SQL注入为何是应用程序安全领域的蟑螂(以及CISO如何彻底根除SQL注入)
众所周知,蟑螂几乎能在任何环境中生存——甚至核爆也不例外。虽然该理论仅在一定程度上成立,但其简单的身体构造使其相较体型极为强韧,在多数环境下都难以彻底根除。
我一直在思考...如果说数字世界中存在与蟑螂相当的生物,那无疑就是代码中的SQL注入(SQLi)漏洞。这种漏洞已存在二十余年,但各类组织仍屡屡中招。其危害范围之广,既体现在针对目标的昂贵攻击案例中,也体现在SQL注入引发的选举黑客事件里——伊利诺伊州20万选民记录遭泄露后,联邦调查局紧急敦促所有IT管理员立即加强安全防护。
Imparva黑客情报计划报告显示,在2005至2011年间,83%的已报告数据泄露事件都使用了SQL注入攻击。时至今日,注入漏洞仍是全球最大的安全威胁之一,位列OWASP十大安全漏洞榜单。这类攻击手段虽然相对简单,却始终难以根除。
同样的漏洞至今仍在大量应用程序安全扫描中出现,这简直荒谬至极。我们明明了解其运作机制和防范方法,为何仍会发生?事实上,我们的软件安全体系存在着巨大的改进空间。
VeraCode软件安全状况报告——基于2017年40万次应用程序扫描的惊人统计数据显示:仅有30%的应用程序通过了OWASP十大安全政策测试。这一现象在过去五年中持续存在,近三分之一的新扫描应用程序存在SQL注入漏洞。这充分证明了问题的普遍性。我们并未从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常情况下,应用程序安全专家与开发人员的比例达到1:100仍显不足。
为什么在生命维持装置中采用软件安全技术?
众所周知,安全专家严重短缺,但开发人员即使发现问题也未予修复,更明显的是他们根本不具备防范漏洞的机制。Veracode的同一份报告显示,在所有开发漏洞中,仅有14.4%记录了缓解措施。这意味着绝大多数漏洞都是在缺乏开发缓解措施的情况下提交的。在最初90天内被修复的漏洞不足三分之一,而开发周期内未修复的漏洞占比高达42%。
我经常与安全专家、首席信息安全官和首席执行官交流,但有趣的是,我注意到许多企业(除了误报带来的灾难之外)对发现的无法缓解的漏洞数量感到不满,甚至完全停止了扫描,转而寄希望于最好的结果。
为什么应用程序安全专业人员会导致这种情况发生呢?
毫无疑问,应用安全团队成员深切体会到代码中的问题。毕竟,这正是他们核心技能之一,也是他们成为团队宝贵资源的关键所在。然而,他们的工作常常受到若干因素的阻碍。
例如,应用安全经理发现问题后,会询问开发人员:"能否修复代码?"。虽然不同组织对这个关键问题的回答各异,但通常开发人员因忙于应对严格的功能交付冲刺周期,既没有解决问题的时间,也没有合适的辅助工具。应用安全专家自身或许能识别漏洞,但往往缺乏即时修复所需的技能或访问权限。
此外,还需认识到所有问题都存在一个寻找解决方案、实施并测试的过程。即使代码中发现的只是微小问题,其修复所需的时间也难以估量,更不用说所需的资源了。软件存在超过700种漏洞,但仅凭一人之力根本无法防御所有漏洞。正因如此,多数企业始终固守OWASP十大漏洞防护准则。与此同时,开发者仍在持续构建功能,最终将漏洞不断引入自己编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发者提供实现安全编码所需的工具和培训。组织中不存在强制开发者掌握充分安全技能的法规。更令人遗憾的是,绝大多数大学和实习项目都未能为初级开发者做好安全编码的准备工作。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
我们需要投入时间对开发人员进行安全编程教育。但在当今这个软件开发节奏快、优秀开发人员和安全专家短缺的世界里,这似乎永远不会成为优先事项。现在正是改变这种状况的时候了。
世界经济论坛近期标题呼吁:"没有安全保障,数字经济便无从谈起",并在相关报道中强调安全必须成为所有数字化转型战略的核心。"安全不仅是企业的保护伞,更能推动企业创新、构建新产品与服务。安全不仅具有防御功能,更能为企业战略性增长创造竞争优势。"
通过提升安全编码技能与成果,组织将获得强大的网络防护能力,从而能够编写更优质、更高效的代码。开发者无需成为安全专家,但但要成为抵御网络攻击的前线力量,必须具备主动实践的权限。开发者完全可以成为安全与创新领域的下一个英雄——他们才智过人,是富有创造力的问题解决者,且普遍热衷于技能提升。请通过专业培训激发他们的优势,推动其践行更高的软件安全标准。阅读白皮书了解更多详情。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
众所周知,蟑螂几乎能在任何环境中生存——甚至核爆也不例外。虽然该理论仅在一定程度上成立,但其简单的身体构造使其相较体型极为强韧,在多数环境下都难以彻底根除。
我一直在思考...如果说数字世界中存在与蟑螂相当的生物,那无疑就是代码中的SQL注入(SQLi)漏洞。这种漏洞已存在二十余年,但各类组织仍屡屡中招。其危害范围之广,既体现在针对目标的昂贵攻击案例中,也体现在SQL注入引发的选举黑客事件里——伊利诺伊州20万选民记录遭泄露后,联邦调查局紧急敦促所有IT管理员立即加强安全防护。
