What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-29 10:49:21 | Votre incontournable AI et application de cloud-Native Appsec au RSAC 2024 Your Must-Know AI and Cloud-Native AppSec Insights at RSAC 2024 (lien direct) |
Cherchez-vous à rattraper les dernières personnes en matière d'IA et d'application native du cloud au RSAC 2024?Veracode organise une série de conférences sur notre stand avec une série de programmes au W San Francisco.Voici tous les détails.
Veracode à RSAC 2024: un aperçu
RSAC 2024 est au coin de la rue et Veracode, un fournisseur visionnaire de solutions de test de sécurité des applications natifs du cloud, sera à l'avant-garde, présentant des innovations révolutionnaires qui façonnent l'avenir de l'AppSec.
Cette année, nous sommes particulièrement ravis de présenter l'acquisition récente de Longbow Security, une décision stratégique qui renforce notre engagement à assurer une sécurité complète du code à cloud.
Selon le magazine des développeurs de l'APP, «L'intégration de Longbow dans Veracode permet aux équipes de sécurité de découvrir rapidement les actifs du cloud et des applications et d'évaluer facilement leur exposition à la menace en utilisant une enquête automatisée et une analyse des causes profondes.Longbow fournit un centralisé…
Are you looking to catch up on the latest in AI and cloud-native Application Security at RSAC 2024? Veracode is hosting a series of talks at our booth along with a series of programs at The W San Francisco. Here are all the details. Veracode at RSAC 2024: A Preview RSAC 2024 is around the corner and Veracode, a visionary provider of cloud-native Application Security testing solutions, will be at the forefront, showcasing groundbreaking innovations that are shaping the future of AppSec. This year, we are particularly excited to showcase the recent acquisition of Longbow Security, a strategic move that strengthens our commitment to providing comprehensive code-to-cloud security. According to App Developer Magazine, “The integration of Longbow into Veracode enables security teams to discover cloud and application assets quickly and easily assess their threat exposure using automated issue investigation and root cause analysis. Longbow provides a centralized… |
Threat Cloud | ||
|
2024-04-23 10:54:54 | Amélioration de l'efficacité des développeurs avec une correction alimentée par l'IA Enhancing Developer Efficiency With AI-Powered Remediation (lien direct) |
Les méthodes traditionnelles d'assainissement des défauts ne sont pas équipées de la technologie pour suivre le rythme de l'évolution rapide des pratiques de génération de code, laissant les développeurs incapables de gérer des dettes de sécurité lourdes et écrasantes.La sécurité du code est toujours une préoccupation critique dans le développement de logiciels.Par exemple, lorsque GitHub Copilot a généré 435 extraits de code, près de 36% d'entre eux avaient des faiblesses de sécurité, quel que soit le langage de programmation.En l'état, de nombreux développeurs ne sont toujours pas équipés d'une méthode automatisée qui peut résoudre les problèmes en toute sécurité dans le code.
Ce blog se plonge dans le changement de paradigme provoqué par Veracode Fix, une solution d'IA innovante conçue pour révolutionner l'assainissement automatisé des défauts.
Les principaux risques de sécurité dans le code automatisé
L'émergence d'outils automatisés de génération de code a provoqué une nouvelle ère d'efficacité et d'innovation.Cependant, ces progrès s'accompagnent d'une variété de risques de sécurité qui menacent l'intégrité et la sécurité des applications.…
Traditional methods of flaw remediation are not equipped with the technology to keep pace with the rapid evolution of code generation practices, leaving developers incapable of managing burdensome and overwhelming security debt. Code security is still a critical concern in software development. For instance, when GitHub Copilot generated 435 code snippets, almost 36% of them had security weaknesses, regardless of the programming language. As it is, many developers are still unequipped with an automated method that can securely remediate issues in code. This blog delves into the paradigm shift brought about by Veracode Fix, an innovative AI solution designed to revolutionize automated flaw remediation. The Main Security Risks in Automated Code The emergence of automated code-generation tools has brought in a new era of efficiency and innovation. However, this progress comes with a variety of security risks that threaten the integrity and safety of applications.… |
Tool | ★★★ | |
|
2024-04-17 09:25:20 | Speed vs Security: trouver le bon équilibre dans le développement de logiciels avec l'IA Speed vs Security: Striking the Right Balance in Software Development with AI (lien direct) |
Les équipes de développement de logiciels sont confrontées à un dilemme constant: trouver le bon équilibre entre la vitesse et la sécurité.Comment l'intelligence artificielle (IA) a-t-elle un impact sur ce dilemme?Avec l'utilisation croissante de l'IA dans le processus de développement, il est essentiel de comprendre les risques impliqués et comment nous pouvons maintenir un environnement sécurisé sans compromettre la vitesse.Soit \\ plonger.
Le besoin de vitesse
La vitesse est de l'essence.Les organisations s'efforcent constamment de fournir du code plus rapidement et d'innover rapidement pour rester en avance sur la compétition.Ce besoin de vitesse a conduit à l'adoption de l'IA et des modèles de gros langues (LLM), qui peuvent générer du code à un rythme sans précédent.Cependant, comme pour tout processus de développement rapide, il y a des risques impliqués.
Les risques de l'IA dans le développement de logiciels
Au cours de mon discours d'ouverture à la Semaine 2024 du développeur, j'ai souligné les risques potentiels de l'utilisation de l'IA et des LLM sans implémenter des mesures de sécurité appropriées.Tirer parti de l'IA pour un développement rapide…
Software development teams face a constant dilemma: striking the right balance between speed and security. How is artificial intelligence (AI) impacting this dilemma? With the increasing use of AI in the development process, it\'s essential to understand the risks involved and how we can maintain a secure environment without compromising on speed. Let\'s dive in. The Need for Speed Speed is of the essence. Organizations are constantly striving to deliver code faster and innovate quickly to stay ahead of the competition. This need for speed has led to the adoption of AI and large language models (LLMs), which can generate code at an unprecedented rate. However, as with any rapid development process, there are risks involved. The Risks of AI in Software Development During my keynote address at Developer Week 2024, I highlighted the potential risks of using AI and LLMs without implementing appropriate security measures. Leveraging AI for fast development… |
★★ | ||
|
2024-04-01 11:00:00 | Veracode avance la sécurité des applications natives dans le cloud avec l'acquisition de l'arc long Veracode Advances Cloud-Native Application Security with Longbow Acquisition (lien direct) |
Alors que je voyage dans le monde entier pour rencontrer des clients et des prospects, nous discutons souvent des changements tectoniques qui se produisent dans l'industrie.Au cœur de leurs initiatives stratégiques, les organisations s'efforcent d'innover rapidement et d'offrir de la valeur client avec une qualité et une sécurité sans compromis, tout en obtenant un avantage concurrentiel sur le marché.Ils adoptent les méthodologies DevOps et tirent parti des technologies open source, accélèrent les déploiements dans des environnements multi-clouds pour améliorer l'agilité et la réactivité.Le plus grand défi auquel ils sont confrontés est d'acquérir une vue complète de tous les actifs de leur portefeuille lorsqu'ils sont déployés sur des points finaux multi-cloud.
Les équipes de sécurité sont submergées par une fatigue alerte provenant parfois de 20 outils qui fournissent chacun une vision différente du risque.Le plus grand défi consiste à agréger ce risque à partir de sources disparates, à la prioriser et à identifier la prochaine meilleure action à prendre pour sécuriser leurs actifs logiciels.Composer ces…
As I travel around the world meeting with customers and prospects, we often discuss the tectonic shifts happening in the industry. At the heart of their strategic initiatives, organizations are striving to innovate rapidly and deliver customer value with uncompromising quality and security, while gaining a competitive edge in the market. They are embracing DevOps methodologies and leveraging open-source technologies, accelerating deployments across multi-cloud environments to enhance agility and responsiveness. The biggest challenge they face is acquiring a comprehensive view of all the assets in their portfolio as they are deployed across multi cloud end points. Security teams are overwhelmed by alert fatigue coming from sometimes 20+ tools that each provide a different view of risk. The biggest challenge is aggregating this risk from disparate sources, prioritizing it and identifying the next best action to take to secure their software assets. Compounding these… |
Tool Cloud | ★★ | |
|
2024-03-28 10:05:47 | Les clients Veracode sont protégés des perturbations NVD Veracode Customers Shielded from NVD Disruptions (lien direct) |
L'Institut national américain des normes et de la technologie (NIST) a presque complètement cessé d'analyser de nouvelles vulnérabilités (CVE) répertoriées dans sa base de données nationale de vulnérabilité (NVD).Au cours des six premières semaines de 2024, le NIST a analysé plus de 3 500 CVE avec seulement 34 cves en attente d'analyse.1 Depuis le 13 février, cependant, près de la moitié (48%) des 7 200 cves reçus cette année par le NVD attendent toujours une analyse.2 LeLe nombre de CVE analysés a chuté de près de 80% à moins de 750 CVE analysés.Outre une vague référence à l'établissement d'un consortium, les raisons de cette perturbation restent un mystère.
Heureusement, les clients Veracode n'ont pas besoin de se soucier de cette perturbation car ils ont accès à la base de données propriétaire de Veracode \\.Depuis l'avis du 13 février, Veracode a publié plus de 300 CVE.Sur ces 300+, NVD a analysé moins de 15 de ces CVE.Lisez la suite pour savoir comment Veracode SCA fonctionne sans NVD à fournir une analyse CVE.
