皮特-丹休

澳大利亚政府如何建立国家网络安全抵御能力并挺身而出抵御威胁

从澳大利亚政府认真对待网络安全的努力中可以明显看出，网络安全已被确定为国家层面的关键风险领域，但是他们的战略是否足够深远？

向左移动是不够的：为什么左移是实现卓越软件安全的关键

围绕 “向左移动” 的许多举措，即在开发过程的早期引入安全性，根本无法起到足够的作用。

认证安全意识：一项旨在提升开发人员能力的行政命令

美国联邦政府的最新行政命令涉及功能性网络安全的许多方面，但首次特别概述了开发者的影响，以及他们需要经过验证的安全技能和意识。

新的 NIST 指南：为什么定制培训对于创建安全软件至关重要

美国国家标准与技术研究所（NIST）发布了更新的白皮书，详细介绍了减少软件漏洞和网络风险的几项行动计划。

快速增长：5 岁生日快乐，安全代码勇士

我本可以从所有事实和数据开始写这篇文章，说明一家蓬勃发展、高速增长的初创公司；不可否认，它们给人留下了深刻的印象，而且我们持续的公司发展轨迹也很强劲。但是，对我来说，这些数字并不能反映我在2019年最引以为豪的事情。

Secure Code Warrior 工作了七年，开始感觉真实

我们的生日里程碑很好地提醒我们反思我们的劳动成果，庆祝团队，充满信心地迎接新的一年。现在，自成立七年以来，我想知道：我们做到了吗？这是一家真正的公司吗？当然，我们已经成熟了，但我当然希望我们永远不会失去从一开始就存在的好奇心、激情和极客意识。

激励开发人员是改善安全实践的关键

专业开发人员希望拥抱DevSecOps并编写安全代码，但是他们的组织要想发展这种努力，就需要支持这种seachange。

Secure Code Warrior 第 8 周岁：全部登上火箭飞船

本周，我们正式庆祝安全代码勇士问世八周年。一方面，这是阿波罗11号任务时长的350倍，相当于45,000场足球比赛，或者玩超级马里奥奥德赛到最后5696次。另一方面，它只是巨型乌龟寿命的三分之一（如果你想知道的话，是250年）。在一个高增长的初创公司的世界中，它代表着一段充满曲折、教训和成就的旅程，其中许多在我们第一次签署商业计划时是不可想象的。

API on Wheels：一次充满风险的漏洞之旅

将API安全性置于偶然的机会是日后引入问题的必经之路，最坏的情况是可能会带来毁灭性的后果，充其量只能说是令人沮丧的返工和低性能。

COVID-19 接触者追踪：安全编码情况如何？

接触者追踪应用程序背后的想法是合理的。这项技术如果运行良好，将确保迅速发现热点并进行全面测试，这两者都是对抗传染性病毒传播的重要组成部分。

驱动 Web 应用程序安全漏洞的被遗忘的人为因素

如果没有人教过开发人员为什么安全代码很重要，不安全代码的后果，最重要的是，如何防止在各自的编程框架中写入这些漏洞，那么开发人员应该如何编写安全代码？

复制/粘贴是一种危险的编码技术

这项工作的意义在于，我们为大量令人震惊的安全编码问题提供了经验证据，这些问题以前从未报告过

2019年最危险的软件错误：更多历史重演的证据

去年年底，MITRE的精彩社区发布了2019年CWE影响全球的25大最危险软件错误清单。而且大部分都不足为奇。

安全代码勇士-祝我们三岁生日快乐

我们的愿景是通过提高安全性，为开发人员提供从一开始就编写安全代码的技能和工具，使他们成为组织中的第一道防线。

为什么我们需要支持而非惩罚充满好奇心的安全人员

青少年安全研究员比尔·德米尔卡皮揭露了学校使用的软件中的主要漏洞，这无疑令人回想起往事。我记得自己还是个充满好奇的孩子时，曾掀开软件的盖子偷看内部构造，想了解它是如何运作的……以及我能否破解它。

一些首席信息安全官正在将安全技能短缺转化为机会

让开发人员从一开始就能够编写安全代码，这为首席信息安全官提供了从安全困境中抓住一些主动控制的机会，也有可能为安全和开发团队带来快速、简单和可衡量的改进。

向左移动

如果开发人员在使用 JavaScript 编码时写入了跨站脚本错误，并且他们能够在创建该漏洞后的几分钟内检测到该错误

2021 年网络预警安全预测：星际之战开启

我们预计，2021年是我们将一种全新类型的太空竞赛纳入主流的一年：保护我们的银河系免受网络欢迎。

网络犯罪分子正在攻击医疗保健（但我们可以反击）

医疗保健可能是下一个 “伟大” 的网络安全战场，犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。

DevSecOps：旧的安全漏洞仍在发挥新作用

在网络安全领域，我们通常就像猎人一样。我们的眼睛紧紧地注视着地平线，正在寻找下一个突破漏洞。但是，这种前瞻性的关注可能会产生令人惊讶的效果，削弱我们的整体安全意识。

