者は注意が必要です。

学術研究から産業界への移行は簡単ではありません

Show 139: Matias Madouがセキュア開発トレーニングとソフトウェアセキュリティテストの研究について語る

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-ブロークン・オブジェクト・レベル・オーソライゼーション

一般に、ユーザーからの入力を使用してデータソースにアクセスするすべての関数にオブジェクトレベルの認証チェックを含める必要があります。そうしないと、大きなリスクが伴います。

ストライク・ファースト・ストライク・ハード：キュレーションされたセキュア・コーディング・コースがサイバー脅威に容赦を与えない理由

開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。

30万人の開発者が実際に行っているセキュリティ対策とは?

約95,000のアプリケーションにまたがる約30万人の開発者が、ソフトウェア・セキュリティ・イニシアチブ（SSI）の計画、実行、測定にBSIMM8を使用しています。

ClickShareの脆弱性にはパッチが適用されているかもしれないが、はるかに大きな問題を覆い隠している

セキュリティ修正を開発プロセスに戻すことは容易ではありませんが、プレゼンテーションツールのような一見シンプルなデバイスでさえ驚くほど複雑で、他のすべてにネットワーク接続されている今日の世界では必要です。

オンラインセミナー:DevOps に「秒」を導入する準備はできていますか?

セキュリティが組織全体、そしてSDLC全体で共通の責任と見なされる段階に到達する必要があります。これは、全面的で支援力の高いDevSecOps環境にコミットすれば確実に実現できます。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-機能レベルのアクセス制御が欠けている

欠落している機能レベルのアクセス制御の脆弱性により、ユーザーは制限すべき機能を実行したり、保護すべきリソースにアクセスしたりできるようになります。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-認証失敗

認証は、多くの場合、アプリケーションへのゲートウェイとしてだけでなく、ネットワークの他の部分へのゲートウェイとしても機能するため、攻撃者にとって魅力的な標的です。認証プロセスが壊れていたり脆弱だったりすると、攻撃者がその弱点を発見して悪用する可能性が高くなります。

石油・ガス業界の「爆発的な」サイバー攻撃は生命を脅かす

捜査官によると、爆発を防いだのは攻撃者のコンピューターコードの間違いだけだという。

攻撃対象領域が終わらない時代における防止

ソフトウェア開発はもはや孤島ではなく、クラウド、電化製品や車両に組み込まれたシステム、重要なインフラストラクチャ、すべてをつなぐAPIなど、ソフトウェアを原動力とするリスクのあらゆる側面を考慮すると、攻撃対象領域は境界がなく、制御不能になります。

セキュリティ意識の高い開発者:AppSecにはあなたが必要です!

開発者は、AppSecに有利な形で参入できる絶好の立場にあります。

ソフトウェアベンダーはあなたと同じくらいセキュリティを気にかけていますか？

過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-一括割り当て

大量代入の脆弱性は、多くの最新のフレームワークが、開発者がクライアントからの入力をコード変数や内部オブジェクトに自動的にバインドする関数の使用を奨励した結果生まれました。

私のワークフローを混乱させるのはやめましょう！適切なセキュリティトレーニングを適切なタイミングで受ける方法

必要なときにトレーニングを受けるための障壁を減らすために何ができるか、マイクロラーニングをよりシームレスにワークフローに実装する方法について考え始めました。

不適切なコーディングパターンは大きなセキュリティ問題につながる可能性があります... では、なぜ私たちはそれらを奨励するのでしょうか？

開発者は、脆弱性の仕組み、なぜ危険なのか、どのようなパターンが脆弱性を引き起こすのか、どのような設計やコーディングパターンが脆弱性を修正するのかを理解していなければ、脆弱性の軽減にプラスの影響を与えることはできません。足場型のアプローチにより、知識を重ねることで、安全にコーディングすることの意味の全体像を把握し、コードベースを守り、セキュリティを意識した開発者として立ち上がることができます。

零日攻击正呈上升趋势。现在正是规划防御前沿的时机。

零日攻击的本质在于，攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害，企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位，因此封堵所有可能的漏洞至关重要。

退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec

これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。

開発者にセキュリティ意識を持ってコーディングしてもらいたいですか？トレーニングを彼らに届けましょう。

1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。

AppSecツールが特効薬だとしたら、なぜこれほど多くの企業がそれを採用しないのでしょうか。

AppSecツールが予想どおりに利用されていない理由はいくつかありますが、それはツールとその機能ではなく、セキュリティプログラム全体との統合方法に関するものです。