Analyse NVD…
The US National Institute of Standards and Technology (NIST) has almost completely stopped analyzing new vulnerabilities (CVEs) listed in its National Vulnerability Database (NVD). Through the first six weeks of 2024, NIST analyzed over 3,500 CVEs with only 34 CVEs awaiting analysis.1 Since February 13th, however, nearly half (48%) of the 7,200 CVEs received this year by the NVD are still awaiting analysis.2 The number of CVEs analyzed has dropped nearly 80% to less than 750 CVEs analyzed. Other than a vague reference to establishing a consortium, the reasons behind this disruption remain a mystery. Thankfully, Veracode customers need not worry about this disruption because they have access to Veracode\'s proprietary database. Since the notice on February 13th, Veracode has released over 300 CVEs. Of these 300+, NVD has analyzed less than 15 of these CVEs. Read on to learn how Veracode SCA operates without NVD providing CVE analysis. NVD Analysis … |
Vulnerability | ★★★ | |
|
2024-03-26 14:45:35 | Résolution de défauts de script inter-sites simples avec correction de veracode Resolving Simple Cross-Site Scripting Flaws with Veracode Fix (lien direct) |
Dans le dernier blog sur la fixation des vulnérabilités avec Veracode Fix, nous avons examiné la correction de l'injection SQL dans une application Java.Depuis lors, nous avons publié Fix Prise en charge de Python (et PHP) et lancé un nouveau plugin VS Code qui inclut la prise en charge de la correction.
Il semble donc approprié de chercher à résoudre un problème dans une application Python à l'aide de Veracode Fix dans le code VS IDE.Cette fois, laissez \\ examiner une simple faiblesse de script (XSS).
Qu'est-ce qu'une vulnérabilité XSS?
Une vulnérabilité XSS se produit lorsqu'un attaquant injecte du code malveillant dans un site Web de confiance, qui est ensuite exécuté par des utilisateurs sans méfiance.Cela peut entraîner un accès non autorisé, un vol de données ou une manipulation de sessions utilisateur.Les vulnérabilités XSS se trouvent couramment dans les champs de saisie, les sections de commentaires ou le contenu peu validé par l'utilisateur.Un exemple de démonstration simple consiste souvent à saisir le texte suivant dans un champ de saisie de l'utilisateur:
Si une demande ne désinfecte pas…
In the last blog on fixing vulnerabilities with Veracode Fix, we looked at SQL Injection remediation in a Java application. Since then, we have released Fix support for Python (and PHP) and launched a new VS Code plugin that includes support for Fix. It seems appropriate, therefore, to look at resolving a problem in a Python app using Veracode Fix in the VS Code IDE. This time let\'s examine a simple cross-site scripting (XSS) weakness. What is an XSS Vulnerability? An XSS vulnerability occurs when an attacker injects malicious code into a trusted website, which is then executed by unsuspecting users. This can lead to unauthorized access, data theft, or manipulation of user sessions. XSS vulnerabilities are commonly found in input fields, comments sections, or poorly validated user-generated content. A simple demonstration example is often to enter the following text in a user input field: If an application does not sanitize… |
Vulnerability | ★★★ | |
|
2024-03-18 12:25:43 | Dette de sécurité: une menace croissante pour la sécurité des applications Security Debt: A Growing Threat to Application Security (lien direct) |
Comprendre la dette de sécurité
La dette de sécurité est un problème majeur et croissant dans le développement de logiciels avec des implications importantes pour la sécurité des applications, selon le rapport de l'état de la sécurité des logiciels de Veracode \\.Laissez-vous approfondir un peu plus dans la portée et le risque de dette de sécurité, et obtenir des informations sur les gestionnaires de sécurité des applications pour relever efficacement ce défi.
La dette de sécurité fait référence aux défauts logiciels qui restent non fixés pendant un an ou plus.Ces défauts s'accumulent au fil du temps en raison de divers facteurs, notamment des contraintes de ressources, de la complexité technique ou du manque de priorisation.La dette de sécurité peut être classée comme critique ou non critique et peut exister à la fois dans le code tiers et peut-être plus inquiétant.
Prévalence et impact de la dette de sécurité
Selon des recherches récentes, 42% des applications actives ont une dette de sécurité, 11% portant une dette de sécurité critique qui présente un risque grave pour les organisations.Les grandes applications sont particulièrement sensibles, avec 40% de…
Understanding Security Debt Security debt is a major and growing problem in software development with significant implications for application security, according to Veracode\'s State of Software Security 2024 Report. Let\'s delve a bit deeper into the scope and risk of security debt, and gain some insights for application security managers to effectively address this challenge. Security debt refers to software flaws that remain unfixed for a year or more. These flaws accumulate over time due to various factors, including resource constraints, technical complexity, or lack of prioritization. Security debt can be categorized as critical or non-critical and can exist in both first-party and, maybe more worrying, third-party code. Prevalence and Impact of Security Debt According to recent research, 42% of active applications have security debt, with 11% carrying critical security debt that poses a severe risk to organizations. Large applications are particularly susceptible, with 40% of… |
Threat Technical | ★★★ | |
|
2024-03-13 11:17:26 | Un changement opportun: hiérarchiser la sécurité des logiciels dans le paysage numérique 2024 A Timely Shift: Prioritizing Software Security in the 2024 Digital Landscape (lien direct) |
La sortie du rapport technique de février 2024 de la Maison Blanche, de retour aux éléments constitutifs: un chemin vers des logiciels mesurables sécurisés, entraîne un changement en temps opportun dans la hiérarchisation de la sécurité des logiciels.Le logiciel est omniprésent, il devient donc de plus en plus crucial pour aborder la surface d'attaque en expansion, naviguer dans des environnements réglementaires complexes et atténuer les risques posés par des attaques sophistiquées de la chaîne d'approvisionnement des logiciels.
Soit \\ explorer les idées clés du rapport technique de la Maison Blanche et plonger dans les recommandations d'intégration de la sécurité dans le cycle de vie du développement logiciel (SDLC).
Sécuriser les blocs de construction du cyberespace: le rôle des langages de programmation
Le rapport de la Maison Blanche met l'accent sur le langage de programmation comme un élément de construction principal pour sécuriser l'écosystème numérique.Il met en évidence la prévalence des vulnérabilités de la sécurité mémoire et la nécessité d'éliminer de manière proactive des classes de vulnérabilités logicielles.Le rapport préconise l'adoption de…
The release of the February 2024 White House Technical Report, Back to the Building Blocks: A Path Towards Secure Measurable Software, brings about a timely shift in prioritizing software security. Software is ubiquitous, so it\'s becoming increasingly crucial to address the expanding attack surface, navigate complex regulatory environments, and mitigate the risks posed by sophisticated software supply chain attacks. Let\'s explore the key insights from the White House Technical Report and delve into recommendations for integrating security across the software development lifecycle (SDLC). Securing Cyberspace Building Blocks: The Role of Programming Languages The White House\'s report emphasizes the programming language as a primary building block in securing the digital ecosystem. It highlights the prevalence of memory safety vulnerabilities and the need to proactively eliminate entire classes of software vulnerabilities. The report advocates for the adoption of… |
Vulnerability Technical | ★★ | |
|
2024-03-04 13:29:00 | Intégration de Veracode Dast Essentials dans votre chaîne d'outils de développement Integrating Veracode DAST Essentials into Your Development Toolchain (lien direct) |
Dans le paysage numérique au rythme rapide d'aujourd'hui, les développeurs sont confrontés à une pression croissante pour fournir des applications sécurisées dans des délais serrés.Avec l'accent mis sur les versions plus rapides, il devient difficile de prioriser la sécurité et d'empêcher l'introduction des vulnérabilités dans les environnements de production.
L'intégration des tests de sécurité des applications dynamiques (DAST) dans votre pipeline CI / CD vous aide à détecter et à résoudre les vulnérabilités plus tôt, lorsqu'elles sont plus faciles à corriger.Dans ce blog, nous explorerons l'importance du DAST, fournirons un guide étape par étape sur la façon d'intégrer Veracode Dast Essentials dans votre pipeline CI / CD et de vous montrer comment commencer avec un essai gratuit de 14 joursDast Essentials aujourd'hui.
La signification du Dast
Dast joue un rôle vital dans la sécurisation des applications modernes.Clancs, selon le rapport sur l'état de la sécurité des logiciels de Veracode \\, 80% des applications Web ont des vulnérabilités critiques qui ne peuvent être identifiées que par des tests dynamiques.
En simulant les attaques du monde réel, Dast…
In today\'s fast-paced digital landscape, developers face increasing pressure to deliver secure applications within tight deadlines. With the emphasis on faster releases, it becomes challenging to prioritize security and prevent vulnerabilities from being introduced into production environments. Integrating dynamic application security testing (DAST) into your CI/CD pipeline helps you detect and remediate vulnerabilities earlier, when they are easier to fix. In this blog, we will explore the importance of DAST, provide a step-by-step guide on how to integrate Veracode DAST Essentials into your CI/CD pipeline, and show you how to get started with a free, 14-day trial of DAST Essentials today. The Significance of DAST DAST plays a vital role in securing modern applications. Shockingly, according to Veracode\'s State of Software Security Report, 80% of web applications have critical vulnerabilities that can only be identified through dynamic testing. By simulating real-world attacks, DAST… |
Vulnerability | ★★ | |
|
2024-03-04 12:48:36 | Les risques de génération de code automatisés et la nécessité d'une correction alimentée par l'IA The Risks of Automated Code Generation and the Necessity of AI-Powered Remediation (lien direct) |
Les techniques de développement de logiciels modernes créent des défauts plus rapidement qu'ils ne peuvent être fixés.Bien que l'utilisation de bibliothèques tierces, de microservices, de générateurs de code, de modèles de langage grand (LLM), etc., a une productivité et une flexibilité remarquablement accrues dans le développement, il a également augmenté le taux de génération de code non sécurisé.Une solution automatisée et intelligente est nécessaire pour combler l'écart d'élargissement entre l'introduction et l'assainissement des défauts.
Soit \\ explorer les dangers potentiels des méthodes modernes de génération de code automatisées et la nécessité d'un mode sécurisé et automatisé de correction des défauts.