2019 年 OWASP AppSec 日：培训育安全开发人员

这些开发以人为中心的活动是日历上我最喜欢的活动之一；它们是 “卑斯地提醒” 社区不是 “地下人” 和 “增强” 软件工程师和专家的能力，使他们能够在工作中保持安全。

我们需要在 AppSec 荒地中进行变革：我对2019年的预测

我们面临的真正战斗不是针对剧本小子或危险的有组织网络犯罪集团... 而是要让更多的人关心数据泄露的发生。

软件安全处于狂野西部（它会让我们被杀死）

软件安全一直是我的头等大事，我们日益数字化的个人信息共享生活方式所构成的真正危险也是如此。毕竟，我们处在一个基本上不受监管、无人监督、被忽视的领域。我们在狂野的西部。

您的安全计划是否侧重于事件响应？你做错了。

安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上，尤其是在没有发生重大而严重的安全事件的情况下。

网络安全培训和积极强化

修订后的PCI安全标准委员会指南：它们向左移动得足够远吗？

今年，PCI安全标准委员会发布了一套全新的软件安全指南，作为其PCI软件安全框架的一部分。此更新旨在使软件安全最佳实践与现代软件开发保持一致。

元宇宙中的恶意：在新领域对抗已知的网络威胁

当下的数字宠儿——元宇宙——的出现为代码级漏洞和社会工程增加了广阔的新攻击面。而且我们根本没有为在这个靠烟雾和镜子蓬勃发展的新竞争环境中战斗做好准备。

您的开发人员是第一道风险线还是防线？根据我们的安全编码清单为您的公司评分

随着首席信息官积极建立企业敏捷能力，安全编码技能将成为创新的武器，没有这些技能将是一种破坏工具。

华为英国安全问题表明需要安全编码

英国华为网络安全评估中心最近的一份报告确定了华为软件工程流程中的主要安全问题。但这是一个可以解决的问题。

保护 API：不可能完成的任务？

API 安全性很严峻，但只要有足够的培训、规划和对最佳实践的关注，即使是最阴险的漏洞也可以得到缓解。

静态 vs.动态网络安全培训：冲动合规，未来问题

尽管监管举措无疑将随着时间的推移而得到改善和发展，但如果各组织现在已经按下了紧急按钮并开始接受培训，他们可能会发现自己没有为未来做好准备。

为什么 DevOps 实施经常不成功（以及如何修复它）

很少有公司能真正成功实施DevOps。然而，在整个企业中提供正确的支持、培育和理解可以改变您的流程。

GitHub 用户因纯文本痛苦而被勒索赎金

最近对GitHub存储库的攻击凸显了安全行业中一个众所周知的问题：大多数开发人员根本不够安全意识，宝贵的数据随时可能面临风险。

DevSecOps 的更光明未来？它比你想象的要近

有许多解决方案可以发现代码中的漏洞，但是安全性需要更加重视教导开发人员遵循安全准则，以防止他们从一开始就犯这些错误。

揭开政府供应链管道中网络漏洞的面纱

很明显，网络安全很重要，但它在供应链背景下到底意味着什么？

DACH 中的 DevSecOps：安全编码试点计划的主要发现

随着GDPR的出台，以及在多阶段攻击暴露了许多公众人物以及德国联邦政府服务器的敏感数据之后的战略的修订，很明显，网络安全意识和行动是DACH地区领导人的头等大事。

更多漏洞，更多问题：第三方应用程序的信任成本

我们必须停止将安全视为公司创新道路上的刺激性障碍。

需要一个村庄：社区精神如何创造更安全的开发者

有来自各行各业的各种类型的开发人员，而且我们所做的每件事都具有社区意识。

开发人员如何定义 “安全编码”？

对什么构成安全编码行为的看法尚有待商榷。根据与Evans Data合作的最新研究，这种情绪以黑白形式展现出来。2022年开发者驱动的安全状况调查深入研究了1200名活跃开发者的关键见解和经验，阐明了他们在安全领域的态度和挑战。

安全领域的女性：聚焦法蒂玛·贝德翁

我们的客户成功副总裁法蒂玛·贝德恩最近向热情的听众发表了题为《引领未来：如何在培养女性网络安全人才方面做得更好》的演讲。她始终是推动网络安全行业积极变革不可或缺的力量。

