専門家インタビュー:Oscar Quintasによるコードとしてのインフラストラクチャ
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
私たちの専門家の一人、オスカー・キンタスにスポットライトを当てたいと思います。彼は当社のプロダクトコンテンツチームの一員で、シニアセキュリティリサーチャーとして働いています。また、コードとしてのインフラストラクチャ (IaC) のすべてに関する、当社の常駐ソーサラーでもあります。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
在科技创业公司工作的最好的事情之一是你在工作中遇到的所有有趣的、聪明的人,并与之合作。将一个公司从一个很酷的想法发展成一个严肃的市场竞争者,需要组建你自己的复仇者团队(或者,正义联盟,取决于你的忠诚)。
考虑到这一点,我们想把目光投向我们的一位专家,Oscar Quintas。他是我们产品内容团队的一员,作为高级安全研究员工作。他也是我们所有基础设施即代码(IaC)方面的常驻巫师。他是我们178个(而且还在不断增加!)IaC平台挑战背后的力量,也是我们解决所有关于这个新鲜、热门话题的迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解,他的角色,以及组织可以做什么来更好地准备他们的云基础设施和工程师。
问:请告诉我们你在Secure Code Warrior 的角色。对你来说,典型的一天是什么样子的?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言的挑战代码(Python、Java、Golang和许多其他语言!),以确保代码质量标准得到满足,安全最佳实践得到实施。我还开发新的IaC内容。
问:你是我们所有基础设施即代码平台挑战背后的天才。你的过程是什么?
我想说的是,这是一个研究和努力工作的组合,为多种技能水平提供高度相关和参与的内容。我通常从研究用户在部署基础设施时面临的最常见的问题开始,利用这些信息,我开发了有用的挑战,以展示每个案例的安全最佳实践。
我总是试图为我们的战士提供一个良好的学习经验,并确保这是一个与工作相关的、有用的练习,并持续受益。
问:IaC安全是目前一个非常流行的话题。在云安全实践方面,公司面临的主要问题是什么?
答:基础设施即代码是指用代码来管理你的基础设施资源。只需几行该代码,你就可以部署数以百计的云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,就可能包含安全漏洞。因此,适用于安全应用部署的原则也可以适用于IaC,这些风险--以及它们的修复--必须被参与SDLC的每个团队理解。
这种意识和行动从适当的IaC安全培训开始,并优先考虑你的云工程师的安全编码技能。他们可以成为一个强大的防御层,当他们正在构建承载应用程序的基础设施时,这一点尤为重要。
问:业界对Kubernetes有很多兴趣,它似乎也被广泛使用。然而,我们的平台数据反映出Terraform是一种压倒性的流行语言,具有很高的参与度。你有什么见解可以分享吗?
答:Terraform是IaC事实上的语言,因为它允许我们使用简单的语法在多云环境(如AWS、GCP、Azure)中部署基础设施资源。它允许你使用代码来定义你的基础设施,并与云的API透明地互动,以管理资源的部署。
这种语言的用途非常广泛,由于它可以被添加到源控制库中,DevOps/DevSecOps原则也可以被应用到基础设施部署中。然而,这也会带来新的威胁,必须加以解决,所以用Terraform进行安全编码的全面培训是必须的。
问:你是一名IaC安全专家。你的工作中最好的部分是什么?
答:IaC仍然处于早期阶段,所以有很多新的东西被频繁发布。要跟上这些新技术的发展,有点挑战性,但同时也很有收获。我非常喜欢学习新的东西,测试新服务的安全最佳实践。
把你的IaC安全提高到新的水平。
如果你想让你的云计算开发人员围绕基础设施即代码来磨练他们的安全技能,那就用我们的IaC Top 8来挑战自己吧阅读每一章,了解八种常见的IaC安全漏洞的全部内容,包括测试他们新知识的互动挑战。
让我们知道你的分数,并让奥斯卡感到骄傲
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