Méthodes automatisées qui produisent du code sans sécurité
Générateurs de code
Ces outils peuvent générer du code basé sur des entrées ou des modèles spécifiques que les développeurs fournissent, tels que les spécifications des fonctionnalités, les modèles de conception ou d'autres paramètres.Cela accélère les cycles de développement, réduit les erreurs et maintient la cohérence dans une application.Les exemples incluent Swagger…
Modern software development techniques are creating flaws faster than they can be fixed. While using third-party libraries, microservices, code generators, large language models (LLMs), etc., has remarkably increased productivity and flexibility in development, it has also increased the rate of generating insecure code. An automated and intelligent solution is needed to bridge the widening gap between the introduction and remediation of flaws. Let\'s explore the potential dangers of modern methods of automated code generation and the need for a secure and automated mode of flaw remediation. Automated Methods That Produce Insecure Code Code Generators These tools can generate code based on specific inputs or templates that developers provide, such as feature specifications, design patterns, or other parameters. This accelerates development cycles, reduces errors, and maintains consistency across an application. Examples include Swagger… |
Tool | ★★ | |
|
2024-02-28 07:00:00 | Stratégies basées sur les données pour une gestion efficace des risques d'application en 2024 Data-driven Strategies for Effective Application Risk Management in 2024 (lien direct) |
Les logiciels peu sûrs ont un impact significatif sur notre monde.Dans une récente déclaration, la directrice de la CISA, Jen Easterly, a déclaré: «Les caractéristiques et la vitesse de marché ont été prioritaires contre la sécurité, laissant notre nation vulnérable à la cyber invasion.Cela doit arrêter ... nous sommes à un moment critique pour notre sécurité nationale. »
Notre rapport State of Software Security 2024 explore un domaine clé que le compromis de la vitesse à la priorité au marché contre la sécurité a abouti: la dette de sécurité.Nos données montrent que près de la moitié des organisations ont des défauts persistants et à haute sévérité qui constituent une dette de sécurité critique.Nous révélons également ce que les organisations sans elle font bien.Voici comment exploiter ces nouvelles données pour améliorer les pratiques de gestion des risques d'application en 2024.
Comprendre l'état de la sécurité des logiciels 2024
Bien que le monde de la technologie évolue rapidement, une chose n'a pas changé: toute la sécurité des logiciels revient au code et aux vulnérabilités.De nouvelles solutions, comme le cloud-…
Insecure software is significantly impacting our world. In a recent statement, CISA Director Jen Easterly declared: “Features and speed to market have been prioritized against security, leaving our nation vulnerable to cyber invasion. That has to stop... We are at a critical juncture for our national security.” Our State of Software Security 2024 report explores a key area this trade-off of speed to market prioritized against security has resulted in: security debt. Our data shows that nearly half of organizations have persistent, high-severity flaws that constitute critical security debt. We also reveal what organizations without it are doing right. Here\'s how to leverage this new data to enhance application risk management practices in 2024. Understanding the State of Software Security 2024 Though the world of technology is rapidly evolving, one thing hasn\'t changed: all software security comes back to code and vulnerabilities. New solutions, like Cloud-… |
Vulnerability | ★★ | |
|
2024-02-27 14:58:43 | Veracode scan pour le code vs: maintenant avec Veracode Corre Veracode Scan for VS Code: Now with Veracode Fix (lien direct) |
Veracode est heureux d'annoncer la disponibilité de la capacité de correction de Veracode dans Veracode Scan pour le code VS.Les développeurs peuvent désormais découvrir et résoudre les défauts de sécurité en utilisant des outils génératifs alimentés par Veracode \\ directement directement à partir de leur environnement de développement intégré (IDE).
Selon l'état de Veracode de la sécurité des logiciels, 45,9% des organisations ont une dette de sécurité critique.Le fait que ces données proviennent d'organisations qui testent activement leur logiciel avec une solution de haute qualité implique qu'il ne trouve pas de défauts qui sont le problème: il les répare.
L'année dernière, nous avons introduit Veracode Fix & # 8211;Un assistant AI qui peut prendre les résultats d'un scan statique Veracode et permettre aux développeurs d'appliquer des correctifs suggérés directement à leur code.Veracode Fix réduit le temps de recherche et de mise en œuvre d'un correctif pour une découverte donnée à quelques minutes, tout en gardant le développeur en contrôle.FIX a été implémenté dans le cadre de l'utilitaire CLI Veracode, qui est disponible pour Linux, Windows et MacOS.
UN…
Veracode is pleased to announce the availability of Veracode Fix capability in Veracode Scan for VS Code. Now developers can discover and remediate security flaws using Veracode\'s Generative AI-powered tools directly from their Integrated Development Environment (IDE). According to the Veracode State of Software Security, 45.9% of organizations have critical security debt. The fact that this data comes from organizations who are actively testing their software with a high-quality solution implies that it\'s not finding flaws that is the problem: it\'s fixing them. Last year we introduced Veracode Fix – an AI assistant that can take the results of a Veracode Static scan and allow developers to apply suggested fixes directly to their code. Veracode Fix cuts the time to research and implement a fix for a given finding to minutes, while still keeping the developer in control. Fix was implemented as part of the Veracode CLI utility, which is available for Linux, Windows, and MacOS. A… |
Tool | ★★★ | |
|
2024-02-26 15:17:44 | Étapes pratiques pour prévenir les vulnérabilités d'injection SQL Practical Steps to Prevent SQL Injection Vulnerabilities (lien direct) |
Dans le paysage numérique d'aujourd'hui, les applications Web et les API sont constamment menacées par des acteurs malveillants qui cherchent à exploiter les vulnérabilités.Une attaque commune et dangereuse est une injection SQL.
Dans ce blog, nous explorerons les vulnérabilités et les attaques de l'injection de SQL, comprendrons leur niveau de gravité et fournirons des étapes pratiques pour les empêcher.En mettant en œuvre ces meilleures pratiques, vous pouvez améliorer la sécurité de vos applications Web et API.
Comprendre les vulnérabilités et les attaques de l'injection SQL
Les attaques d'injection SQL se produisent lorsque les pirates manipulent les requêtes SQL d'une application \\ pour obtenir un accès non autorisé, altérer la base de données ou perturber la fonctionnalité de l'application \\.Ces attaques peuvent entraîner une usurpation d'identité, un accès aux données non autorisé et des attaques enchaînées.
L'injection SQL est une technique où les pirates injectent des requêtes SQL malveillantes dans la base de données backend d'une application Web.Cette vulnérabilité survient lorsque l'application accepte la saisie de l'utilisateur comme une instruction SQL que la base de données…
In today\'s digital landscape, web applications and APIs are constantly under threat from malicious actors looking to exploit vulnerabilities. A common and dangerous attack is a SQL injection. In this blog, we will explore SQL injection vulnerabilities and attacks, understand their severity levels, and provide practical steps to prevent them. By implementing these best practices, you can enhance the security of your web applications and APIs. Understanding SQL Injection Vulnerabilities and Attacks SQL injection attacks occur when hackers manipulate an application\'s SQL queries to gain unauthorized access, tamper with the database, or disrupt the application\'s functionality. These attacks can lead to identity spoofing, unauthorized data access, and chained attacks. SQL injection is a technique where hackers inject malicious SQL queries into a web application\'s backend database. This vulnerability arises when the application accepts user input as a SQL statement that the database… |
Vulnerability Threat Guideline Technical | ★★★ | |
|
2024-02-14 00:30:00 | Aborder la menace de la dette de sécurité: dévoiler l'état de la sécurité des logiciels 2024 Addressing the Threat of Security Debt: Unveiling the State of Software Security 2024 (lien direct) |
Aujourd'hui, je suis fier de partager notre 14e rapport annuel sur la sécurité des logiciels.Notre rapport de 2024 met en lumière la question urgente de la dette de sécurité dans les applications, et elle fournit un réveil aux organisations du monde entier.La demande de vitesse et d'innovation a entraîné l'accumulation de risques connus sous le nom de dette de sécurité.En tant que directeur de recherche chez Veracode, je me suis profondément engagé à permettre aux entreprises de faire face aux défis posés par la dette de sécurité.Soit \\ plonger.
Le paysage changeant des logiciels et de la cybersécurité
Nos recherches sur le rapport de 2024 ont commencé sur la base des résultats de notre rapport de 2023.Nous avons exploré des facteurs qui affectent l'introduction des défauts, les temps de correction et la dette de sécurité.Nous avons constaté que les applications augmentent d'environ 40% sur un an, quelle que soit leur taille d'origine.À mesure que ces applications grandissent et vieillissent, les défauts s'accumulent, ce qui a encore fait monter la dette de sécurité.
Cette année, nous avons cherché à comprendre: «À quel point la dette de sécurité est-elle vraiment risquée?Cela vaut-il la peine de vous attaquer?Et si c'est \\ '…
Today, I\'m proud to share our 14th annual State of Software Security report. Our 2024 report shines a spotlight on the pressing issue of security debt in applications, and it provides a wake-up call to organizations worldwide. The demand for speed and innovation has resulted in the accumulation of risk known as security debt. As Chief Research Officer at Veracode, I\'m deeply committed to empowering businesses to confront the challenges posed by security debt. Let\'s dive in. The Changing Landscape of Software and Cybersecurity Our 2024 report research began based on findings from our 2023 report. We explored factors that affect flaw introduction, remediation times, and security debt. We found that applications grow by about 40% year on year irrespective of their original size. As these apps grow and age, flaws accumulate, further driving up security debt. This year we sought to figure out, “How risky is security debt really? Is it worth tackling? And if it\'… |
Threat | ★★ | |
|
2024-02-05 10:45:38 | Un guide de démarrage pour Veracode Dast Essentials A Getting Started Guide to Veracode DAST Essentials (lien direct) |
La critique du rôle des tests de sécurité des applications dynamiques (DAST)
Les applications Web sont l'un des vecteurs les plus courants pour les attaques, représentant plus de 40% des violations, selon le rapport de violation de données de Verizon \\.Les tests de sécurité des applications dynamiques (DAST) sont une technique cruciale utilisée par les équipes de développement et les professionnels de la sécurité pour sécuriser les applications Web dans le cycle de vie du développement logiciel.