深度安全培训正在引起教育界的质疑

虽然安全编码需要成为高等教育阶段软件工程的一个强制性组成部分，但一些大学正在带头提供一流的培训，并从一开始就把安全作为开发过程的一部分来优先考虑。

富创造力的首席信息安全官员和首席信息官员如何创新和转变其安全计划

富有创造力、鼓舞人心的首席信息安全官员和首席信息官员能量创新，塑造我们的数字世界，但他们也可以改变变量组织的安全文明方面发作重要作用。

全球大补丁：VxWorks 漏洞将危及数百万台设备

尽管对于普通消费者来说，VxWorks 并不是家喻户晓的名字，但这款软件产品每天都会使许多人受益，就像你我一样。现在，我们面临着数亿台基于VxWorks的设备遭到入侵的可能性。

为什么游戏化是提升软件安全性的关键

我们必须努力改变对话方式，使安全成为每位开发人员工作中不可或缺的一部分。我认为实现这一目标的最佳途径之一，是通过游戏化等方式赋予开发人员安全方面的自主权，并与他们建立互动。

安全代码勇士六年：我们长大了吗？

这是一年中的那个特殊时刻（无论如何，对我们来说），我回顾了我们最近一次绕太阳的圈子，以及在过去的365天里为迎接充满成长、经验教训和不可避免的不可预测性的新的一年所做的工作。

安全代码勇士和漏洞人群：安全极客天堂的天作之合

这是官方消息：我们正在与Bugcrowd联手对开发人员进行安全编码方面的教育、赋权和启发。

开发者锦标赛：AppSec 改善安全文化和参与度的秘密武器

你不认为是时候改头换面了吗？这就像改变对话然后让一切变得更积极一点一样简单（更不用说有趣了！）对于双方，尤其是开发团队。

从这个读心者那里吸取教训，让安全再次变得有趣！

无论你是对高管进行网络安全培训，还是帮助开发人员掌握 JAVA 或 C# 安全编程技能，都有创造力、游戏化和乐趣的地方。

国际工程界女性日：认识我们的明星

6月23日是极客日历中的一个特别条目，旨在纪念国际工程界女性日。这是我们阐明女性对软件开发的贡献的机会。

同情、感恩和保持谦虚：我们文化的基础

软件安全行业并不完全以其温暖而模糊的感受、异想天开的观察和生活评论而闻名，但是，也许随着年龄的增长，我发现自己正在反思我们所有人可能对世界产生的影响。

一款改善招聘流程的电子游戏

要了解网络安全最佳实践，请查看金融行业

随着网络攻击的增加——影响各个垂直领域的各类组织——代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小，而是像肿瘤一样生长。

网络安全的未来：未来一年不会发生的事情

在我们的行业中，许多安全专家已经开始预测今年的热点问题，但是由于2019年有超过50亿条敏感数据记录被盗，我们认为预测在可预见的将来网络安全不会发生的事情会更加准确。

如何推出有效的开发人员安全培训：5 个重要课程

关于如何推出有效的开发人员安全培训的 5 条重要课程

重新思考组织层次结构中的组织层次结构

通过帮助在严密的层次结构中定义我们的应用程序和软件，并以最低权限执行这些政策，我们可以确认我们的应用程序和软件在面前保护我们的应用程序和软件，也能生存和发展。

我们是否足够成熟，可以实施开源软件安全动员计划？

开源软件安全动员计划代表了开发人员驱动的安全性迈出的积极一步。但是，我们都必须进行盘点并诚实地评估我们的组织是否足够成熟，以及我们的开发团队是否具有适当水平的安全意识和技能，以实施最新、最出色的防御策略。

最佳早午餐：我们的 AppSec 领导者分享他们的智慧

针对诸如如何充分利用组织的 AppSec 预算等热点问题，以及听众提出的几个棘手问题，AppSec小组提供了一些真正的早间魔法，将帮助安全专家在其组织内制定可行的计划。

4 岁生日快乐 Secure Code Warrior，你这个厚脸皮的小孩

我女儿和公司年纪越大，我就越意识到创业之旅和 “初次做母亲” 的旅程之间有很多相似之处。我现在都已经是第四年了。pi

每个开发者都应该问他们的潜在雇主这个价值百万美元的问题

每个开发者都需要问一个问题，无论你是毕业生还是资深人士。答案很重要。

网络安全行业分析：我们必须纠正的另一个反复出现的漏洞

我们没有得到切合实际的建议，也没有最快的解决方案来对抗现代网络安全这一不间断的攻击。当然，每种漏洞都有自己的不同，并且有许多攻击手段可以在易受攻击的软件中利用。可行的通用建议将受到限制，但最佳实践方法似乎每时每刻都存在更多缺陷。

