コピー/貼り付けは危険なコーディング手法です
バージニア工科大学の研究者が発表しました 論文 最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析した後。セキュリティに関する質問の種類、コミュニティから寄せられた最も一般的な回答、およびセキュリティがコードソフトウェアエンジニアに与える影響を調べました。
サイバーセキュリティにしばらく携わっている人にとってはそれほど驚くことではありませんが、開発者の観点からはこの問題をもっと認識する必要があります。
- コーディング・フレームワーク (JAVA Springなど) が提供するセキュリティ機能は、非常に複雑で、文書化も不十分です。
- かなりの数の開発者がコーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティに関するトレーニングが不足していることが分かります
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、肯定的な票を得たため、評価も高くなっています。
レポートは次の解決策を提案しています。
- 労働力の再訓練
- セキュリティバグの検出と修正の半自動化
今日のビジネス運営のスピードを維持するためには、開発者が簡単にセキュリティを利用できるようにし、最初からセキュリティを組み込む必要があります。
「この研究の意義は、これまで報告されていなかった、多くの憂慮すべき安全なコーディングの問題について、経験的証拠を提供したことです」と論文は述べている。「これらの問題は、エンタープライズセキュリティアプリケーションに対するニーズの急激な高まり、ソフトウェア開発要員におけるセキュリティトレーニングの不足、セキュリティライブラリの設計が不十分であることなど、さまざまな理由によるものです。」
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
バージニア工科大学の研究者が発表しました 論文 最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析した後。セキュリティに関する質問の種類、コミュニティから寄せられた最も一般的な回答、およびセキュリティがコードソフトウェアエンジニアに与える影響を調べました。
サイバーセキュリティにしばらく携わっている人にとってはそれほど驚くことではありませんが、開発者の観点からはこの問題をもっと認識する必要があります。
- コーディング・フレームワーク (JAVA Springなど) が提供するセキュリティ機能は、非常に複雑で、文書化も不十分です。
- かなりの数の開発者がコーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティに関するトレーニングが不足していることが分かります
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、肯定的な票を得たため、評価も高くなっています。
レポートは次の解決策を提案しています。
- 労働力の再訓練
- セキュリティバグの検出と修正の半自動化
今日のビジネス運営のスピードを維持するためには、開発者が簡単にセキュリティを利用できるようにし、最初からセキュリティを組み込む必要があります。
「この研究の意義は、これまで報告されていなかった、多くの憂慮すべき安全なコーディングの問題について、経験的証拠を提供したことです」と論文は述べている。「これらの問題は、エンタープライズセキュリティアプリケーションに対するニーズの急激な高まり、ソフトウェア開発要員におけるセキュリティトレーニングの不足、セキュリティライブラリの設計が不十分であることなど、さまざまな理由によるものです。」
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
バージニア工科大学の研究者が発表しました 論文 最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析した後。セキュリティに関する質問の種類、コミュニティから寄せられた最も一般的な回答、およびセキュリティがコードソフトウェアエンジニアに与える影響を調べました。
サイバーセキュリティにしばらく携わっている人にとってはそれほど驚くことではありませんが、開発者の観点からはこの問題をもっと認識する必要があります。
- コーディング・フレームワーク (JAVA Springなど) が提供するセキュリティ機能は、非常に複雑で、文書化も不十分です。
- かなりの数の開発者がコーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティに関するトレーニングが不足していることが分かります
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、肯定的な票を得たため、評価も高くなっています。
レポートは次の解決策を提案しています。
- 労働力の再訓練
- セキュリティバグの検出と修正の半自動化
今日のビジネス運営のスピードを維持するためには、開発者が簡単にセキュリティを利用できるようにし、最初からセキュリティを組み込む必要があります。
「この研究の意義は、これまで報告されていなかった、多くの憂慮すべき安全なコーディングの問題について、経験的証拠を提供したことです」と論文は述べている。「これらの問題は、エンタープライズセキュリティアプリケーションに対するニーズの急激な高まり、ソフトウェア開発要員におけるセキュリティトレーニングの不足、セキュリティライブラリの設計が不十分であることなど、さまざまな理由によるものです。」
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
バージニア工科大学の研究者が発表しました 論文 最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析した後。セキュリティに関する質問の種類、コミュニティから寄せられた最も一般的な回答、およびセキュリティがコードソフトウェアエンジニアに与える影響を調べました。
サイバーセキュリティにしばらく携わっている人にとってはそれほど驚くことではありませんが、開発者の観点からはこの問題をもっと認識する必要があります。
- コーディング・フレームワーク (JAVA Springなど) が提供するセキュリティ機能は、非常に複雑で、文書化も不十分です。
- かなりの数の開発者がコーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティに関するトレーニングが不足していることが分かります
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、肯定的な票を得たため、評価も高くなっています。
レポートは次の解決策を提案しています。
- 労働力の再訓練
- セキュリティバグの検出と修正の半自動化
今日のビジネス運営のスピードを維持するためには、開発者が簡単にセキュリティを利用できるようにし、最初からセキュリティを組み込む必要があります。
「この研究の意義は、これまで報告されていなかった、多くの憂慮すべき安全なコーディングの問題について、経験的証拠を提供したことです」と論文は述べている。「これらの問題は、エンタープライズセキュリティアプリケーションに対するニーズの急激な高まり、ソフトウェア開発要員におけるセキュリティトレーニングの不足、セキュリティライブラリの設計が不十分であることなど、さまざまな理由によるものです。」
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
