复制/粘贴是一种危险的编码技术
来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。
对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。
- 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
- 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
- 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。
报告提出了以下解决方案。
- 劳动力再培训
- 半自动化的安全漏洞检测和修复
我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。
"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
首席执行官、主席和联合创始人
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。
对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。
- 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
- 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
- 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。
报告提出了以下解决方案。
- 劳动力再培训
- 半自动化的安全漏洞检测和修复
我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。
"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。
对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。
- 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
- 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
- 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。
报告提出了以下解决方案。
- 劳动力再培训
- 半自动化的安全漏洞检测和修复
我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。
"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
来自弗吉尼亚理工大学的研究人员在分析了最受欢迎的开发者论坛(Stack Overflow)上的数百个帖子后发表了一篇论文。他们研究了围绕安全问题的类型,社区给出的最受欢迎的答案以及对代码软件工程师的影响。
对于在网络安全领域工作了一段时间的人来说,这并不是一个真正的惊喜,但从开发者的角度来说,需要对这个问题有更多的认识。
- 编码框架(如JAVA Spring)所提供的安全功能过于复杂,且文件不全。
- 相当多的开发人员似乎不了解编码选项的安全影响,显示出缺乏网络安全培训的情况
- 这些论坛上的许多建议和 "修复 "并不安全,但却得到了积极的投票,因此评级较高。
报告提出了以下解决方案。
- 劳动力再培训
- 半自动化的安全漏洞检测和修复
我们需要从一开始就使安全问题对开发者来说变得简单,并将其内置,以保持今天企业运作的速度。
"这项工作的意义在于,我们为大量令人震惊的安全编码问题提供了经验证据,这些问题以前没有报道过,"该论文说。"这些问题是由多种原因造成的,包括对企业安全应用的需求迅速增加,软件开发人员缺乏安全培训,以及安全库设计不当"。
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
