SQL注入为何是应用安全领域的蟑螂(以及CISO如何一劳永逸地根除它)
有一种广为人知的理论认为蟑螂能够在包括核爆炸在内的所有灾难中幸存。该理论虽有一定事实依据,但由于其身体构造简单,使得它们相对于体型而言异常强韧,在多数环境条件下都难以彻底根除。
我仔细想了想...如果说数字世界里存在相当于蟑螂的问题,那大概就是代码中的SQL注入(SQLi)漏洞了。这种漏洞已存在二十多年,但组织机构仍在持续遭受其危害。正如那些广泛存在且代价高昂的定向攻击实例一样,SQL注入攻击的后果同样令人痛心。 在伊利诺伊州发生选举黑客事件导致20万选民记录泄露后,联邦调查局敦促所有IT管理员立即加强安全措施。
Imperva黑客情报计划报告显示,在2005年至2011年间报告的所有数据泄露事件中,83%都使用了SQL注入攻击。时至今日,注入漏洞仍是美国面临的最大威胁之一,位列OWASP十大安全漏洞榜单。虽然攻击方式相对简单,但其危害性不容小觑。
令人哭笑不得的是,如此相同的漏洞至今仍在大量应用程序安全检测中频频出现。我们完全清楚该漏洞的运作机制,也深知如何防范。这究竟是怎么一回事?事实上,我们的软件安全领域仍存在着无限的改进空间。
VeraCode软件安全现状报告——基于2017年40万次应用程序扫描数据——揭示了惊人统计:仅30%的应用程序通过了OWASP十大安全缺陷评估。过去五年间,新扫描应用程序中近三分之一存在SQL注入漏洞,这一主题始终如一,印证了问题的顽固性。 我们未能从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常应用安全专家与开发人员的比例为1:100,这种配置显然不合理。
软件安全为何被纳入生命维持范畴?
专业安全人才短缺已不是秘密。但更值得关注的是,开发人员在问题出现时往往不愿解决,且从一开始就未做好防范漏洞的准备。同一份Veracode报告显示,仅有14.4%的开发漏洞具备记录在案的缓解措施。这意味着绝大多数漏洞在提交时未附带任何开发层面的缓解方案。在最初90天内解决的漏洞不足三分之一,42%的漏洞在开发周期内始终未获修复。
笔者经常与安全专家、首席信息安全官和首席执行官们交流,发现许多企业(除了误报这一灾难之外)对无法缓解的漏洞数量感到极其不满,甚至完全停止搜索,只是坐等最佳结果出现。
应用安全专家们为何会允许这种情况发生呢?
请不要犯错。AppSec员工对代码问题有着深刻的认识。毕竟,这正是使他们成为宝贵团队资源的核心技能之一。但他们常常因多种因素而陷入困境。
例如,应用安全管理员发现问题后会询问开发人员:“能否修改代码?”虽然不同组织对此关键问题的回答各异,但通常开发人员因专注于严格遵守功能交付冲刺周期,既没有时间解决这些问题,也没有合适的工具提供帮助。应用安全专家虽能亲自识别漏洞,却往往缺乏立即修复的技术能力及/或访问权限。
此外,必须认识到所有问题都存在一个必须经历的流程:寻找解决方案、实现方案并进行测试。即便是在代码中发现的细微问题,其修复所需的时间也极其漫长,更不用说所需的资源了。软件中可能存在的漏洞超过700种,一个人根本无法全部防御。正因如此,大多数公司仅坚持遵循OWASP十大漏洞。与此同时,开发人员仍在持续开发功能, 结果不断在自己编写的代码中引入新漏洞。
解决方案是什么呢?