En fait, le rapport sur l'état de la sécurité des logiciels de Veracode \\ révèle que 80% des applications Web ont des vulnérabilités critiques qui ne peuvent être trouvées qu'avec une solution de test de sécurité des applications dynamiques.Mais les pratiques de développement de logiciels modernes hiérarchisent les délais serrés.La demande est des versions plus rapides sans introduire de vulnérabilités, ce qui rend difficile pour les équipes de hiérarchiser la sécurité.Les tests de sécurité doivent fonctionner et évoluer dans la fréquence de votre vitesse et de libération de DevOps.
Début avec Veracode Dast Essentials
Veracode Dast Essentials est une application dynamique…
The Critical of Role of Dynamic Application Security Testing (DAST) Web applications are one of the most common vectors for attacks, accounting for over 40% of breaches, according to Verizon\'s Data Breach Report. Dynamic application security testing (DAST) is a crucial technique used by development teams and security professionals to secure web applications in the software development lifecycle. In fact, Veracode\'s State of Software Security Report reveals that 80% of web applications have critical vulnerabilities that can only be found with a dynamic application security testing solution. But modern software development practices prioritize tight deadlines. The demand is for faster releases without introducing vulnerabilities, making it difficult for teams to prioritize security. Security testing needs to work and scale within your DevOps speed and release frequency. Getting Started with Veracode DAST Essentials Veracode DAST Essentials is a dynamic application… |
Data Breach Vulnerability | ★★ | |
|
2024-02-02 13:13:08 | Digital Operational Resilience Act (DORA): Conformité à partir d'un POV de sécurité logicielle Digital Operational Resilience Act (DORA): Compliance from a Software Security POV (lien direct) |
Les cadres réglementaires jouent un rôle crucial pour assurer la résilience et la sécurité des organisations.Un tel règlement qui a attiré une attention importante est la loi sur la résilience opérationnelle numérique (DORA).Voici les aspects clés de Dora, ainsi que des conseils sur la façon de garantir la conformité tout en réduisant les risques de manière mesurable à votre entreprise.
Dora Timeline et Aperçu
Dora, régie par trois autorités européennes - l'autorité bancaire, l'autorité d'assurance et les pensions et la Securities and Markets Authority - devrait entrer en vigueur le 17 janvier 2025. Cet acte vise à établir des exigences de sécurité pour les entreprises du secteur financier etleurs fournisseurs de services tiers.
Un moteur de la raison pour laquelle vous devez faire attention à Dora est que c'est un règlement et non une directive.Un règlement signifie que en janvier 2025, il est en effet sans rien avoir besoin de se produire en ce qui concerne la traduit en lois;Une directive le signifierait…
Regulatory frameworks play a crucial role in ensuring the resilience and security of organizations. One such regulation that has garnered significant attention is the Digital Operational Resilience Act (DORA). Here are the key aspects of DORA, as well as guidance for how to ensure compliance with it while measurably reducing risk to your business. DORA Timeline and Overview DORA, governed by three European authorities - the banking authority, the insurance and pension authority, and the securities and markets authority - is set to come into force on 17 January 2025. This act aims to establish security requirements for companies within the financial sector and their third-party service providers. One driving force behind why you need to pay attention to DORA is that it\'s a regulation and not a directive. A regulation means that come January 2025, it\'s in effect without anything else needing to happen as far as being translated into laws; a directive would mean it… |
★★★ | ||
|
2024-01-22 05:10:56 | Outils de sécurité cloud essentiels pour les devsecops efficaces Essential Cloud Security Tools for Effective DevSecOps (lien direct) |
La mise en œuvre d'une approche DevSecops est le facteur clé le plus impactant dans le coût total d'une violation de données.Les DevseCops réussis dans un monde natif du cloud sont aidés par les bons outils.Voici une poignée des outils de sécurité du cloud les plus essentiels et ce qu'il faut rechercher pour aider DevseCops.
Top outil de sécurité du cloud essentiel pour DevSecops: analyse de composition logicielle
L'analyse de la composition logicielle (SCA) est le pain et le beurre des outils de sécurité du cloud pour des Devsecops efficaces et la sécurisation de la chaîne d'approvisionnement des logiciels.
Pourquoi cela compte: les logiciels open source (OSS) sont pratiques, mais il est livré avec quelques captures.Il y a des vulnérabilités, des mises à jour manquées et un risque de licence pour s'inquiéter.C'est là où SCA entre en jeu.
SCA adopte une approche proactive pour trouver ces risques tôt.Quelques choses que vous souhaitez rechercher lorsque vous choisissez le bon outil SCA pour vous:
Contrôle continu
Rapports et analyses avec référence par les pairs
Guide de remédiation et suggestions
Dépendance…
Implementation of a DevSecOps approach is the most impactful key factor in the total cost of a data breach. Successful DevSecOps in a cloud-native world is aided by the right tools. Here are a handful of the most essential cloud security tools and what to look for in them to aid DevSecOps. Top Essential Cloud Security Tool for DevSecOps: Software Composition Analysis Software Composition Analysis (SCA) is the bread and butter of cloud security tools for effective DevSecOps and securing the software supply chain. Why it matters: open-source software (OSS) is handy, but it comes with a few catches. There are vulnerabilities, missed updates, and license risk to be worried about. That\'s where SCA comes in. SCA takes a proactive approach to finding these risks early. A few things you want to look out for when picking the right SCA tool for you: Continuous Monitoring Reporting & Analytics with Peer Benchmarking Remediation Guidance & Fix Suggestions Dependency… |
Data Breach Tool Vulnerability Cloud | ★★★ | |
|
2024-01-18 17:51:52 | Annonce de Veracode Scan: un plugin unifié Sast et SCA IDE Announcing Veracode Scan: A Unified SAST and SCA IDE Plugin (lien direct) |
Veracode est heureux d'annoncer la disponibilité d'une nouvelle numérisation de plugin-veracode de l'environnement de développement intégré (IDE).Le scan Veracode combine à la fois l'analyse statique Veracode (SAST) et l'analyse de composition logicielle (SCA) en un seul plugin.Cela permet aux développeurs de scanner rapidement des projets pour les faiblesses et les risques de sécurité dans les bibliothèques de code et de tiers.
Les avantages d'un plugin combiné et SCA
La numérisation des projets avec SCA et Sast est importante pour s'assurer que le code et les bibliothèques sont aussi sûrs que possible.La mise à disposition de ces outils dans l'IDE dans un seul plugin rend les vérifications de sécurité à la fois plus rapides et plus faciles à effectuer.Le code de numérisation au début du processus de développement de logiciels réduit à la fois le coût des défauts de réparation et les chances de défauts de la production.
Comment fonctionne le scan veracode
Le scan veracode s'occupe de l'emballage et de l'envoi d'artefacts au scanner statique Veracode, puis renvoie les résultats des analyses…
Veracode is pleased to announce the availability of a new Integrated Development Environment (IDE) Plugin-Veracode Scan. Veracode Scan combines both Veracode Static Analysis (SAST) and Software Composition Analysis (SCA) into a single plugin. This allows developers to quickly scan projects for security weaknesses and risks in both first-party code and third-party libraries. The Benefits of a Combined SAST and SCA Plugin Scanning projects with SCA and SAST is important to make sure that both the code and libraries are as safe as possible. Making these tools available natively in the IDE in a single plugin makes performing security checks both faster and easier to perform. Scanning code early in the software development process reduces both the cost of remediating flaws and the chances of flaws making it into production. How Veracode Scan Works Veracode Scan takes care of packaging and sending of artifacts to the Veracode static scanner, and then returns the results of scans… |
Tool | ★★★ | |
|
2024-01-16 12:16:39 | Mise en œuvre de l'IA: équilibrer les objectifs commerciaux et les exigences de sécurité Implementing AI: Balancing Business Objectives and Security Requirements (lien direct) |
L'intelligence artificielle (IA) et l'apprentissage automatique sont devenus des outils intégrés pour les organisations dans diverses industries.Cependant, l'adoption réussie de ces technologies nécessite un équilibre minutieux entre les objectifs commerciaux et les exigences de sécurité.Je me suis assis avec Glenn Schmitz, le directeur de la sécurité de l'information du Département de la santé comportementale et des services de développement en Virginie, alors qu'il partageait des informations précieuses sur la mise en œuvre de l'IA tout en garantissant la sécurité, la sécurité et les considérations éthiques.Voici quelques-uns des principaux plats à retenir.
Comprendre les objectifs commerciaux et les exigences de sécurité commence par les fondamentaux
Lorsque Schmitz a rejoint l'organisation, il a reconnu la nécessité de comprendre le niveau global de maturité de la sécurité.En alignant les objectifs de l'entreprise sur les exigences de sécurité, il visait à permettre à l'entreprise d'atteindre ses objectifs de manière sûre et sécurisée.
Schmitz a partagé: "J'ai commencé à un niveau très fondamental. La sécurité est là pour protéger l'entreprise et…
Artificial Intelligence (AI) and machine learning have become integral tools for organizations across various industries. However, the successful adoption of these technologies requires a careful balance between business objectives and security requirements. I sat down with Glenn Schmitz, the Chief Information Security Officer of the Department of Behavioral Health and Developmental Services in Virginia, as he shared valuable insights on implementing AI while ensuring safety, security, and ethical considerations. Here are some of the key takeaways. Understanding Business Objectives and Security Requirements Starts with Fundamentals When Schmitz joined the organization, he recognized the need to understand the overall security maturity level. By aligning business objectives with security requirements, he aimed to enable the business to achieve its goals in a safe and secure manner. Schmitz shared: "I started at a very fundamental level. Security is here to protect the business and… |
Tool | ★★ | |
|
2024-01-08 10:54:45 | Présentation de l'analyse dynamique MFA: prise en charge automatisée pour les configurations MFA Introducing Dynamic Analysis MFA: Automated Support for MFA Setups (lien direct) |
Veracode a récemment introduit une nouvelle fonctionnalité appelée Dynamic Analysis MFA, qui fournit une prise en charge automatisée des configurations d'authentification multi-facteurs (MFA) lors des analyses d'analyse dynamique.Cela élimine la nécessité de désactiver ou de prendre en charge manuellement vos configurations MFA lors de la réalisation de tests de sécurité.
