为什么 SQL 注入是 AppSec 世界的蟑螂(以及 CISO 如何一劳永逸地根除它们)
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构造使它们对自身体型具有极强的耐寒性,在大多数条件下也很难彻底消灭。
我一直在思考...如果蟑螂在数字世界中存在类似漏洞,那必定是代码中的SQL注入(SQLi)漏洞。二十多年来,这种漏洞早已广为人知,但各类组织却屡屡成为其受害者。广泛而言,针对目标的攻击代价高昂,正是SQL注入的后果。例如伊利诺伊州的选举黑客事件中,20万份选民记录遭泄露,促使联邦调查局敦促所有IT管理员立即采取行动加强安全措施。
Imperva的黑客情报倡议报告披露,在2005年至2011年间,所有报告的数据泄露事件中,83%都利用了SQL注入攻击。时至今日,注入漏洞仍是OWASP十大威胁榜单中的头号威胁。它们相对简单,却始终难以根除。
在大量应用程序安全扫描中仍出现相同的漏洞,这似乎荒谬至极。我们清楚其运作机制,也掌握防范之道。这究竟为何?事实是,我们的软件安全性仍有巨大改进空间。
Veracode的《软件安全状况报告——基于2017年40万次应用程序扫描》揭示了一个令人震惊的统计数据:仅有30%的应用程序通过了OWASP十大安全政策。过去五年间,这一问题始终如一地存在——近三分之一的新扫描应用程序中存在SQL注入漏洞。这充分证明了该问题的普遍性;我们未能从错误中吸取教训,首席信息安全官在招聘足够安全人才方面似乎面临艰苦的战斗。通常,应用安全专家与开发人员的比例不足1:100。
为什么软件安全是生命支持?
专业安全人才的稀缺早已不是什么秘密,但我们还必须注意到这样一个事实:开发人员在问题出现时并未及时修复,而且从一开始就明显缺乏避免引入漏洞的能力。在同一份Veracode报告中披露,在所有开发漏洞中,仅有14.4%的缓解措施被记录在案。换言之,多数漏洞在提交时并未制定缓解方案。不到三分之一的漏洞能在最初90天内修复,42%的漏洞在开发周期内始终未能解决。
我一直在与安全专业人员、首席信息安全官和首席执行官进行交流,有趣的是,我发现许多公司对发现的无法缓解的漏洞(以及被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,干脆放弃处理,只能祈祷事情能顺利解决。
为什么应用安全专业人员会让这种情况发生?
毫无疑问:AppSec从业者们痛苦地意识到代码中的问题。毕竟,这是他们核心技能之一,使他们成为如此宝贵的团队资源。然而,他们往往受到多种因素的阻碍。
例如,应用安全经理发现问题后会询问开发人员:“你能修复代码吗?”。这个关键问题的答案因组织而异,但总体而言,开发人员在满足严格的功能交付冲刺时压力巨大,以至于他们根本没有时间解决这些问题,也没有像样的工具来协助他们。应用安全专业人员或许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都需要经历一个过程:找到解决方案、实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们并未为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习机构也未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
我们需要花时间教育开发人员如何编写安全代码。然而,在当今快节奏的软件开发环境中,优秀开发人员和安全专家供不应求,这似乎从未成为优先事项。现在是时候改变这种局面了。
最近的头条新闻来自世界经济论坛的警示:"没有安全就不可能有数字经济",其配套内容强调安全必须成为任何数字化转型战略的核心组成部分。"安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。"
提升安全编码技能和成果将为组织增添强大的网络防护层,助力其创建更优质、更高效的代码。开发人员无需成为安全专家,但必须掌握积极且实用的能力,方能成为抵御网络攻击的第一道防线。开发者完全可以成为下一代安全与创新的先锋——他们才智过人,是富有创造力的问题解决者,且普遍热衷于提升自身技能。通过专业培训发挥其优势,致力于实现更高的软件安全标准。阅读我们的白皮书以了解更多信息。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构造使它们对自身体型具有极强的耐寒性,在大多数条件下也很难彻底消灭。