Imparva黑客情报计划报告显示,在2005至2011年间,83%的已报告数据泄露事件都使用了SQL注入攻击。时至今日,注入漏洞仍是全球最大的安全威胁之一,位列OWASP十大安全漏洞榜单。这类攻击手段虽然相对简单,却始终难以根除。
同样的漏洞至今仍在大量应用程序安全扫描中出现,这简直荒谬至极。我们明明了解其运作机制和防范方法,为何仍会发生?事实上,我们的软件安全体系存在着巨大的改进空间。
VeraCode软件安全状况报告——基于2017年40万次应用程序扫描的惊人统计数据显示:仅有30%的应用程序通过了OWASP十大安全政策测试。这一现象在过去五年中持续存在,近三分之一的新扫描应用程序存在SQL注入漏洞。这充分证明了问题的普遍性。我们并未从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常情况下,应用程序安全专家与开发人员的比例达到1:100仍显不足。
为什么在生命维持装置中采用软件安全技术?
众所周知,安全专家严重短缺,但开发人员即使发现问题也未予修复,更明显的是他们根本不具备防范漏洞的机制。Veracode的同一份报告显示,在所有开发漏洞中,仅有14.4%记录了缓解措施。这意味着绝大多数漏洞都是在缺乏开发缓解措施的情况下提交的。在最初90天内被修复的漏洞不足三分之一,而开发周期内未修复的漏洞占比高达42%。
我经常与安全专家、首席信息安全官和首席执行官交流,但有趣的是,我注意到许多企业(除了误报带来的灾难之外)对发现的无法缓解的漏洞数量感到不满,甚至完全停止了扫描,转而寄希望于最好的结果。
为什么应用程序安全专业人员会导致这种情况发生呢?
毫无疑问,应用安全团队成员深切体会到代码中的问题。毕竟,这正是他们核心技能之一,也是他们成为团队宝贵资源的关键所在。然而,他们的工作常常受到若干因素的阻碍。
例如,应用安全经理发现问题后,会询问开发人员:"能否修复代码?"。虽然不同组织对这个关键问题的回答各异,但通常开发人员因忙于应对严格的功能交付冲刺周期,既没有解决问题的时间,也没有合适的辅助工具。应用安全专家自身或许能识别漏洞,但往往缺乏即时修复所需的技能或访问权限。
此外,还需认识到所有问题都存在一个寻找解决方案、实施并测试的过程。即使代码中发现的只是微小问题,其修复所需的时间也难以估量,更不用说所需的资源了。软件存在超过700种漏洞,但仅凭一人之力根本无法防御所有漏洞。正因如此,多数企业始终固守OWASP十大漏洞防护准则。与此同时,开发者仍在持续构建功能,最终将漏洞不断引入自己编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发者提供实现安全编码所需的工具和培训。组织中不存在强制开发者掌握充分安全技能的法规。更令人遗憾的是,绝大多数大学和实习项目都未能为初级开发者做好安全编码的准备工作。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
我们需要投入时间对开发人员进行安全编程教育。但在当今这个软件开发节奏快、优秀开发人员和安全专家短缺的世界里,这似乎永远不会成为优先事项。现在正是改变这种状况的时候了。
世界经济论坛近期标题呼吁:"没有安全保障,数字经济便无从谈起",并在相关报道中强调安全必须成为所有数字化转型战略的核心。"安全不仅是企业的保护伞,更能推动企业创新、构建新产品与服务。安全不仅具有防御功能,更能为企业战略性增长创造竞争优势。"
通过提升安全编码技能与成果,组织将获得强大的网络防护能力,从而能够编写更优质、更高效的代码。开发者无需成为安全专家,但但要成为抵御网络攻击的前线力量,必须具备主动实践的权限。开发者完全可以成为安全与创新领域的下一个英雄——他们才智过人,是富有创造力的问题解决者,且普遍热衷于技能提升。请通过专业培训激发他们的优势,推动其践行更高的软件安全标准。阅读白皮书了解更多详情。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
众所周知,蟑螂几乎能在任何环境中生存——甚至核爆也不例外。虽然该理论仅在一定程度上成立,但其简单的身体构造使其相较体型极为强韧,在多数环境下都难以彻底根除。
我一直在思考...如果说数字世界中存在与蟑螂相当的生物,那无疑就是代码中的SQL注入(SQLi)漏洞。这种漏洞已存在二十余年,但各类组织仍屡屡中招。其危害范围之广,既体现在针对目标的昂贵攻击案例中,也体现在SQL注入引发的选举黑客事件里——伊利诺伊州20万选民记录遭泄露后,联邦调查局紧急敦促所有IT管理员立即加强安全防护。
Imparva黑客情报计划报告显示,在2005至2011年间,83%的已报告数据泄露事件都使用了SQL注入攻击。时至今日,注入漏洞仍是全球最大的安全威胁之一,位列OWASP十大安全漏洞榜单。这类攻击手段虽然相对简单,却始终难以根除。
同样的漏洞至今仍在大量应用程序安全扫描中出现,这简直荒谬至极。我们明明了解其运作机制和防范方法,为何仍会发生?事实上,我们的软件安全体系存在着巨大的改进空间。