Comprendre l'analyse dynamique MFA
Lorsque nous nous connectons aux applications, nous utilisons généralement un nom d'utilisateur et un mot de passe, qui est considéré comme une authentification à un facteur.Cependant, pour améliorer la sécurité et réduire le risque que les mots de passe sont perdus ou volés, l'authentification multi-facteurs (MFA) a été introduite.MFA ajoute une couche de sécurité supplémentaire en nécessitant une étape supplémentaire, comme l'utilisation d'une clé matérielle, la réception d'un SMS ou la saisie d'un code à partir d'une application Authenticator.
Le MFA est devenu plus courant pour les applications Web car la sécurité Web devient une priorité plus élevée, mais certains outils de test de sécurité obligent les utilisateurs à désactiver ou à prendre en charge manuellement leurs configurations de MFA lors des tests de sécurité des applications.Cela peut être…
Veracode has recently introduced a new feature called Dynamic Analysis MFA, which provides automated support for multi-factor authentication (MFA) setups during dynamic analysis scans. This eliminates the need for you to disable or manually support your MFA configurations when conducting security testing. Understanding Dynamic Analysis MFA When we log into applications, we usually use a username and password, which is considered one-factor authentication. However, to enhance security and reduce the risk of passwords being lost or stolen, multi-factor authentication (MFA) was introduced. MFA adds an extra layer of security by requiring an additional step, such as using a hardware key, receiving a text message, or entering a code from an authenticator app. MFA has become more common for web applications as web security becomes a higher priority, but some security testing tools require users to disable or manually support their MFA setups during application security testing. This can be… |
Tool | ★★ | |
|
2024-01-08 09:39:09 | Sécuriser JavaScript: meilleures pratiques et vulnérabilités communes Securing JavaScript: Best Practices and Common Vulnerabilities (lien direct) |
JavaScript est le langage de programmation le plus utilisé, selon la plus récente enquête sur les développeurs Stackoverflow.Bien que JavaScript offre une grande flexibilité et une grande facilité d'utilisation, il présente également des risques de sécurité qui peuvent être exploités par les attaquants.Dans ce blog, nous explorerons les vulnérabilités en JavaScript, les meilleures pratiques pour sécuriser votre code et les outils pour empêcher les attaques.
Comprendre les vulnérabilités JavaScript
Cet article explore les vulnérabilités communes liées à la sécurité JavaScript et fournit les meilleures pratiques pour sécuriser votre code.
Si vous manquez de temps, vous pouvez commencer par utiliser Veracode Dast Essentials, un scanner de sécurité JavaScript, pour identifier les vulnérabilités potentielles.L'exécution de cet outil générera rapidement des rapports, mettra en évidence vos vulnérabilités spécifiques et fournira des instructions claires sur la façon de les résoudre.
Vulnérabilités de code source javascript
Les développeurs JavaScript s'appuient généralement sur l'intégration de nombreux packages et bibliothèques publiques ou open source contenant…
JavaScript is the most commonly-used programing language, according to the most recent StackOverflow developer survey. While JavaScript offers great flexibility and ease of use, it also introduces security risks that can be exploited by attackers. In this blog, we will explore vulnerabilities in JavaScript, best practices to secure your code, and tools to prevent attacks. Understanding JavaScript Vulnerabilities This article explores the common vulnerabilities related to JavaScript security and provides best practices to secure your code. If you\'re short on time, you can begin by using Veracode DAST Essentials, a JavaScript security scanner, to identify potential vulnerabilities. Running this tool will quickly generate reports, highlight your specific vulnerabilities, and provide clear instructions on how to remediate them. JavaScript Source Code Vulnerabilities JavaScript developers typically rely on integrating numerous public or open-source packages and libraries containing… |
Tool Vulnerability | ★★ | |
|
2024-01-04 13:35:17 | Que rechercher dans un scanner de vulnérabilité open source What To Look For in an Open Source Vulnerability Scanner (lien direct) |
L'une des principales préoccupations de sécurité que nous entendons des leaders de la technologie concerne la sécurité des logiciels open source (OSS) et le développement de logiciels cloud.Un scanner de vulnérabilité open source (pour la numérisation OSS) vous aide à découvrir le risque dans le code tiers que vous utilisez.Cependant, ce n'est pas parce qu'une solution scanne l'open source que vous réduisez finalement le risque de sécurité.Voici ce qu'il faut rechercher dans un scanner de vulnérabilité open source et une solution de test de sécurité pour trouver et corriger les vulnérabilités dans l'OSS.
Contexte sur les vulnérabilités en open source et à quoi ressemble le risque
Avant de pouvoir parler de ce qu'il faut rechercher dans une solution de numérisation, nous devons parler des vulnérabilités que les outils recherchent.Né en 1999, la base de données nationale de vulnérabilité (NVD) était un produit de l'Institut national des normes et de la technologie (NIST) conçu pour être «le référentiel du gouvernement américain des données de gestion de la vulnérabilité basées sur les normes».Il représente un indice des vulnérabilités connues…
One of the top security concerns we hear from technology leaders is about the security of open source software (OSS) and cloud software development. An open source vulnerability scanner (for scanning OSS) helps you discover risk in the third-party code you use. However, just because a solution scans open source does not mean you are ultimately reducing security risk with it. Here is what to look for in an open source vulnerability scanner and security testing solution to find and fix vulnerabilities in OSS. Background on Vulnerabilities in Open Source and What the Risk Looks Like Before we can talk about what to look for in a scanning solution, we need to talk about the vulnerabilities the tools are looking for. Born in 1999, the National Vulnerability Database (NVD) was a product of the National Institute of Standards and Technology (NIST) made to be “the U.S. government repository of standards based vulnerability management data.” It represents an index of known vulnerabilities… |
Tool Vulnerability Cloud | ★★★ | |
|
2024-01-02 18:16:59 | Utilisation de la correction de Veracode pour résoudre un défaut d'injection SQL Using Veracode Fix to Remediate an SQL Injection Flaw (lien direct) |
Introduction
Dans cette première dans une série d'articles visant à résoudre les défauts communs à l'aide de Veracode Fix & # 8211;Veracode \'s Ai Security Remediation Assistant, nous examinerons la recherche et la réparation de l'un des types de défauts les plus courants et les plus persistants & # 8211;Une attaque d'injection SQL.
Une attaque d'injection SQL est un exploit malveillant où un attaquant injecte du code SQL non autorisé dans les champs d'entrée d'une application Web, visant à manipuler la base de données de l'application \\.En manipulant les paramètres d'entrée, les attaquants peuvent inciter l'application à exécuter des commandes SQL non désirées.Cela peut entraîner un accès non autorisé, une récupération des données, une modification ou même une suppression.Les attaques réussies d'injection SQL compromettent l'intégrité des données et la confidentialité, posant de graves risques de sécurité.
Exemple de code et d'analyse
Soit \\ une faiblesse dans le code source de l'application Verademo délibérément vulnérable (et disponible librement), en particulier le fichier source userController.java trouvé dans le référentiel d'application dans…
Introduction In this first in a series of articles looking at how to remediate common flaws using Veracode Fix – Veracode\'s AI security remediation assistant, we will look at finding and fixing one of the most common and persistent flaw types – an SQL injection attack. An SQL injection attack is a malicious exploit where an attacker injects unauthorized SQL code into input fields of a web application, aiming to manipulate the application\'s database. By manipulating input parameters, attackers can trick the application into executing unintended SQL commands. This can lead to unauthorized access, data retrieval, modification, or even deletion. Successful SQL injection attacks compromise data integrity and confidentiality, posing serious security risks. Example Code and Analysis Let\'s look at a weakness in the source code of the deliberately vulnerable (and freely available) Verademo application, specifically the UserController.java source file found in the application repository in… |
Threat | ★★ | |
|
2023-12-21 11:35:53 | Derrière la reconnaissance: pourquoi nous croyons que nous sommes un Gartner & Reg;Clients de Peer Insights ™ ™ \\ 'Choice 2023 Behind the Recognition: Why We Believe We\\'re a Gartner® Peer Insights™ Customers\\' Choice 2023 (lien direct) |
Alors que 2023 touche à sa fin, nous visons à inspirer l'excellence en mettant en évidence le dévouement de nos clients à un monde plus sûr.Grâce à vous, nous sommes honorés d'être (pour la quatrième année consécutive) reconnue comme un Gartner & Reg en 2023;PEER Insights ™ Clients \\ 'Choice.Soit \\ explorer certaines des histoires qui rendent cette reconnaissance possible.
Veracode a nommé un 2023 Gartner & Reg;Clients de Peer Insights ™ ™ \\ 'Choix pour la quatrième année consécutive
Veracode est reconnu par Gartner & Reg;Peer Insights ™ en 2023 en tant que client \\ 'choix pour les tests de sécurité des applications & # 8211;pour la quatrième année consécutive.Cette distinction, plus en détail ci-dessous, est basée sur la réunion ou la dépassement de l'intérêt, de l'adoption et de l'expérience globale des utilisateurs.
Nous croyons ce qui fait de Veracode un Gartner & Reg;Le choix des clients de Peer Insights ™ ™ pour la quatrième année consécutive est ce que nous appelons: obsession du client.Nous nous efforçons constamment de comprendre à la fois les problèmes et North Star à nos clients confrontés afin que nous puissions être le partenaire dont vous avez vraiment besoin.