简而言之,我们并未为开发者提供促进安全编码成功的工具和培训。组织中也没有强制要求开发者掌握相应安全技能的规范。更令人遗憾的是,大多数高校和实习项目也未能为初级开发者做好安全编码的准备。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
必须投入时间对开发人员进行安全编码培训。但在当今这个软件开发节奏飞快、优秀开发人员和安全专家匮乏的世界里,这似乎永远不是优先事项。现在是时候改变这种对话了。
世界经济论坛近期在头条新闻中强调:"没有安全保障,数字经济便无从存在",并指出安全已成为所有数字创新战略的核心组成部分。"安全机制不仅能保护企业免受威胁,更赋予企业创新能力,助力其开发新型产品与服务。安全价值已超越防御范畴,为企业创造战略性增长优势。"
提升安全编码技术与成效,将为组织增添强大的网络防护层,助力开发更快速、更优质的代码。开发者无需成为安全专家,但若要成为抵御网络攻击的第一道防线,就必须获得积极且切实的授权。开发者完全可以成为新一代安全与创新的英雄。他们才智过人,善于创造性地解决问题, 通常热衷于精进自身技术。通过应得的专业培训,他们能充分发挥优势并遵循更高的软件安全标准。阅读白皮书了解更多详情。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种广为人知的理论认为蟑螂能够在包括核爆炸在内的所有灾难中幸存。该理论虽有一定事实依据,但由于其身体构造简单,使得它们相对于体型而言异常强韧,在多数环境条件下都难以彻底根除。
我仔细想了想...如果说数字世界里存在相当于蟑螂的问题,那大概就是代码中的SQL注入(SQLi)漏洞了。这种漏洞已存在二十多年,但组织机构仍在持续遭受其危害。正如那些广泛存在且代价高昂的定向攻击实例一样,SQL注入攻击的后果同样令人痛心。 在伊利诺伊州发生选举黑客事件导致20万选民记录泄露后,联邦调查局敦促所有IT管理员立即加强安全措施。
Imperva黑客情报计划报告显示,在2005年至2011年间报告的所有数据泄露事件中,83%都使用了SQL注入攻击。时至今日,注入漏洞仍是美国面临的最大威胁之一,位列OWASP十大安全漏洞榜单。虽然攻击方式相对简单,但其危害性不容小觑。
令人哭笑不得的是,如此相同的漏洞至今仍在大量应用程序安全检测中频频出现。我们完全清楚该漏洞的运作机制,也深知如何防范。这究竟是怎么一回事?事实上,我们的软件安全领域仍存在着无限的改进空间。
VeraCode软件安全现状报告——基于2017年40万次应用程序扫描数据——揭示了惊人统计:仅30%的应用程序通过了OWASP十大安全缺陷评估。过去五年间,新扫描应用程序中近三分之一存在SQL注入漏洞,这一主题始终如一,印证了问题的顽固性。 我们未能从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常应用安全专家与开发人员的比例为1:100,这种配置显然不合理。
软件安全为何被纳入生命维持范畴?
专业安全人才短缺已不是秘密。但更值得关注的是,开发人员在问题出现时往往不愿解决,且从一开始就未做好防范漏洞的准备。同一份Veracode报告显示,仅有14.4%的开发漏洞具备记录在案的缓解措施。这意味着绝大多数漏洞在提交时未附带任何开发层面的缓解方案。在最初90天内解决的漏洞不足三分之一,42%的漏洞在开发周期内始终未获修复。
笔者经常与安全专家、首席信息安全官和首席执行官们交流,发现许多企业(除了误报这一灾难之外)对无法缓解的漏洞数量感到极其不满,甚至完全停止搜索,只是坐等最佳结果出现。
应用安全专家们为何会允许这种情况发生呢?