VeraCode软件安全状况报告——基于2017年40万次应用程序扫描的惊人统计数据显示:仅有30%的应用程序通过了OWASP十大安全政策测试。这一现象在过去五年中持续存在,近三分之一的新扫描应用程序存在SQL注入漏洞。这充分证明了问题的普遍性。我们并未从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常情况下,应用程序安全专家与开发人员的比例达到1:100仍显不足。
为什么在生命维持装置中采用软件安全技术?
众所周知,安全专家严重短缺,但开发人员即使发现问题也未予修复,更明显的是他们根本不具备防范漏洞的机制。Veracode的同一份报告显示,在所有开发漏洞中,仅有14.4%记录了缓解措施。这意味着绝大多数漏洞都是在缺乏开发缓解措施的情况下提交的。在最初90天内被修复的漏洞不足三分之一,而开发周期内未修复的漏洞占比高达42%。
我经常与安全专家、首席信息安全官和首席执行官交流,但有趣的是,我注意到许多企业(除了误报带来的灾难之外)对发现的无法缓解的漏洞数量感到不满,甚至完全停止了扫描,转而寄希望于最好的结果。
为什么应用程序安全专业人员会导致这种情况发生呢?
毫无疑问,应用安全团队成员深切体会到代码中的问题。毕竟,这正是他们核心技能之一,也是他们成为团队宝贵资源的关键所在。然而,他们的工作常常受到若干因素的阻碍。
例如,应用安全经理发现问题后,会询问开发人员:"能否修复代码?"。虽然不同组织对这个关键问题的回答各异,但通常开发人员因忙于应对严格的功能交付冲刺周期,既没有解决问题的时间,也没有合适的辅助工具。应用安全专家自身或许能识别漏洞,但往往缺乏即时修复所需的技能或访问权限。
此外,还需认识到所有问题都存在一个寻找解决方案、实施并测试的过程。即使代码中发现的只是微小问题,其修复所需的时间也难以估量,更不用说所需的资源了。软件存在超过700种漏洞,但仅凭一人之力根本无法防御所有漏洞。正因如此,多数企业始终固守OWASP十大漏洞防护准则。与此同时,开发者仍在持续构建功能,最终将漏洞不断引入自己编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发者提供实现安全编码所需的工具和培训。组织中不存在强制开发者掌握充分安全技能的法规。更令人遗憾的是,绝大多数大学和实习项目都未能为初级开发者做好安全编码的准备工作。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
我们需要投入时间对开发人员进行安全编程教育。但在当今这个软件开发节奏快、优秀开发人员和安全专家短缺的世界里,这似乎永远不会成为优先事项。现在正是改变这种状况的时候了。
世界经济论坛近期标题呼吁:"没有安全保障,数字经济便无从谈起",并在相关报道中强调安全必须成为所有数字化转型战略的核心。"安全不仅是企业的保护伞,更能推动企业创新、构建新产品与服务。安全不仅具有防御功能,更能为企业战略性增长创造竞争优势。"
通过提升安全编码技能与成果,组织将获得强大的网络防护能力,从而能够编写更优质、更高效的代码。开发者无需成为安全专家,但但要成为抵御网络攻击的前线力量,必须具备主动实践的权限。开发者完全可以成为安全与创新领域的下一个英雄——他们才智过人,是富有创造力的问题解决者,且普遍热衷于技能提升。请通过专业培训激发他们的优势,推动其践行更高的软件安全标准。阅读白皮书了解更多详情。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
众所周知,蟑螂几乎能在任何环境中生存——甚至核爆也不例外。虽然该理论仅在一定程度上成立,但其简单的身体构造使其相较体型极为强韧,在多数环境下都难以彻底根除。
我一直在思考...如果说数字世界中存在与蟑螂相当的生物,那无疑就是代码中的SQL注入(SQLi)漏洞。这种漏洞已存在二十余年,但各类组织仍屡屡中招。其危害范围之广,既体现在针对目标的昂贵攻击案例中,也体现在SQL注入引发的选举黑客事件里——伊利诺伊州20万选民记录遭泄露后,联邦调查局紧急敦促所有IT管理员立即加强安全防护。
Imparva黑客情报计划报告显示,在2005至2011年间,83%的已报告数据泄露事件都使用了SQL注入攻击。时至今日,注入漏洞仍是全球最大的安全威胁之一,位列OWASP十大安全漏洞榜单。这类攻击手段虽然相对简单,却始终难以根除。
同样的漏洞至今仍在大量应用程序安全扫描中出现,这简直荒谬至极。我们明明了解其运作机制和防范方法,为何仍会发生?事实上,我们的软件安全体系存在着巨大的改进空间。
VeraCode软件安全状况报告——基于2017年40万次应用程序扫描的惊人统计数据显示:仅有30%的应用程序通过了OWASP十大安全政策测试。这一现象在过去五年中持续存在,近三分之一的新扫描应用程序存在SQL注入漏洞。这充分证明了问题的普遍性。我们并未从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常情况下,应用程序安全专家与开发人员的比例达到1:100仍显不足。
为什么在生命维持装置中采用软件安全技术?