Notre partenariat: histoires…
As 2023 comes to a close, we aim to inspire excellence by highlighting our customers\' dedication to a more secure world. Thanks to you, we are honored to be (for the fourth consecutive year) recognized as a 2023 Gartner® Peer Insights™ Customers\' Choice. Let\'s explore some of the stories that make this recognition possible. Veracode Named a 2023 Gartner® Peer Insights™ Customers\' Choice for the Fourth Consecutive Year Veracode is recognized by Gartner® Peer Insights™ in 2023 as a Customers\' Choice for Application Security Testing – for the fourth consecutive year. This distinction, in more detail below, is based on meeting or exceeding user interest, adoption, and overall experience. We believe what makes Veracode a Gartner® Peer Insights™ Customers\' Choice for the fourth consecutive year is what we call: customer obsession. We constantly strive to understand both the problems and North Star our customers face so we can be the partner you truly need. Our Partnership: Stories… |
Commercial | ★★ | |
|
2023-12-20 14:21:01 | 4 façons dont le correctif Veracode change la donne pour DevSecops 4 Ways Veracode Fix Is a Game Changer for DevSecOps (lien direct) |
Dans le monde en évolution rapide du développement de logiciels, trop souvent la sécurité prend le siège arrière pour respecter des délais stricts et fournir de nouvelles fonctionnalités.La découverte du logiciel a accumulé une dette de sécurité substantielle qui prendra des mois à réparer peut arnaquer les horaires des meilleures équipes de développement.
Un outil propulsé par l'IA qui aide les développeurs à résoudre les défauts devient un atout inestimable dans ce contexte.Dans Veracode Fix, nous avons exploité les capacités de l'IA générative pour construire un outil spécialisé qui permet aux développeurs de remédier aux défauts en quelques minutes sans écrire manuellement une seule ligne de code.
Regardez cette démo de 3 minutes de la façon dont vous pouvez facilement prendre du code défectueux et utiliser la correction de Veracode pour générer des suggestions de correction facilement implémentées.
4 avantages majeurs de la correction du Veracode dans DevSecops
Voici quatre façons dont Veracode corrige les suraliments de DevseCops et votre SDLC avec l'assainissement rapide des défauts de sécurité.
1. Abattre la dette de sécurité avec une réparation rapide des défauts
L'un des plus importants…
In the fast-paced world of software development, too often security takes a backseat to meeting strict deadlines and delivering new features. Discovering software has accrued substantial security debt that will take months to fix can rip up the schedules of even the best development teams. An AI-powered tool that assists developers in remediating flaws becomes an invaluable asset in this context. In Veracode Fix, we\'ve harnessed the capabilities of generative AI to build a specialized tool that allows developers to remediate flaws within minutes without manually writing a single line of code. Watch this 3-minute demo of how you can easily take flawed code and use Veracode Fix to generate easily-implemented remediation suggestions. 4 Major Benefits of Veracode Fix in DevSecOps Here are four ways that Veracode Fix supercharges DevSecOps and your SDLC with the swift remediation of security flaws. 1. Tackle Security Debt with Rapid Flaw Remediation One of the most significant… |
Tool | ★★★ | |
|
2023-12-14 12:07:06 | Ce que nos experts en sécurité ont discuté chez AWS RE: Invent 2023 What Our Security Experts Discussed at AWS re:Invent 2023 (lien direct) |
Le paysage du codage change alors que les développeurs adoptent l'IA, l'automatisation, les microservices et les bibliothèques tierces pour stimuler la productivité.Bien que chaque nouvelle approche améliore l'efficacité, comme une épée à double tranchant, les défauts et les vulnérabilités sont également introduits plus rapidement que les équipes ne peuvent les réparer.Découvrez l'une des dernières innovations qui résolvent cela dans un récapitulatif de ce que nos experts en sécurité ont discuté chez AWS RE: Invent 2023.
Veracode Fix: un changeur de jeu en régime pour les développeurs pour les développeurs
Au cours de leur segment AWS on Air, nos experts, vice-président de la gestion stratégique des produits, Tim Jarrett, et l'architecte des solutions seniors, Eric Kim, ont partagé comment Veracode Fix est un nouvel outil de changement de jeu qui aide les développeurs à réduire le processus de rétablissement des défauts depuis des moisà quelques minutes.
Tirant la puissance de l'IA, l'outil permet aux développeurs de réduire facilement les problèmes de sécurité en générant des correctifs suggérés pour le code existant qui est défectueux et vulnérable.
Alors que de nombreux outils de codage alimentés par l'IA sont conçus pour aider à écrire…
The landscape of coding is changing as developers embrace AI, automation, microservices, and third-party libraries to boost productivity. While each new approach enhances efficiency, like a double-edged sword, flaws and vulnerabilities are also introduced faster than teams can fix them. Learn about one of the latest innovations solving this in a recap of what our security experts discussed at AWS re:Invent 2023. Veracode Fix: A Game Changer in Flaw Remediation for Developers During their AWS on Air segment, our experts, Vice President of Strategic Product Management, Tim Jarrett, and Senior Solutions Architect, Eric Kim, shared how Veracode Fix is a new game-changing tool that helps developers cut down the flaw remediation process from months to minutes. Leveraging the power of AI, the tool allows developers to easily reduce security issues by generating suggested fixes for existing code that is flawed and vulnerable. While many AI-powered coding tools are designed to help write… |
Tool Vulnerability | ★★★ | |
|
2023-12-07 13:23:31 | État des vulnérabilités log4j: combien Log4Shell a-t-il changé? State of Log4j Vulnerabilities: How Much Did Log4Shell Change? (lien direct) |
Le 9 décembre, deux ans depuis que le monde a été très alerte en raison de ce qui a été considéré comme l'une des vulnérabilités les plus critiques de tous les temps: log4shell.La vulnérabilité qui a porté la cote de gravité la plus élevée possible (10,0) était dans Apache Log4J, un cadre de journalisation Java omniprésent que Veracode a estimé à l'époque a été utilisé dans 88% des organisations.
Si exploité, la vulnérabilité du jour zéro (CVE-2021-44228) dans les versions log4j log4j2 2.0-beta9 à 2.15.0 (excluant les versions de sécurité 2.12.2, 2.12.3 et 2.3.1) permettrait aux attaquants une télécommande une télécommande 2.12.2, 2.12.3 et 2.3.1) permettrait aux attaquants une télécommande une distance à distanceExécution de code (RCE) Attaquez et compromettez le serveur affecté.
Il a déclenché un effort massif pour corriger les systèmes affectés, estimés à des centaines de millions.L'apocalypse que beaucoup craignait ne se produisait pas, mais compte tenu de son omniprésence, le comité d'examen du cyber-sécurité du département américain de la sécurité intérieure \\ a déterminé que la correction de Log4Shell prendrait une décennie.
L'anniversaire de deux ans de Log4Shell est un bon…
December 9 marks two years since the world went on high alert because of what was deemed one of the most critical zero-day vulnerabilities ever: Log4Shell. The vulnerability that carried the highest possible severity rating (10.0) was in Apache Log4j, an ubiquitous Java logging framework that Veracode estimated at the time was used in 88 percent of organizations. If exploited, the zero-day vulnerability (CVE-2021-44228) in Log4j versions Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) would allow attackers to perform a remote code execution (RCE) attack and compromise the affected server. It triggered a massive effort to patch affected systems, estimated to be in the hundreds of millions. The apocalypse that many feared didn\'t happen, but given its pervasiveness, the U.S. Department of Homeland Security\'s Cyber Safety Review Board determined that fully remediating Log4Shell would take a decade. The two-year anniversary of Log4Shell is a good… |
Vulnerability Threat | ★★ | |
|
2023-12-04 12:06:25 | Recommandations de gestion de la vulnérabilité open source pour 2024 Open Source Vulnerability Management Recommendations for 2024 (lien direct) |
En marchant en 2024, la dynamique de la gestion de la vulnérabilité open source change.Des changements rapides au développement de logiciels exigent une approche plus nuancée de la sécurité open source des praticiens.De la redéfinition du risque à l'intégration prudente de la rééducation automatique, voici les recommandations pivots pour une gestion réussie de la vulnérabilité open source en 2024 et au-delà.
1. Embrassez la permanence des vulnérabilités open source (et it \\)
Nous le connaissons depuis des années;L'Open Source est là pour rester.Le rapport OctOverOverse de GitHub \\ nous indique: «Un énorme 97% des applications exploitent le code open-source, et 90% des entreprises postulent ou l'utilisent d'une manière ou d'une autre.»
La permanence (et le risque) de l'open source est prouvée par le décret exécutif de la Maison Blanche sur l'amélioration de la cybersécurité de la nation.Il accorde une énorme importance à la gestion de la vulnérabilité open source, l'appelant spécifiquement: «Les développeurs utilisent souvent des composants logiciels open source et tiers disponibles pour créer un produit ...…
Stepping in 2024, the dynamics of open source vulnerability management are shifting. Rapid changes to software development demand a more nuanced approach to open source security from practitioners. From redefining risk to the cautious integration of auto-remediation, here are the pivotal recommendations for successful open source vulnerability management in 2024 and beyond. 1. Embrace the Permanence of Open Source (& It\'s Vulnerabilities) We\'ve known it for years; open source is here to stay. Github\'s Octoverse report tells us: “A whopping 97% of applications leverage open-source code, and 90% of companies are applying or using it in some way.” The permanence (and risk) of open source is proven by the White House\'s Executive Order on Improving the Nation\'s Cybersecurity. It places huge importance on open source vulnerability management, calling it out specifically: “Developers often use available open source and third-party software components to create a product...… |
Vulnerability | ★★★ | |
|
2023-12-04 10:39:37 | Comment l'analyse dynamique vous aide à améliorer l'automatisation des DevSecops How Dynamic Analysis Helps You Enhance Automation for DevSecOps (lien direct) |
DevSecops, également connu sous le nom de DevOps sécurisé, représente un état d'esprit dans le développement de logiciels qui maintient tout le monde responsable de la sécurité des applications.En favorisant la collaboration entre les développeurs et les opérations informatiques et en dirigeant les efforts collectifs vers une meilleure prise de décision de sécurité, les équipes de développement peuvent fournir des logiciels plus sûrs avec une plus grande vitesse et une plus grande efficacité.