専門家インタビュー:Oscar Quintasによるコードとしてのインフラストラクチャ

私たちの専門家の一人、オスカー・キンタスにスポットライトを当てたいと思います。彼は当社のプロダクトコンテンツチームの一員で、シニアセキュリティリサーチャーとして働いています。また、コードとしてのインフラストラクチャ (IaC) のすべてに関する、当社の常駐ソーサラーでもあります。

ハッピーバースデー SQL インジェクション、潰せないバグ

SQL インジェクションは 22 周年を迎えました。この脆弱性は十分に古くから存在していますが、私たちはこの脆弱性を永久に潰すのではなく、弱体化させています。

サイバー犯罪の猛獣を倒す手助けをする開発者にとって、トレーニングは2つの部分に分かれています

サイバーセキュリティにおけるヒーローと悪役の競争の場は、不公平なことで有名です。機密データは新たな金であり、攻撃者は大小さまざまなセキュリティバグを悪用して潜在的な利益を得て、防御を回避することに素早く適応します。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-リソース不足とレート制限

この脆弱性は、同時に受信するリクエストが多すぎて、それらのリクエストを処理するための十分なコンピューティングリソースが API にない場合に発生します。そうすると、API が使用できなくなったり、新しいリクエストに応答しなくなったりする可能性があります。

2022年に無視できないサイバーセキュリティ問題

サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ:欠けている機能レベルのアクセス制御

インフラストラクチャレベルのアクセス制御が完璧な順序でなければ、企業全体が攻撃者に危険にさらされ、攻撃者はこの脆弱性を不正なスヌーピングや全面攻撃のゲートウェイとして利用する可能性があります。

Death by Doki: 深刻な被害をもたらした新しい Docker の脆弱性 (およびその対処法)

サイバー攻撃はますます頻繁になり、Linuxベースのインフラストラクチャに影響を与える脅威もますます一般的になっています。最終目標は、クラウドに保存されている機密データの宝庫を開ける機会を得ることです。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-過剰なデータ漏えい

この脆弱性の背後にある実際のメカニズムは他の脆弱性と似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されたデータまたは機密性の高いデータが関与することと定義されています。

当卓越的微波发生故障时：嵌入式系统安全为何成为开发者面临的下一个终极挑战

与基于Web的软件、API和移动设备类似，嵌入式系统中的脆弱代码一旦被攻击者发现，就有可能遭到利用。

退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える：パート2-CISOと開発者の意識

これは、組織内のPCI-DSSコンプライアンスに関するミニシリーズのパート2です。この最終章では、サイバーリスクを軽減し、プロセスをシームレスで成功させるために、CTOとCISOがトップからどのように指導できるかを詳しく説明します。開発者にとってはちょっと楽しいかもしれません。

あなたの組織は本当に DevSec に対応していますか?テストしてみましょう。

組織を念頭に置いて、自分の役割の文脈でこれらの質問について考えてみてください。DevSec のテストを受けるとどうなるでしょうか?

SQL注入为何是应用程序安全领域的蟑螂（以及CISO如何彻底根除SQL注入）

众所周知，蟑螂基本上能在任何环境中生存下来，甚至核爆炸也不例外。

コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-ロギングとモニタリングが不十分

ロギングと監視が不十分な欠陥は、ほとんどの場合、失敗した認証試行、アクセス拒否、入力検証エラーをすべてログに記録するというサイバーセキュリティ計画が失敗したために発生します。

コーダーがセキュリティインフラを征服するコードシリーズ:安全でない暗号

最近では、パスワード、個人情報、財務記録などの重要なデータを保存中にハッシュ化することが、あらゆるサイバーセキュリティ防御の基礎となっています。

NISTで行動を起こす：サイバー防衛の未来に関する人間主導の立場

バイデン政権による最近のサイバーセキュリティ大統領令により、セキュリティ業界、特に日常業務にセキュアコーディングのベストプラクティスを適用することの重要性を開発者に理解してもらいたいと考えているセキュリティ業界は注目を集めています。

サイバー攻撃は39秒ごとに発生します。政府はついに反撃する準備が整ったのか？

サイバーセキュリティのベストプラクティスに対する人間主導のアプローチを強化する必要があります。そうすれば、自動化やツール、すでに埋め込まれて発見されている問題への対応に大きく依存するよりも、より良い結果が得られるでしょう。

高度なセキュリティインテリジェンス:開発者がNISTに対応できるよう支援するガイド付きコース

開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も詳しく扱っています。彼らのセキュリティスキルを養う必要があり、NISTが概説しているような高い基準を達成するには、特に大規模な開発コホートでは、実践的なコース構成が効率的な方法かもしれません。

れいのおかみ:金沢のモツコツコツコ階です

セキュア・コード・ウォリアー第四節第四節第四節第一。サーヴィン・ニュー・フリンは、ダーウィックフォーク、ディーナーナーナーナーナー・サモナーナーナーナーナーナー・サバイザーン。

