专家访谈:奥斯卡·昆塔斯的《基础设施即代码》
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在科技创业公司工作的最好之处之一就是在此过程中你会遇到所有有趣、聪明的人,并与之合作。将一家公司从一个很酷的想法发展成一个严肃的市场竞争者需要组建自己的复仇者联盟团队(或者正义联盟,视你的忠诚度而定)。
考虑到这一点,我们想把焦点聚焦在我们的专家之一奥斯卡·昆塔斯身上。他是我们产品内容团队的一员,担任高级安全研究员。他还是我们在基础设施即代码 (IaC) 方面的常驻巫师。他是我们 178(而且还在不断增加!)背后的力量IaC 平台面临的挑战,以及我们对这个新颖的热门话题提出的所有迫切问题的首选。
我们认为他很特别,所以我们希望你能更好地了解他。在这里,他将分享他对基础设施即代码安全这一热门话题的见解、他的角色以及组织可以做些什么来更好地为云基础架构和工程师做好准备:
问:告诉我们你在 Secure Code Warrior 中扮演的角色。你平常的一天是什么样子?
答:我是产品内容团队的一员,担任高级安全研究员。典型的一天包括审查不同语言(Python、Java、Golang 和许多其他语言!)的挑战代码确保满足代码质量标准并实施安全最佳实践。我还开发了新的 IaC 内容。
问:你一直是我们所有基础设施即代码平台挑战背后的天才。你的流程是什么?
答:我想说这是研究与努力交付与多种技能水平具有高度相关性和参与度的内容相结合。我通常首先研究用户在部署基础架构时面临的最常见问题,然后根据这些信息,我提出有用的挑战,以展示每种情况的安全最佳实践。
我一直在努力为我们的战士提供良好的学习体验,并确保这是一项与工作相关且有用的练习,并持续带来好处。
问:目前,iaC 安全是一个非常受欢迎的话题。公司在云安全实践方面面临的主要问题是什么?
答:基础设施即代码就是使用代码管理基础设施资源。只需几行代码,您就可以部署数百种云资源(网络、防火墙规则、虚拟机、容器等),如果配置不当,这些资源可能包含安全漏洞。因此,适用于安全应用程序部署的相同原则也可以适用于IaC,参与SDLC的每个团队都必须了解这些风险及其修复方法。
这种意识和行动始于适当的 IaC 安全培训,并优先考虑云工程师的安全编码技能。它们可以成为强大的防御层,这在他们构建托管应用程序的基础架构时尤其重要。
问:业界对 Kubernetes 非常感兴趣,而且它似乎已被广泛使用。但是,我们的平台数据反映出Terraform是一种非常受欢迎的语言,具有很高的参与度。关于它为何如此受欢迎,你有什么见解可以分享吗?
A: Terraform 是 IaC 事实上的语言,因为它允许我们使用简单的语法在多云环境(例如 AWS、GCP、Azure)中部署基础设施资源。它允许您使用代码定义基础架构,并且可以透明地与云API交互以管理资源的部署。
这种语言用途非常广泛,由于可以将其添加到源代码控制存储库中,因此也可以将DevOps/DevSecOps原则应用于基础设施部署。但是,这也将带来必须应对的新威胁,因此必须使用Terraform进行全面的安全编码培训。
问:你是 IaC 安全专家。你工作中最棒的部分是什么?
A: IaC 仍处于起步阶段,因此经常会发布很多新内容。要及时了解这些新技术有点困难,但同时也是有回报的。我真的很喜欢学习新事物并测试新服务的安全最佳实践。
将您的 iaC 安全性提升到一个新的水平。
如果您想让云开发人员磨练他们围绕 “基础设施即代码” 的安全技能,请使用我们的 “基础设施即代码” 来挑战自己 iaC 前 8 名!阅读每章,了解八个常见的 IaC 安全漏洞的完整概述,包括测试他们新知识的互动挑战。
告诉我们你的分数,让奥斯卡感到骄傲!
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