我一直在思考...如果蟑螂在数字世界中存在类似漏洞,那必定是代码中的SQL注入(SQLi)漏洞。二十多年来,这种漏洞早已广为人知,但各类组织却屡屡成为其受害者。广泛而言,针对目标的攻击代价高昂,正是SQL注入的后果。例如伊利诺伊州的选举黑客事件中,20万份选民记录遭泄露,促使联邦调查局敦促所有IT管理员立即采取行动加强安全措施。
Imperva的黑客情报倡议报告披露,在2005年至2011年间,所有报告的数据泄露事件中,83%都利用了SQL注入攻击。时至今日,注入漏洞仍是OWASP十大威胁榜单中的头号威胁。它们相对简单,却始终难以根除。
在大量应用程序安全扫描中仍出现相同的漏洞,这似乎荒谬至极。我们清楚其运作机制,也掌握防范之道。这究竟为何?事实是,我们的软件安全性仍有巨大改进空间。
Veracode的《软件安全状况报告——基于2017年40万次应用程序扫描》揭示了一个令人震惊的统计数据:仅有30%的应用程序通过了OWASP十大安全政策。过去五年间,这一问题始终如一地存在——近三分之一的新扫描应用程序中存在SQL注入漏洞。这充分证明了该问题的普遍性;我们未能从错误中吸取教训,首席信息安全官在招聘足够安全人才方面似乎面临艰苦的战斗。通常,应用安全专家与开发人员的比例不足1:100。
为什么软件安全是生命支持?
专业安全人才的稀缺早已不是什么秘密,但我们还必须注意到这样一个事实:开发人员在问题出现时并未及时修复,而且从一开始就明显缺乏避免引入漏洞的能力。在同一份Veracode报告中披露,在所有开发漏洞中,仅有14.4%的缓解措施被记录在案。换言之,多数漏洞在提交时并未制定缓解方案。不到三分之一的漏洞能在最初90天内修复,42%的漏洞在开发周期内始终未能解决。
我一直在与安全专业人员、首席信息安全官和首席执行官进行交流,有趣的是,我发现许多公司对发现的无法缓解的漏洞(以及被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,干脆放弃处理,只能祈祷事情能顺利解决。
为什么应用安全专业人员会让这种情况发生?
毫无疑问:AppSec从业者们痛苦地意识到代码中的问题。毕竟,这是他们核心技能之一,使他们成为如此宝贵的团队资源。然而,他们往往受到多种因素的阻碍。
例如,应用安全经理发现问题后会询问开发人员:“你能修复代码吗?”。这个关键问题的答案因组织而异,但总体而言,开发人员在满足严格的功能交付冲刺时压力巨大,以至于他们根本没有时间解决这些问题,也没有像样的工具来协助他们。应用安全专业人员或许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都需要经历一个过程:找到解决方案、实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们并未为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习机构也未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
我们需要花时间教育开发人员如何编写安全代码。然而,在当今快节奏的软件开发环境中,优秀开发人员和安全专家供不应求,这似乎从未成为优先事项。现在是时候改变这种局面了。
最近的头条新闻来自世界经济论坛的警示:"没有安全就不可能有数字经济",其配套内容强调安全必须成为任何数字化转型战略的核心组成部分。"安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。"
提升安全编码技能和成果将为组织增添强大的网络防护层,助力其创建更优质、更高效的代码。开发人员无需成为安全专家,但必须掌握积极且实用的能力,方能成为抵御网络攻击的第一道防线。开发者完全可以成为下一代安全与创新的先锋——他们才智过人,是富有创造力的问题解决者,且普遍热衷于提升自身技能。通过专业培训发挥其优势,致力于实现更高的软件安全标准。阅读我们的白皮书以了解更多信息。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构造使它们对自身体型具有极强的耐寒性,在大多数条件下也很难彻底消灭。