请不要犯错。AppSec员工对代码问题有着深刻的认识。毕竟,这正是使他们成为宝贵团队资源的核心技能之一。但他们常常因多种因素而陷入困境。
例如,应用安全管理员发现问题后会询问开发人员:“能否修改代码?”虽然不同组织对此关键问题的回答各异,但通常开发人员因专注于严格遵守功能交付冲刺周期,既没有时间解决这些问题,也没有合适的工具提供帮助。应用安全专家虽能亲自识别漏洞,却往往缺乏立即修复的技术能力及/或访问权限。
此外,必须认识到所有问题都存在一个必须经历的流程:寻找解决方案、实现方案并进行测试。即便是在代码中发现的细微问题,其修复所需的时间也极其漫长,更不用说所需的资源了。软件中可能存在的漏洞超过700种,一个人根本无法全部防御。正因如此,大多数公司仅坚持遵循OWASP十大漏洞。与此同时,开发人员仍在持续开发功能, 结果不断在自己编写的代码中引入新漏洞。
解决方案是什么呢?
简而言之,我们并未为开发者提供促进安全编码成功的工具和培训。组织中也没有强制要求开发者掌握相应安全技能的规范。更令人遗憾的是,大多数高校和实习项目也未能为初级开发者做好安全编码的准备。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
必须投入时间对开发人员进行安全编码培训。但在当今这个软件开发节奏飞快、优秀开发人员和安全专家匮乏的世界里,这似乎永远不是优先事项。现在是时候改变这种对话了。
世界经济论坛近期在头条新闻中强调:"没有安全保障,数字经济便无从存在",并指出安全已成为所有数字创新战略的核心组成部分。"安全机制不仅能保护企业免受威胁,更赋予企业创新能力,助力其开发新型产品与服务。安全价值已超越防御范畴,为企业创造战略性增长优势。"
提升安全编码技术与成效,将为组织增添强大的网络防护层,助力开发更快速、更优质的代码。开发者无需成为安全专家,但若要成为抵御网络攻击的第一道防线,就必须获得积极且切实的授权。开发者完全可以成为新一代安全与创新的英雄。他们才智过人,善于创造性地解决问题, 通常热衷于精进自身技术。通过应得的专业培训,他们能充分发挥优势并遵循更高的软件安全标准。阅读白皮书了解更多详情。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
有一种广为人知的理论认为蟑螂能够在包括核爆炸在内的所有灾难中幸存。该理论虽有一定事实依据,但由于其身体构造简单,使得它们相对于体型而言异常强韧,在多数环境条件下都难以彻底根除。
我仔细想了想...如果说数字世界里存在相当于蟑螂的问题,那大概就是代码中的SQL注入(SQLi)漏洞了。这种漏洞已存在二十多年,但组织机构仍在持续遭受其危害。正如那些广泛存在且代价高昂的定向攻击实例一样,SQL注入攻击的后果同样令人痛心。 在伊利诺伊州发生选举黑客事件导致20万选民记录泄露后,联邦调查局敦促所有IT管理员立即加强安全措施。
Imperva黑客情报计划报告显示,在2005年至2011年间报告的所有数据泄露事件中,83%都使用了SQL注入攻击。时至今日,注入漏洞仍是美国面临的最大威胁之一,位列OWASP十大安全漏洞榜单。虽然攻击方式相对简单,但其危害性不容小觑。
令人哭笑不得的是,如此相同的漏洞至今仍在大量应用程序安全检测中频频出现。我们完全清楚该漏洞的运作机制,也深知如何防范。这究竟是怎么一回事?事实上,我们的软件安全领域仍存在着无限的改进空间。
VeraCode软件安全现状报告——基于2017年40万次应用程序扫描数据——揭示了惊人统计:仅30%的应用程序通过了OWASP十大安全缺陷评估。过去五年间,新扫描应用程序中近三分之一存在SQL注入漏洞,这一主题始终如一,印证了问题的顽固性。 我们未能从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常应用安全专家与开发人员的比例为1:100,这种配置显然不合理。
软件安全为何被纳入生命维持范畴?
专业安全人才短缺已不是秘密。但更值得关注的是,开发人员在问题出现时往往不愿解决,且从一开始就未做好防范漏洞的准备。同一份Veracode报告显示,仅有14.4%的开发漏洞具备记录在案的缓解措施。这意味着绝大多数漏洞在提交时未附带任何开发层面的缓解方案。在最初90天内解决的漏洞不足三分之一,42%的漏洞在开发周期内始终未获修复。
笔者经常与安全专家、首席信息安全官和首席执行官们交流,发现许多企业(除了误报这一灾难之外)对无法缓解的漏洞数量感到极其不满,甚至完全停止搜索,只是坐等最佳结果出现。
应用安全专家们为何会允许这种情况发生呢?