Malgré ses avantages, la mise en œuvre de DevSecops peut introduire des frictions dans le processus de développement.Les outils traditionnels pour tester le code et évaluer le risque de sécurité des applications n'ont tout simplement pas été conçu pour la vitesse dont les tests DevOps ont besoin.
Pour naviguer dans ces défis, les équipes de développement doivent commencer avec des outils de test automatisés, car le fait de s'appuyer sur les processus manuels ne peut pas suivre le rythme des délais de développement accélérés.L'automatisation est considérée comme clé pour l'intégration continue de l'analyse de la sécurité et l'atténuation des menaces des flux de travail dynamiques.En tant qu'extension des principes DevOps, DevSecops Automation aide à intégrer les tests de sécurité…
DevSecOps, also known as secure DevOps, represents a mindset in software development that holds everyone accountable for application security. By fostering collaboration between developers and IT operations and directing collective efforts towards better security decision-making, development teams can deliver safer software with greater speed and efficiency. Despite its merits, implementing DevSecOps can introduce friction into the development process. Traditional tools for testing code and assessing application security risk simply weren\'t built for the speed that DevOps testing requires. To navigate these challenges, development teams need to start with automated testing tools, as relying on manual processes can\'t possibly keep pace with accelerated development timelines. Automation is considered key to continuous integration of security analysis and threat mitigation of dynamic workflows. As an extension of DevOps principles, DevSecOps automation helps integrate security testing… |
Tool Threat | ★★★ | |
|
2023-12-01 13:50:00 | Empêcher les vulnérabilités de contrôle d'accès brisé dans les applications Web Preventing Broken Access Control Vulnerabilities in Web Applications (lien direct) |
Comprendre le contrôle d'accès brisé
Le contrôle d'accès est crucial pour le développement Web moderne car il permet à la gestion de la façon dont les utilisateurs, les processus et les appareils devraient se voir accorder des autorisations aux fonctions et aux ressources d'application.Les mécanismes de contrôle d'accès déterminent également le niveau d'accès autorisé et manifeste les activités menées par des entités spécifiques.Les vulnérabilités de contrôle d'accès cassé surviennent lorsqu'un utilisateur malveillant abuse des contraintes sur les actions qu'ils sont autorisés à effectuer ou les objets auxquels ils peuvent accéder.Les attaquants exploitent généralement les défaillances du contrôle d'accès pour obtenir un accès non autorisé aux ressources dans l'application Web, exécuter des commandes malveillantes ou obtenir une autorisation de l'utilisateur privilégié.
Ce blog traite des vulnérabilités de contrôle d'accès cassées et des techniques de prévention courantes pour mieux sécuriser vos applications Web.
Les problèmes de contrôle d'accès permettent aux utilisateurs non autorisés d'accéder, de modifier et de supprimer des ressources ou d'effectuer des actions qui dépassent leurs autorisations prévues.Accès cassé…
Understanding Broken Access Control Access control is crucial for modern web development as it enables the management of how users, processes, and devices should be granted permissions to application functions and resources. Access control mechanisms also determine the level of access permitted and manifest activities carried out by specific entities. Broken access control vulnerabilities arise when a malicious user abuses the constraints on the actions they are allowed to perform or the objects they can access. Attackers typically leverage access control failures to gain unauthorized access to resources within the web application, run malicious commands, or gain a privileged user\'s permission. This blog discusses broken access control vulnerabilities and common prevention techniques to better secure your web applications. Access control issues enable unauthorized users to access, modify, and delete resources or perform actions that exceed their intended permissions. Broken access… |
Vulnerability | ★★ | |
|
2023-11-27 16:01:16 | Top 5 des risques de sécurité open source Les dirigeants informatiques doivent connaître Top 5 Open Source Security Risks IT Leaders Must Know (lien direct) |
Se cacher dans les logiciels open source (OSS) qui imprègnent les applications du monde entier sont des risques de sécurité open source Les leaders de la technologie doivent être conscients.Le logiciel est l'un des sous-ensembles les plus vulnérables de la technologie avec plus de 70% des applications contenant des défauts de sécurité.Voici les risques de sécurité open source Les leaders informatiques doivent être conscients de protéger la technologie et de l'aider à évoluer en toute sécurité.
Pourquoi aborder les risques de sécurité des logiciels open source
Le 9 décembre 2021, un tweet a exposé une vulnérabilité dans la bibliothèque OSS largement utilisée Log4J.Il ne fallait pas longtemps avant que les attaquants du monde entier ne travaillent pour exploiter la vulnérabilité log4j.Cet incident a été un signal d'alarme à la façon dont la sécurité d'une bibliothèque peut changer rapidement et des mesures proactives doivent être en place pour se protéger de ce danger.
Log4j n'est qu'un exemple de la façon dont les vulnérabilités de l'open source posent des risques importants qui peuvent avoir un impact sur les opérations, la sécurité des données et la santé informatique globale.Les choix technologiques stratégiques peuvent avoir un impact important sur la quantité…
Lurking in the open source software (OSS) that pervades applications around the world are open source security risks technology leaders must be aware of. Software is one of technology\'s most vulnerable subsets with over 70% of applications containing security flaws. Here are the open source security risks IT leaders must be aware of to protect technology and help it scale safely. Why Address Open Source Software Security Risks On December 9, 2021, a Tweet exposed a vulnerability in the widely-used OSS library Log4j. It didn\'t take long before attackers around the world were working to exploit the Log4j vulnerability. This incident was a wake-up call to how the security of a library can quickly change and proactive measures must be in place to protect from this danger. Log4j is just one example of how vulnerabilities in open source pose significant risks that can impact operations, data security, and overall IT health. Strategic technology choices can make a big impact on how much… |
Vulnerability Threat | ★★ | |
|
2023-11-20 19:09:05 | DevseCops Best Practices: Tireing Veracode Dast Essentials DevSecOps Best Practices: Leveraging Veracode DAST Essentials (lien direct) |
DevSecops est une approche moderne du développement de logiciels qui met en œuvre la sécurité en tant que responsabilité partagée tout au long du développement des applications, du déploiement et des opérations.En tant qu'extension des principes DevOps, DevSecops aide votre organisation à intégrer les tests de sécurité tout au long du cycle de vie de développement logiciel.
Dans ce blog, nous discutons les meilleures pratiques de DevSecops et les étapes pratiques pour produire des logiciels sécurisés.
Comprendre DevOps
DevOps est un ensemble de pratiques qui combine le développement de logiciels (DEV) et les opérations informatiques (OPS).Il vise à raccourcir le cycle de vie du développement et à vous aider à fournir des logiciels plus rapidement.DevOps est complémentaire du développement de logiciels agiles;Plusieurs aspects DevOps provenaient de la méthodologie Agile.
Le concept de pratiques et d'agilité DevOps n'est pas nouveau pour la plupart des entreprises et des développeurs - les cadres les plus connus (par exemple, Scrum, XP, etc.) sont appliqués dans de nombreuses équipes dans les organisations.
La puissance des DevSecops
DevOps vise principalement à accélérer le…
DevSecOps is a modern approach to software development that implements security as a shared responsibility throughout application development, deployment, and operations. As an extension of DevOps principles, DevSecOps helps your organization integrate security testing throughout the software development life cycle. In this blog, we discuss DevSecOps best practices and practical steps to producing secure software. Understanding DevOps DevOps is a set of practices that combines software development (Dev) and IT operations (Ops). It aims to shorten the development life cycle and help you deliver software faster. DevOps is complementary to agile software development; several DevOps aspects came from the agile methodology. The concept of DevOps practices and agility is nothing new for most companies and developers - most well-known frameworks (e.g., Scrum, XP, etc.) are applied in many teams throughout organizations. The Power of DevSecOps DevOps primarily aims to expedite the… |
★★ | ||
|
2023-11-15 12:31:18 | Les nouvelles données révèlent les meilleurs moteurs de logiciels sécurisés dans le secteur des services financiers New Data Reveals Top Drivers of Secure Software in Financial Services Sector (lien direct) |
Partout dans le monde, le secteur des services financiers est affecté par l'augmentation des réglementations de sécurité.Pour n'en nommer que quelques-uns, il y a le décret des États-Unis sur l'amélioration de la cybersécurité de la nation, la directive NIS2 de l'Union européenne, les nouvelles règles de la Sec \\ sur les divulgations et ISO 20022.Avec tant de pression sur le secteur, Veracode est fier de présenter de nouvelles données, en examinant spécifiquement les organisations de cette industrie, qui révèle que les meilleures équipes de sécurité des conducteurs peuvent utiliser pour réduire mesurablement le risque de sécurité des logiciels.
"La performance de sécurité des applications financières surpasse généralement les autres secteurs, avec l'automatisation, la formation ciblée en matière de sécurité et la numérisation via l'interface de programmation d'applications (API) contribuant à une réduction d'une année sur l'autre du pourcentage d'applications contenant des défauts", a partagé notre communiqué de presseCouverture de la recherche le 25 octobre 2023.
Soit \\ disséquer cette recherche de l'état de la sécurité logicielle 2023 plus en détail dans les services financiers.
