为何不该惩罚充满好奇心的安全负责人,而应给予支持
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
10岁的安全研究员比尔·德米尔卡皮揭露了学校使用的软件存在重大漏洞,这让他回忆起童年时光。记得自己还是个充满好奇心的孩子时,就喜欢掀开软件的引擎盖,窥探其内部构造,探究它如何运作……然后想看看自己能否将其破坏。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
有助于开始的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