请不要犯错。AppSec员工对代码问题有着深刻的认识。毕竟,这正是使他们成为宝贵团队资源的核心技能之一。但他们常常因多种因素而陷入困境。
例如,应用安全管理员发现问题后会询问开发人员:“能否修改代码?”虽然不同组织对此关键问题的回答各异,但通常开发人员因专注于严格遵守功能交付冲刺周期,既没有时间解决这些问题,也没有合适的工具提供帮助。应用安全专家虽能亲自识别漏洞,却往往缺乏立即修复的技术能力及/或访问权限。
此外,必须认识到所有问题都存在一个必须经历的流程:寻找解决方案、实现方案并进行测试。即便是在代码中发现的细微问题,其修复所需的时间也极其漫长,更不用说所需的资源了。软件中可能存在的漏洞超过700种,一个人根本无法全部防御。正因如此,大多数公司仅坚持遵循OWASP十大漏洞。与此同时,开发人员仍在持续开发功能, 结果不断在自己编写的代码中引入新漏洞。
解决方案是什么呢?
简而言之,我们并未为开发者提供促进安全编码成功的工具和培训。组织中也没有强制要求开发者掌握相应安全技能的规范。更令人遗憾的是,大多数高校和实习项目也未能为初级开发者做好安全编码的准备。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
必须投入时间对开发人员进行安全编码培训。但在当今这个软件开发节奏飞快、优秀开发人员和安全专家匮乏的世界里,这似乎永远不是优先事项。现在是时候改变这种对话了。
世界经济论坛近期在头条新闻中强调:"没有安全保障,数字经济便无从存在",并指出安全已成为所有数字创新战略的核心组成部分。"安全机制不仅能保护企业免受威胁,更赋予企业创新能力,助力其开发新型产品与服务。安全价值已超越防御范畴,为企业创造战略性增长优势。"
提升安全编码技术与成效,将为组织增添强大的网络防护层,助力开发更快速、更优质的代码。开发者无需成为安全专家,但若要成为抵御网络攻击的第一道防线,就必须获得积极且切实的授权。开发者完全可以成为新一代安全与创新的英雄。他们才智过人,善于创造性地解决问题, 通常热衷于精进自身技术。通过应得的专业培训,他们能充分发挥优势并遵循更高的软件安全标准。阅读白皮书了解更多详情。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种广为人知的理论认为蟑螂能够在包括核爆炸在内的所有灾难中幸存。该理论虽有一定事实依据,但由于其身体构造简单,使得它们相对于体型而言异常强韧,在多数环境条件下都难以彻底根除。
我仔细想了想...如果说数字世界里存在相当于蟑螂的问题,那大概就是代码中的SQL注入(SQLi)漏洞了。这种漏洞已存在二十多年,但组织机构仍在持续遭受其危害。正如那些广泛存在且代价高昂的定向攻击实例一样,SQL注入攻击的后果同样令人痛心。 在伊利诺伊州发生选举黑客事件导致20万选民记录泄露后,联邦调查局敦促所有IT管理员立即加强安全措施。
Imperva黑客情报计划报告显示,在2005年至2011年间报告的所有数据泄露事件中,83%都使用了SQL注入攻击。时至今日,注入漏洞仍是美国面临的最大威胁之一,位列OWASP十大安全漏洞榜单。虽然攻击方式相对简单,但其危害性不容小觑。
令人哭笑不得的是,如此相同的漏洞至今仍在大量应用程序安全检测中频频出现。我们完全清楚该漏洞的运作机制,也深知如何防范。这究竟是怎么一回事?事实上,我们的软件安全领域仍存在着无限的改进空间。
VeraCode软件安全现状报告——基于2017年40万次应用程序扫描数据——揭示了惊人统计:仅30%的应用程序通过了OWASP十大安全缺陷评估。过去五年间,新扫描应用程序中近三分之一存在SQL注入漏洞,这一主题始终如一,印证了问题的顽固性。 我们未能从过往错误中汲取教训,首席信息安全官(CISO)在获取足够安全人才方面似乎正面临艰苦的斗争。通常应用安全专家与开发人员的比例为1:100,这种配置显然不合理。
软件安全为何被纳入生命维持范畴?
