OWASP 的 2021 年名单洗牌:新的战斗计划和主要敌人
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在这个日益混乱的世界中,一直有一些常数是人们可以信赖的:太阳将在早上升并在晚上再次落下,马里奥将永远比刺猬索尼克更酷,注入攻击将永远占据开放Web应用程序安全项目(OWASP)清单的头把交椅 十大最常见的 以及攻击者正在积极利用的危险漏洞。
好吧,明天太阳将升起,马里奥在索尼克身上 “一举成名”,但是注射攻击在臭名昭著的OWASP名单上已经跌出了2021年更新的第一名。最古老的攻击形式之一 注入漏洞 存在的时间几乎和计算机网络一样长。全面漏洞是造成各种攻击的原因,包括传统攻击中的所有攻击 SQL 注入 针对对象图导航库 (OGNL) 发起的漏洞。它甚至包括使用直接攻击服务器 操作系统命令注入技术。攻击者注入漏洞的多功能性,更不用说可能受到攻击的地点数量了——使该类别多年来一直位居榜首。
但是注射之王已经倒下了。国王万岁。
这是否意味着我们终于解决了注入漏洞问题?绝对不可能。它与头号安全敌人的位置相差不远,只在OWASP名单上下降到第三位。低估注入攻击的持续危险是错误的,但另一个漏洞类别能够超越这一事实意义重大,因为它表明了新的OWASP头号人物实际上有多普遍,以及为什么开发人员需要密切关注它向前发展。
但是,也许最有趣的是,OWASP 2021 年 Top 10 反映了一次重大改革,全新的类别首次亮相:不安全设计、软件和数据完整性故障,以及基于社区调查结果的条目:服务器端请求伪造。这表明人们越来越关注架构漏洞,而不仅仅是表面漏洞,而是软件安全基准测试。
门禁控制失控夺冠(并显示出趋势)
访问控制漏洞从OWASP十大漏洞列表的第五位一路飙升至目前的第一位。与注入和不安全设计等新条目一样,访问中断漏洞也包含各种编码缺陷,由于它们共同允许在多个方面造成损害,因此其受欢迎程度令人怀疑。该类别包括任何可能违反访问控制策略的实例,因此用户可以在预期权限之外采取行动。
OWASP 在将漏洞系列提升到首位时列举的访问控制中断的一些例子包括那些使攻击者能够修改 URL、内部应用程序状态或 HTML 页面的一部分的漏洞。它们还可能允许用户更改其主访问密钥,以便应用程序、网站或 API 认为他们是其他人,例如具有更高权限的管理员。它甚至包括攻击者不受限制修改元数据的漏洞,允许他们更改 JSON Web 令牌、cookie 或访问控制令牌等内容。
一旦被利用,攻击者就可以利用这一系列漏洞来 绕过文件或对象 授权,使他们能够窃取数据,甚至执行破坏性的管理员级功能,例如删除数据库。除了越来越普遍之外,这还使访问控制失效变得极其危险。
身份验证和访问控制漏洞正成为攻击者利用的最肥沃土壤,这很有说服力,但并不奇怪。威瑞森的最新消息 数据泄露调查报告 显示,访问控制问题几乎在每个行业都很普遍,尤其是 IT 和医疗保健,高达 85% 的违规行为涉及人为因素。现在,“人为因素” 涵盖了网络钓鱼攻击等事件,这些事件不是工程问题,但是有3%的漏洞确实涉及可利用的漏洞,并且根据该报告,主要是较旧的漏洞和由人为错误导致的,例如安全配置错误。
尽管像XSS和SQL注入这样的破旧安全漏洞继续困扰着开发人员,但越来越明显的是,核心安全设计正在失败,被架构漏洞所取代,这些漏洞可能对威胁行为者非常有利,尤其是在应用程序的特定版本的安全漏洞公开后仍未修补这些漏洞。
问题在于,很少有工程师接受过基础知识以外的培训和技能发展,而真正将其知识和实际应用扩展到本地化、代码级错误之外的人数仍然很少,而这些错误通常是由开发人员引入的。
防止机器人很少发现的错误
新归类的已损坏的访问控制漏洞系列相当多样化。您可以找到一些访问控制失效的具体示例,以及如何将其阻止 我们的YouTube频道 还有我们的 博客。
但是,我认为庆祝这个新的OWASP前十名很重要;事实上,它更加多样化,涵盖了更广泛的攻击向量,包括扫描器不一定会发现的攻击向量。对于发现的每一个代码级漏洞,无论武器库中有多少自动盾牌和武器,大多数安全技术堆栈都不会注意到更复杂的架构缺陷。尽管OWASP Top 10榜单的大部分仍是根据扫描数据编制的,但涵盖不安全设计和数据完整性故障等的新条目表明,开发人员的培训视野需要迅速扩大才能实现机器人无法实现的目标。
简而言之,安全扫描程序并不能成为出色的威胁建模者,但一支具有安全技能的开发人员团队可以通过根据最佳实践和业务需求提高安全智商来为AppSec团队提供无法估量的帮助。需要将这一点纳入一个良好的安全计划,同时要认识到,尽管OWASP前十名是一个很好的基准,但威胁形势如此之快(更不用说内部开发目标的要求了),因此必须制定一项计划,以更深入、更具体地提高开发人员在安全方面的技能。不这样做将不可避免地导致错失及早修复的机会,并阻碍以人为主导的预防性整体网络安全方法取得成功。
我们已经准备好了 2021 年 OWASP 前十名,而这仅仅是个开始!让您的开发人员开始使用 提升安全技能途径 今天。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
