NISTで行動を起こす:サイバー防衛の未来に関する人間主導の立場
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
.avif)
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
バイデン政権による最近のサイバーセキュリティ大統領令により、セキュリティ業界、特に日常業務にセキュアコーディングのベストプラクティスを適用することの重要性を開発者に理解してもらいたいと考えているセキュリティ業界は注目を集めています。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
拜登政府最近发布的网络安全行政命令无疑引起了安全行业的讨论,特别是那些希望赢得开发人员在日常工作中应用安全编码最佳实践的重要性的人。这是第一次,从事联邦政府使用的软件的开发人员必须有经过验证的安全技能,以及遵守新的、不断发展的准则。
这标志着网络防御现状的积极变化,并最终使开发人员的充分技能提升成为对话的一部分。虽然这些政策是以美国政府为中心的,但它们为各组织提供了一个全球性的机会,以解决和提升当前的安全标准,从开发人员到软件供应链的安全分析的一切。
NIST最近征求公众意见,为他们下一步更新HIPAA立法等提供信息,这对我们来说是一个不可错过的机会,可以将我们公司的专业知识汇集成定位文件,帮助提供一个更安全、更有效、以人为本的网络安全方法,帮助企业利用他们的团队取得更大的成果。
作为一个专家驱动的组织,我们很幸运地拥有一些最敬业和最有成就的网络安全专业人士与我们合作,包括博士候选人Pieter de Cremer和Brian Chess博士,他是我们技术顾问委员会的成员。我们三个人集思广益,正式向NIST提交了定位文件,呼吁我们在软件创建阶段对开发人员进行技能提升和预防性安全的方法可以对未来的网络安全标准产生积极的影响。
一个安全的发展途径,为开发商铺平了道路
漏洞扫描工具、监控和其他形式的安全自动化越来越普遍,它们在新的行政命令和NIST指南中都有提及。它们是现代安全计划中越来越重要的一部分,但历史和现在都表明,扫描工具尤其能以越来越高的效率发现软件中的漏洞,但这本身对减少漏洞没有任何作用,或者说,从一开始就能提高安全性。
繁琐的技术堆栈会分散开发人员的注意力,拖慢他们的工作流程,这是开发人员脱离安全并对其持否定态度的根本原因之一。然而,如果开发者有一条铺好的安全开发途径,一条不仅适合技术,而且适合语言、框架和项目特定开发目标的定制途径,那么从一开始就将安全嵌入开发过程--尽可能不影响他们的生产力--是一种理想,随着时间的推移,常见的漏洞会显著减少。
要完整地阅读我们的NIST定位文件,请现在下载。
安全开发实践的认证框架。缺少的环节(目前)
到目前为止,还没有正式的认证来验证安全编码技能和最佳实践。长期以来,这一直是一个行业疏忽,我们的立场是,这对改善网络防御和安全开发的未来至关重要。
我们知道有许多针对开发者的安全培训形式,但如果大规模的数据泄露、网络攻击和劣质代码的数量有任何迹象的话,这并没有创造出有安全意识的开发者,他们也没有被赋予知识来解决这个只会越来越糟的问题。
开发人员的技能提升需要工具和教育,这些工具和教育要与日常工作相关,有背景,有大小(但要经常进行),并允许他们在他们实际使用的语言和框架的现有知识基础上进行。一般的培训是不够的,这一点需要在立法和行业机构(如NIST)中得到充分的说明。
NICE框架更适合建立全面的认证指南,积极使用有效的方法,并与开发者及其工作最感兴趣和相关。与这个公认的机构框架保持一致,有助于规范真正发挥作用的做法,并为组织提供更具体的途径。
要完整地阅读我们的第二份NIST定位文件,请现在下载。
网络安全中的人的因素经常被遗忘,现在是我们努力为人类问题(如反复出现的常见漏洞)寻找人类解决方案的时候了。几十年前的错误不应该再绊倒我们,但这需要全球政府的支持来改变现状,并提供可衡量的积极影响。
你准备好认证你的开发人员了吗?你已经来到了正确的地方。请查看我们的 Learning Platform 今天。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