专业安全人才短缺已不是秘密。但更值得关注的是,开发人员在问题出现时往往不愿解决,且从一开始就未做好防范漏洞的准备。同一份Veracode报告显示,仅有14.4%的开发漏洞具备记录在案的缓解措施。这意味着绝大多数漏洞在提交时未附带任何开发层面的缓解方案。在最初90天内解决的漏洞不足三分之一,42%的漏洞在开发周期内始终未获修复。
笔者经常与安全专家、首席信息安全官和首席执行官们交流,发现许多企业(除了误报这一灾难之外)对无法缓解的漏洞数量感到极其不满,甚至完全停止搜索,只是坐等最佳结果出现。
应用安全专家们为何会允许这种情况发生呢?
请不要犯错。AppSec员工对代码问题有着深刻的认识。毕竟,这正是使他们成为宝贵团队资源的核心技能之一。但他们常常因多种因素而陷入困境。
例如,应用安全管理员发现问题后会询问开发人员:“能否修改代码?”虽然不同组织对此关键问题的回答各异,但通常开发人员因专注于严格遵守功能交付冲刺周期,既没有时间解决这些问题,也没有合适的工具提供帮助。应用安全专家虽能亲自识别漏洞,却往往缺乏立即修复的技术能力及/或访问权限。
此外,必须认识到所有问题都存在一个必须经历的流程:寻找解决方案、实现方案并进行测试。即便是在代码中发现的细微问题,其修复所需的时间也极其漫长,更不用说所需的资源了。软件中可能存在的漏洞超过700种,一个人根本无法全部防御。正因如此,大多数公司仅坚持遵循OWASP十大漏洞。与此同时,开发人员仍在持续开发功能, 结果不断在自己编写的代码中引入新漏洞。
解决方案是什么呢?
简而言之,我们并未为开发者提供促进安全编码成功的工具和培训。组织中也没有强制要求开发者掌握相应安全技能的规范。更令人遗憾的是,大多数高校和实习项目也未能为初级开发者做好安全编码的准备。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
必须投入时间对开发人员进行安全编码培训。但在当今这个软件开发节奏飞快、优秀开发人员和安全专家匮乏的世界里,这似乎永远不是优先事项。现在是时候改变这种对话了。
世界经济论坛近期在头条新闻中强调:"没有安全保障,数字经济便无从存在",并指出安全已成为所有数字创新战略的核心组成部分。"安全机制不仅能保护企业免受威胁,更赋予企业创新能力,助力其开发新型产品与服务。安全价值已超越防御范畴,为企业创造战略性增长优势。"
提升安全编码技术与成效,将为组织增添强大的网络防护层,助力开发更快速、更优质的代码。开发者无需成为安全专家,但若要成为抵御网络攻击的第一道防线,就必须获得积极且切实的授权。开发者完全可以成为新一代安全与创新的英雄。他们才智过人,善于创造性地解决问题, 通常热衷于精进自身技术。通过应得的专业培训,他们能充分发挥优势并遵循更高的软件安全标准。阅读白皮书了解更多详情。
准备登机的乘客必须经过极为严格的程序,包括飞行前的训练、实际操作经验、健康检查、安全知识培训及安全检查。没有人敢想象,若没有如此全面的准备和技术验证,竟能被放任在天空中自由翱翔——但在编写代码时,这样的事情却每天都在发生。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示下载有助于开始的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