働き方の未来は柔軟で、サイバーセキュリティにとっても素晴らしいことです

新しい働き方の未知数や少しの不信感、あるいはリモートワークを信じないことから不快感が生じたとしても、それに抵抗する企業は、優秀な人材の誘致、グローバルなリーチの維持、率直に言って、時代とともに動くという点で遅れをとる傾向があることがわかりました。

コーダーがセキュリティインフラを征服するコードシリーズ:パスワードのプレーンテキスト保存

最近のほとんどのコンピュータセキュリティの鍵はパスワードです。二要素認証や生体認証など、他のセキュリティ方法を採用したとしても、ほとんどの組織では、保護の 1 つの要素としてパスワードベースのセキュリティを採用しています。

1 行のコード、100 万ドル

航空電子機器のコード1行を変更するコストは100万ドルで、実装には1年かかります。ボーイング737をベースとした機材を保有するサウスウエスト航空にとっては「破産」することになります。

セキュリティツールの急増に悩まされている

複雑なセキュリティツールが氾濫していることで、サイバーセキュリティはCISOにとってさらに困難になっています。

SSDLCのあらゆる段階で安全なコーディングスキルを身に付けましょう

Secure Code Warriorは、GitHubコードスキャンにコンテキスト学習をもたらすGitHubアクションを構築しました。つまり、開発者は Snyk Container Action のようなサードパーティーのアクションを使って脆弱性を発見し、その結果を CWE 特有で関連性の高い学習で補強できるということです。

私のペンテスター、私の敵？ペンテストと静的解析の結果について、開発者が本当に考えていることを明かす

ペネトレーションテストと静的分析スキャンツール（SASTとしてよく知られています）は、セキュリティリスクを軽減するためのプロセス全体の一部に過ぎず、もちろんコードがホットフィックスのためにバウンスバックされるまでは、私たちが行っていることとはかなり独立して動作します。

「左から左へ」から始める:セキュアコードは常に品質の高いコードなのか?

ある程度の品質のコードもその定義上安全ですが、すべての安全なコードが必ずしも高品質であるとは限りません。純粋に安全なコーディング標準を確保するには、「左から左へ」から始めるのが公式なのでしょうか？

コーダーがセキュリティインフラストラクチャをコードシリーズで制覇-信頼できないソースからのコンポーネントを使う

ここで焦点を当てる脆弱性を誘発する動作は、信頼できないソースからのコードを使用することです。これは一見無害な行為であり、大きな問題を引き起こしています。

2016年に明らかになったEquifaxのセキュリティ問題

x0rzという名前の研究者のツイートによると、2016年に話を進めると、セキュリティ研究者がEquifaxのメインWebサイトでクロスサイトスクリプティング（XSS）と呼ばれる一般的な脆弱性を発見しました。

コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-不適切な資産管理

この脆弱性は、より人的または管理上の問題であり、古い API をより安全な新しいバージョンに置き換えるべきだった後も、長期間そのままで残ってしまいます。

チャンピオン対コーチ:すべての開発チームに両方が必要な理由

サイバーセキュリティアプローチで目標を掲げている企業の多くは、公式のセキュリティチャンピオンプログラムを実施し、そのような役割に適性と情熱を示す個人に、チーム間の連絡や一般的なチアリーディングからベストプラクティスの監督まで、主要なセキュリティ責任を課しています。

Rustは、5回目で最も愛されているプログラミング言語です。これは私たちの新しいセキュリティの救世主なのでしょうか？

Rustには、一般的に使用されている言語の既知の機能要素を取り入れ、パフォーマンスと安全性を導入しながら、複雑さを排除するという異なる考え方に基づいています。

Coders Conquer Security OWASP トップ 10 API 4k-Waid-Keady/740-mdey/f

APIでなにかみだっけ、厚くなりなりなりなりなりなりなりなりなりなりなりなりなりますかぎりぎらぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎら。194ALULGか、RCINALIDI API API API、VIGALUMIN楽輪。

優秀なDevSecOpsエンジニアになる方法

世界はウォーターフォール、アジャイル、そして今はDevOpsに移行し始めています。では、次の解決策は何でしょうか？そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか？

足场型学习能培养出具备强安全意识的开发者的原因

作为行业，我们不应期望开发人员成为安全专家，但组织可以采用新的标准来支持开发人员，从而帮助他们创建更高质量的软件。

コーダーがセキュリティ・インフラストラクチャを征服するコードシリーズ:トランスポート層保護が不十分

時々、アプリケーションは全体的なワークロードの一部として他のプログラムとデータを共有することもあります。トランスポート層が保護されていない限り、外部からの覗き見や不正な内部閲覧の両方に対して脆弱になります。