众所周知,安全专家严重短缺,但开发人员即使发现问题也未予修复,更明显的是他们根本不具备防范漏洞的机制。Veracode的同一份报告显示,在所有开发漏洞中,仅有14.4%记录了缓解措施。这意味着绝大多数漏洞都是在缺乏开发缓解措施的情况下提交的。在最初90天内被修复的漏洞不足三分之一,而开发周期内未修复的漏洞占比高达42%。
我经常与安全专家、首席信息安全官和首席执行官交流,但有趣的是,我注意到许多企业(除了误报带来的灾难之外)对发现的无法缓解的漏洞数量感到不满,甚至完全停止了扫描,转而寄希望于最好的结果。
为什么应用程序安全专业人员会导致这种情况发生呢?
毫无疑问,应用安全团队成员深切体会到代码中的问题。毕竟,这正是他们核心技能之一,也是他们成为团队宝贵资源的关键所在。然而,他们的工作常常受到若干因素的阻碍。
例如,应用安全经理发现问题后,会询问开发人员:"能否修复代码?"。虽然不同组织对这个关键问题的回答各异,但通常开发人员因忙于应对严格的功能交付冲刺周期,既没有解决问题的时间,也没有合适的辅助工具。应用安全专家自身或许能识别漏洞,但往往缺乏即时修复所需的技能或访问权限。
此外,还需认识到所有问题都存在一个寻找解决方案、实施并测试的过程。即使代码中发现的只是微小问题,其修复所需的时间也难以估量,更不用说所需的资源了。软件存在超过700种漏洞,但仅凭一人之力根本无法防御所有漏洞。正因如此,多数企业始终固守OWASP十大漏洞防护准则。与此同时,开发者仍在持续构建功能,最终将漏洞不断引入自己编写的代码中。
解决方案是什么?
简单的事实是,我们并未为开发者提供实现安全编码所需的工具和培训。组织中不存在强制开发者掌握充分安全技能的法规。更令人遗憾的是,绝大多数大学和实习项目都未能为初级开发者做好安全编码的准备工作。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
我们需要投入时间对开发人员进行安全编程教育。但在当今这个软件开发节奏快、优秀开发人员和安全专家短缺的世界里,这似乎永远不会成为优先事项。现在正是改变这种状况的时候了。
世界经济论坛近期标题呼吁:"没有安全保障,数字经济便无从谈起",并在相关报道中强调安全必须成为所有数字化转型战略的核心。"安全不仅是企业的保护伞,更能推动企业创新、构建新产品与服务。安全不仅具有防御功能,更能为企业战略性增长创造竞争优势。"
通过提升安全编码技能与成果,组织将获得强大的网络防护能力,从而能够编写更优质、更高效的代码。开发者无需成为安全专家,但但要成为抵御网络攻击的前线力量,必须具备主动实践的权限。开发者完全可以成为安全与创新领域的下一个英雄——他们才智过人,是富有创造力的问题解决者,且普遍热衷于技能提升。请通过专业培训激发他们的优势,推动其践行更高的软件安全标准。阅读白皮书了解更多详情。
当有人想驾驶飞机时,必须经历极为严格的流程:飞行前需确保完成培训、积累实践经验、通过体检、掌握安全知识并通过考试。没有人会想象在缺乏如此周密的准备和技能验证的情况下,竟会被放任到天空中。然而在编写代码时,这种情况却屡见不鲜。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