COBOL 应用程序开发安全 | 安全代码勇士

传统的 COBOL 虽然是一种较旧的计算机语言，但至今仍然有效。从 Secure Code Warrior 了解有关 COBOL 安全应用程序开发的更多信息。

泄露的API有可能使公司的声誉化为乌有

API 安全性是大多数安全专家心目中不远的问题，也是我们需要掌握应对的知识。

PCI-DSS 4.0 将比您想象的更快问世，这是提升组织网络弹性的机会

今年早些时候，PCI安全标准委员会公布了其支付卡行业数据安全标准（PCI DSS）的4.0版本。尽管组织要到2025年3月才能完全遵守4.0，但此次更新是他们迄今为止最具变革性的更新，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈的元素。除此之外，还为开发人员实施了基于角色的安全意识培训和定期的安全编码教育。

Secure Code Warriorcienceux 首席执行官员 ceircienceux 联合创始人彼得斯·丹希厄表示：“每一个人都应该在他们的网络安全中开启并接受网络安全中所在的扮演角色”

CyberNews 与 Secure Code Warrior 首席执行官兼联合创始人彼得斯·丹希克斯进行问答。

主动防护：利用国家网络安全战略进行高级威胁防御

CISA的国家网络安全战略是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。

LLMs：一种（im）完全人性化的安全编码方法？

尽管LLM式的人工智能技术似乎不可避免地会改变我们处理许多方面的工作方式，而不仅仅是软件开发，但我们必须退后一步，考虑头条新闻之外的风险。作为编程伙伴，它的缺陷可能是它最为 “人性化” 的属性。

提高安全编码的标准：将敏捷学习融入面向未来的企业

我们宣布结束C轮融资，为下一阶段的使命筹集了5000万美元：帮助更多开创性组织利用其开发团队的力量来遏制常见漏洞。

：一个激动人心的合作伙伴关系，在提示升企业敏捷学习和开发人员驱动的性能方面

刚刚开始了我们的轮融资，我也很高兴地宣传布我们公司的发展历程又是迈出来了。安全行业领导者新思科科技欢迎其产品套件中一令人兴奋的新增内容内容：由安全代码勇士提供支持的新思科科技开发人员安全培训。

您的安全计划为 CISA 的网络安全战略计划做好准备了吗？

网络安全战略计划》对大多数组织处理网络安全的方式提出了重大变革，而开发人员在帮助实现这些新目标方面处于独特的地位。

九之力：在激动人心的网络安全时刻发展安全代码勇士的遗产

今天是我们的九岁生日，随着形势的持续快速变化，我对我们在网络安全领域取得的成就和持久的地位感到非常自豪和感激。

Linux 中的 XZ Utils 后门程序揭示了更广泛的供应链安全问题，要阻止这种威胁，我们需要的远不止社区精神。

在主要 Linux 发行版使用的 XZ Utils 数据压缩库中发现了一个名为 CVE-2024-3094 的严重漏洞，该漏洞是由威胁行为者通过后门程序引入的。该高危漏洞可导致潜在的远程代码执行，对软件构建流程构成重大威胁。受影响版本为 Fedora Rawhide 中 XZ Utils 的早期版本（5.6.0 和 5.6.1），相关组织被紧急呼吁实施补丁修复。此事件凸显了社区志愿者在维护开源软件中的关键作用，同时强调了在软件开发生命周期中加强安全措施和访问控制的必要性。

捍卫者十年：安全代码勇士十岁了

Secure Code Warrior 的创始团队一直团结在一起，在整整十年中指导飞船度过每一次教训、胜利和挫折。作为开发者风险管理领域的领导者，我们正在扩大规模，准备迎接我们的下一个篇章——SCW 2.0。

Vibe Coding 会把你的代码库变成兄弟会派对吗？

Vibe 编程就像大学兄弟会派对，而人工智能是所有庆祝活动的核心，小桶。放松身心，发挥创造力，看看你的想象力可以带你走向何方，这很有趣，但是在喝了几个小桶之后，适量饮酒（或者使用人工智能）无疑是更安全的长期解决方案。

当好工具变坏时：AI 工具中毒，以及如何阻止你的 AI 充当双重间谍

在软件开发中快速采用代理人工智能！(剧透：你可能不应该采用）。

网络安全界是否在代理人工智能方面发展过快？人工智能安全的未来已经到来，现在是专家们从思考走向现实的时候了。

SCW迎来十一周年：一场关于适应性与持续改进的实时实践课

2025年对人工智能、网络安全以及SCW而言都是重要的一年。我正以沉稳的信心迎接2026年，这份乐观唯有辛勤付出终获回报才能孕育。