全国サイバーセキュリティ啓発月間：フィッシング探検だけではない

すべての組織がサイバーセキュリティ啓発月間を活用してセキュリティ意識をリフレッシュできます。今年は、コーディングコミュニティ向けの新しい無料アプリもリリースします。

信頼の構築:AppSecと開発者の間の真のセキュリティシナジーへの道

不信という不安定な基盤の上に築かれた関係は、まあ、期待を低くして取り組むのが一番です。残念なことに、これは組織内の開発者とアプリケーション・セキュリティ・チームとの協力関係の状態かもしれません。

コーダーがセキュリティインフラストラクチャを征服するコードシリーズ:セキュリティの設定ミス-不適切な権限

セキュリティの設定ミス、特に不適切な権限の設定は、開発者がタスクを実行するために新しいユーザーを作成したり、ツールとしてアプリケーションに権限を付与したりする場合に発生することがほとんどです。

程序员征服安全基础设施的代码系列：被禁用的安全功能

攻击者总是试图首先发现容易被利用的漏洞，但有时也会使用脚本来突破常见的弱点。这与小偷检查路上所有车辆是否车门未锁毫无二致——比起砸碎车窗，这种方式要简单得多。

組織のセキュリティ成熟度を過大評価していませんか?

世界中のソフトウェアニーズを満たすために大量のコードが開発されていることと相容れないスキル不足が続いているため、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能な手っ取り早い成果を評価する時です。

世界クラスのCISOが2023年に予算と取締役会の信頼をどのように獲得しているか

CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。

在适当的支持下，开发人员能够引导组织实现卓越的PCI DSS 4.0合规性。

企業のセキュリティ・バイ・デザイン・イニシアティブの有意義な成功を促す

最新の研究論文「セキュリティスキルのベンチマーキング：企業におけるセキュリティバイデザインの合理化」は、企業レベルでの実際のセキュリティバイデザインの取り組みを詳細に分析し、データ主導の調査結果に基づいてベストプラクティスのアプローチを導き出した結果です。

開発者にとってのセキュリティスキルのベンチマークのメリット

セキュアコードとセキュアバイデザインの原則への注目が高まる中、開発者はSDLCの開始時からサイバーセキュリティに関するトレーニングを受ける必要があり、Secure Code WarriorのTrust Scoreなどのツールが進捗状況の測定と改善に役立ちます。

信任评分揭示了安全设计技能提升计划的价值

根据我们的调查，安全编码培训已被证实具有显著成效。Trust Score 采用的算法基于超过 600 家组织、25 万名学习者产生的 2000 万条学习数据，不仅揭示了其在缓解安全漏洞方面的实效，更指明了如何进一步提升此类举措的实施效果。

安全技能基准测试：企业中安全设计理念的合理化

关于安全设计倡议的成功，要找到有意义的数据向来非常困难。首席信息安全官（CISO）在试图证明安全计划活动在人才层面和企业层面的投资回报率（ROI）及商业价值时，常常面临挑战。毋庸置疑，企业尤其难以掌握自身相对于当前行业标准的基准位置。总统的国家网络安全战略要求利益相关者"从设计阶段就融入安全与韧性"。设计理念的成功关键，不仅在于让开发者掌握保障代码安全的技术能力，更需向监管机构证明这种能力已然具备。本次演讲将分享基于多重核心数据源的丰富定性与定量分析——包括从25万余名开发者收集的内部数据点、数据驱动的客户洞察及公开调研等。通过整合这些数据维度，我们旨在阐释跨行业安全本报告深入剖析了该领域当前发展滞后的根源，阐明了技能提升计划对降低网络安全风险的重大影响，并详细论证了从代码库中消除特定类别漏洞的可行性。

AI で拡張された安全なソフトウェア開発における批判的思考の回復

AIの議論は、使用に関するものではなく、応用に関するものです。コードを深く理解している開発者に頼って、AI の生産性向上の必要性と堅牢なセキュリティとのバランスを取る方法をご覧ください。

要塞を築きましょう:ソフトウェア・セキュリティにおける開発者支援に欠かせない6つの柱

このホワイトペーパーでは、セキュリティの専門家であり、Secure Code WarriorのCTO兼共同創設者であるMatias Madou博士が、開発コホートに効果的なセキュリティ教育と支援を展開するために必要な6つの柱について説明します。企業レベルでセキュリティプログラムを実施している 10 人の経営幹部から学んだ教訓と、成功への道のりで避けるべき一般的な落とし穴があります。