我一直在思考...如果蟑螂在数字世界中存在类似漏洞,那必定是代码中的SQL注入(SQLi)漏洞。二十多年来,这种漏洞早已广为人知,但各类组织却屡屡成为其受害者。广泛而言,针对目标的攻击代价高昂,正是SQL注入的后果。例如伊利诺伊州的选举黑客事件中,20万份选民记录遭泄露,促使联邦调查局敦促所有IT管理员立即采取行动加强安全措施。
Imperva的黑客情报倡议报告披露,在2005年至2011年间,所有报告的数据泄露事件中,83%都利用了SQL注入攻击。时至今日,注入漏洞仍是OWASP十大威胁榜单中的头号威胁。它们相对简单,却始终难以根除。
在大量应用程序安全扫描中仍出现相同的漏洞,这似乎荒谬至极。我们清楚其运作机制,也掌握防范之道。这究竟为何?事实是,我们的软件安全性仍有巨大改进空间。
Veracode的《软件安全状况报告——基于2017年40万次应用程序扫描》揭示了一个令人震惊的统计数据:仅有30%的应用程序通过了OWASP十大安全政策。过去五年间,这一问题始终如一地存在——近三分之一的新扫描应用程序中存在SQL注入漏洞。这充分证明了该问题的普遍性;我们未能从错误中吸取教训,首席信息安全官在招聘足够安全人才方面似乎面临艰苦的战斗。通常,应用安全专家与开发人员的比例不足1:100。
为什么软件安全是生命支持?
专业安全人才的稀缺早已不是什么秘密,但我们还必须注意到这样一个事实:开发人员在问题出现时并未及时修复,而且从一开始就明显缺乏避免引入漏洞的能力。在同一份Veracode报告中披露,在所有开发漏洞中,仅有14.4%的缓解措施被记录在案。换言之,多数漏洞在提交时并未制定缓解方案。不到三分之一的漏洞能在最初90天内修复,42%的漏洞在开发周期内始终未能解决。
我一直在与安全专业人员、首席信息安全官和首席执行官进行交流,有趣的是,我发现许多公司对发现的无法缓解的漏洞(以及被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,干脆放弃处理,只能祈祷事情能顺利解决。
为什么应用安全专业人员会让这种情况发生?
毫无疑问:AppSec从业者们痛苦地意识到代码中的问题。毕竟,这是他们核心技能之一,使他们成为如此宝贵的团队资源。然而,他们往往受到多种因素的阻碍。
例如,应用安全经理发现问题后会询问开发人员:“你能修复代码吗?”。这个关键问题的答案因组织而异,但总体而言,开发人员在满足严格的功能交付冲刺时压力巨大,以至于他们根本没有时间解决这些问题,也没有像样的工具来协助他们。应用安全专业人员或许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都需要经历一个过程:找到解决方案、实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们并未为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习机构也未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
我们需要花时间教育开发人员如何编写安全代码。然而,在当今快节奏的软件开发环境中,优秀开发人员和安全专家供不应求,这似乎从未成为优先事项。现在是时候改变这种局面了。
最近的头条新闻来自世界经济论坛的警示:"没有安全就不可能有数字经济",其配套内容强调安全必须成为任何数字化转型战略的核心组成部分。"安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。"
提升安全编码技能和成果将为组织增添强大的网络防护层,助力其创建更优质、更高效的代码。开发人员无需成为安全专家,但必须掌握积极且实用的能力,方能成为抵御网络攻击的第一道防线。开发者完全可以成为下一代安全与创新的先锋——他们才智过人,是富有创造力的问题解决者,且普遍热衷于提升自身技能。通过专业培训发挥其优势,致力于实现更高的软件安全标准。阅读我们的白皮书以了解更多信息。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构造使它们对自身体型具有极强的耐寒性,在大多数条件下也很难彻底消灭。
我一直在思考...如果蟑螂在数字世界中存在类似漏洞,那必定是代码中的SQL注入(SQLi)漏洞。二十多年来,这种漏洞早已广为人知,但各类组织却屡屡成为其受害者。广泛而言,针对目标的攻击代价高昂,正是SQL注入的后果。例如伊利诺伊州的选举黑客事件中,20万份选民记录遭泄露,促使联邦调查局敦促所有IT管理员立即采取行动加强安全措施。
Imperva的黑客情报倡议报告披露,在2005年至2011年间,所有报告的数据泄露事件中,83%都利用了SQL注入攻击。时至今日,注入漏洞仍是OWASP十大威胁榜单中的头号威胁。它们相对简单,却始终难以根除。
在大量应用程序安全扫描中仍出现相同的漏洞,这似乎荒谬至极。我们清楚其运作机制,也掌握防范之道。这究竟为何?事实是,我们的软件安全性仍有巨大改进空间。
Veracode的《软件安全状况报告——基于2017年40万次应用程序扫描》揭示了一个令人震惊的统计数据:仅有30%的应用程序通过了OWASP十大安全政策。过去五年间,这一问题始终如一地存在——近三分之一的新扫描应用程序中存在SQL注入漏洞。这充分证明了该问题的普遍性;我们未能从错误中吸取教训,首席信息安全官在招聘足够安全人才方面似乎面临艰苦的战斗。通常,应用安全专家与开发人员的比例不足1:100。
为什么软件安全是生命支持?
专业安全人才的稀缺早已不是什么秘密,但我们还必须注意到这样一个事实:开发人员在问题出现时并未及时修复,而且从一开始就明显缺乏避免引入漏洞的能力。在同一份Veracode报告中披露,在所有开发漏洞中,仅有14.4%的缓解措施被记录在案。换言之,多数漏洞在提交时并未制定缓解方案。不到三分之一的漏洞能在最初90天内修复,42%的漏洞在开发周期内始终未能解决。
我一直在与安全专业人员、首席信息安全官和首席执行官进行交流,有趣的是,我发现许多公司对发现的无法缓解的漏洞(以及被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,干脆放弃处理,只能祈祷事情能顺利解决。
为什么应用安全专业人员会让这种情况发生?
毫无疑问:AppSec从业者们痛苦地意识到代码中的问题。毕竟,这是他们核心技能之一,使他们成为如此宝贵的团队资源。然而,他们往往受到多种因素的阻碍。
例如,应用安全经理发现问题后会询问开发人员:“你能修复代码吗?”。这个关键问题的答案因组织而异,但总体而言,开发人员在满足严格的功能交付冲刺时压力巨大,以至于他们根本没有时间解决这些问题,也没有像样的工具来协助他们。应用安全专业人员或许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。
我们还必须认识到,对于每个问题,都需要经历一个过程:找到解决方案、实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。
解决方案是什么?
简单的事实是,我们并未为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员具备足够的安全技能,而令人遗憾的现实是,大多数大学和实习机构也未能为初级开发人员做好安全编码的准备。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
我们需要花时间教育开发人员如何编写安全代码。然而,在当今快节奏的软件开发环境中,优秀开发人员和安全专家供不应求,这似乎从未成为优先事项。现在是时候改变这种局面了。
最近的头条新闻来自世界经济论坛的警示:"没有安全就不可能有数字经济",其配套内容强调安全必须成为任何数字化转型战略的核心组成部分。"安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。"
提升安全编码技能和成果将为组织增添强大的网络防护层,助力其创建更优质、更高效的代码。开发人员无需成为安全专家,但必须掌握积极且实用的能力,方能成为抵御网络攻击的第一道防线。开发者完全可以成为下一代安全与创新的先锋——他们才智过人,是富有创造力的问题解决者,且普遍热衷于提升自身技能。通过专业培训发挥其优势,致力于实现更高的软件安全标准。阅读我们的白皮书以了解更多信息。
当有人想驾驶飞机时,存在一套极其严格的流程,确保他们在飞行前接受培训、积累实践经验、通过体检、掌握安全知识并完成各项检查。没有人敢想象,若没有如此全面的准备和技能验证,他们会被放任自流——但这正是代码编写中每天都在发生的事情。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