Données…
Across the globe, the financial services sector is affected by increased security regulations. To name a few, there is the United States\' Executive Order on Improving the Nation\'s Cybersecurity, the European Union\'s NIS2 Directive, the SEC\'s new rules on disclosures, and ISO 20022. With so much pressure on the sector, Veracode is proud to present new data, looking specifically at organizations in this industry, that reveals the top drivers security teams can employ to measurably reduce their software security risk. "The security performance of financial applications generally outperforms other industries, with automation, targeted security training, and scanning via Application Programming Interface (API) contributing to a year-over-year reduction in the percentage of applications containing flaws,” shared our press release coverage of the research on 25 October, 2023. Let\'s dissect this research from the State of Software Security 2023 in Financial Services in more detail. Data… |
★★ | ||
|
2023-11-12 22:55:15 | Sécuriser vos applications Web et vos API avec Veracode Dast Essentials Securing Your Web Applications and APIs with Veracode DAST Essentials (lien direct) |
Les applications Web sont l'un des vecteurs les plus courants pour les violations, représentant plus de 40% des violations selon le rapport de violation de données de Verizon \'s 2022.S'assurer que vos applications Web sont suffisamment protégées et continuent d'être surveillées une fois qu'elles sont en production est essentielle à la sécurité de vos clients et de votre organisation.
Rester en avance sur la menace
Les attaquants recherchent constamment de nouvelles façons d'exploiter les vulnérabilités et de violer les applications Web, ce qui signifie que à mesure que leurs méthodes mûrissent et deviennent plus agressives, même les applications les plus développées peuvent devenir vulnérables.Les organisations qui effectuent uniquement des tests de pénétration annuelle sur leurs applications Web peuvent se laisser ouvertes à une violation qui pourrait être facilement empêchée par une analyse de production régulière.
La sécurité des applications décrit une collection de processus et d'outils axés sur l'identification, la correction et la prévention des vulnérabilités au niveau des applications tout au long du développement logiciel…
Web applications are one of the most common vector for breaches, accounting for over 40% of breaches according to Verizon\'s 2022 Data Breach Report. Ensuring that your web applications are sufficiently protected and continue to be monitored once they are in production is vital to the security of your customers and your organization. Staying Ahead of the Threat Attackers are constantly looking for new ways to exploit vulnerabilities and to breach web applications, which means that as their methods mature and they become more aggressive, even the most securely developed applications can become vulnerable. Organizations that only perform annual penetration tests on their web applications may be leaving themselves open to a breach that could be easily prevented with regular production scanning. Application security outlines a collection of processes and tools focused on identifying, remediating, and preventing application-level vulnerabilities throughout the entire software development… |
Data Breach Tool Vulnerability Threat | ★★ | |
|
2023-11-07 17:37:50 | Sécuriser les API: étapes pratiques pour protéger votre logiciel Securing APIs: Practical Steps to Protecting Your Software (lien direct) |
Dans le monde dynamique du développement de logiciels, les interfaces de programmation d'applications (API) servent de conduits essentiels, facilitant l'interaction transparente entre les composants logiciels.Cette interface intermédiaire rationalise non seulement le développement, mais permet également aux équipes logicielles de réutiliser le code.Cependant, la prévalence croissante des API dans les affaires modernes est accompagnée de défis de sécurité.C'est pourquoi nous avons créé ce billet de blog - pour vous fournir des étapes exploitables pour améliorer la sécurité de vos API aujourd'hui.
Comprendre la sécurité de l'API
La sécurité de l'API s'étend au-delà de la protection des services backend d'une application, y compris des éléments tels que des bases de données, des systèmes de gestion des utilisateurs et des composants interagissant avec les magasins de données.Il s'agit d'adopter divers outils et pratiques pour renforcer l'intégrité de votre pile technologique.Une forte stratégie de sécurité des API réduit le risque d'accès non autorisé et d'actions malveillantes, assurant la protection des informations sensibles.
Explorer les vulnérabilités API
Malgré la…
In the dynamic world of software development, Application Programming Interfaces (APIs) serve as essential conduits, facilitating seamless interaction between software components. This intermediary interface not only streamlines development but also empowers software teams to reuse code. However, the increasing prevalence of APIs in modern business comes with security challenges. That\'s why we\'ve created this blog post - to provide you with actionable steps to enhance the security of your APIs today. Understanding API Security API Security extends beyond protecting an application\'s backend services, including elements such as databases, user management systems, and components interacting with data stores. It involves adopting diverse tools and practices to strengthen the integrity of your tech stack. A strong API security strategy reduces the risk of unauthorized access and malicious actions, ensuring the protection of sensitive information. Exploring API Vulnerabilities Despite the… |
Tool Guideline | ★★ | |
|
2023-11-02 13:45:06 | SAST vs. DAST for Security Testing: Unveiling the Differences (lien direct) | Les tests de sécurité des applications (AST) comprennent divers outils, processus et approches pour scanner des applications pour découvrir des problèmes de sécurité potentiels.Les tests de sécurité des applications statiques (SAST) et les tests de sécurité des applications dynamiques (DAST) sont des approches de test de sécurité populairement utilisées qui suivent différentes méthodologies de codes d'application de numérisation à différentes étapes d'un cycle de vie de développement logiciel.
Sast suit une approche de test de boîte blanche pour analyser le code source, le code d'octets et les binaires pour identifier les vulnérabilités exploitables et les erreurs de codage.D'un autre côté, DAST met en œuvre une méthode de test de la boîte noire, où les ingénieurs de sécurité analysent les charges utiles simulées d'attaque via le frontal de l'application sans exposer des informations internes sur la construction interne de l'application \\.
Dans ce blog, nous discuterons des approches de tests de Sast et de Dast, comment ils aident à détecter les vulnérabilités et les défaillances des applications, leurs différences et les meilleurs cas d'utilisation.
Application statique…
Application Security Testing (AST) encompasses various tools, processes, and approaches to scanning applications to uncover potential security issues. Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST) are popularly used security testing approaches that follow different methodologies of scanning application codes across different stages of a software development lifecycle. SAST follows a white-box testing approach to analyze the source code, byte code, and binaries to identify exploitable vulnerabilities and coding errors. On the other hand, DAST implements a black-box testing method, where security engineers parse simulated attack payloads through the application\'s front end without exposing internal information on the application\'s internal construct. In this blog, we will discuss SAST and DAST testing approaches, how they help detect vulnerabilities and application failures, their differences, and best use cases. Static Application… |
Tool Vulnerability | ★★ | |
|
2023-11-01 14:51:15 | Comment le décret exécutif sur l'intelligence artificielle aborde le risque de cybersécurité How Executive Order on Artificial Intelligence Addresses Cybersecurity Risk (lien direct) |
Contrairement aux années 1800, lorsqu'un frein de sécurité a augmenté l'acceptation des ascenseurs par le public, l'intelligence artificielle (IA) a été acceptée par le public bien avant que les garde-corps ne soient."Chatgpt comptait 1 million d'utilisateurs dans les cinq premiers jours d'être disponibles", partage Forbes.Près d'un an plus tard, le 30 octobre 2023, le président Biden a publié un décret «pour s'assurer que l'Amérique ouvre la voie à saisir la promesse et à gérer les risques de l'intelligence artificielle (IA)».Voici ce que le décret exécutif est correct sur le fait de traiter le risque et la promesse de cybersécurité posés par l'IA.
Aperçu des points clés dans le décret sur l'intelligence artificielle
Avant de plonger plus profondément dans quelques aspects cyber-spécifiques du décret exécutif sur l'intelligence artificielle, que \\ regarde certains des points clés et des objectifs inclus dans cet ordre de grande envergure.
D'exiger que «les développeurs des systèmes d'IA les plus puissants partagent leurs résultats de test de sécurité et d'autres informations critiques avec le gouvernement américain» à…
Unlike in the 1800s when a safety brake increased the public\'s acceptance of elevators, artificial intelligence (AI) was accepted by the public much before guardrails came to be. “ChatGPT had 1 million users within the first five days of being available,” shares Forbes. Almost a year later, on October 30, 2023, President Biden issued an Executive Order “to ensure that America leads the way in seizing the promise and managing the risks of artificial intelligence (AI).” Here\'s what the Executive Order gets right about addressing cybersecurity risk and promise posed by AI. Overview of Key Points in the Executive Order on Artificial Intelligence Before diving more deeply into a few cyber-specific aspects of the Executive Order on Artificial Intelligence, let\'s look at some of the key points and goals included in this far-reaching order. From requiring “developers of the most powerful AI systems share their safety test results and other critical information with the U.S. government” to… |
Legislation | ChatGPT | ★★★ |
|
2023-10-30 13:54:34 | Les 6 meilleures pratiques de sécurité de l'application Web DevOps Meilleures Top 6 DevOps Web Application Security Best Practices (lien direct) |
Dans le monde d'aujourd'hui, l'importance d'incorporer les meilleures pratiques de sécurité des applications Web ne peut pas être surestimée.Des études récentes montrent que les applications Web sont le meilleur vecteur d'attaque dans près de 80% des incidents.La bonne nouvelle est que les processus DevOps se prêtent à des pratiques de sécurité intégrées.Voici les six meilleures pratiques pour tisser de manière transparente la sécurité des applications Web dans DevOps.
Le rôle des meilleures pratiques de sécurité des applications Web dans DevOps
La pierre angulaire d'une pratique de DevOps réussie est l'automatisation;C'est pourquoi l'automatisation de la sécurité dans les workflows (DevSecops) a tellement de sens.DevSecops est à laçage à chaque étape du processus DevOps et pratique avec la sécurité.
En ajoutant de la sécurité à chaque étape du cycle de vie de développement logiciel (SDLC) & # 8211;De la planification au codage et au bâtiment, en passant par la mise en scène en passant par l'exploitation et la surveillance & # 8211;Les sorties les plus importantes du SDLC sont assurées pour être sécurisées lorsqu'elles sont déployées et atteintes de conformité.Intégrer la sécurité dans chaque DevOps…
In today\'s world, the importance of incorporating web application security best practices cannot be overstated. Recent studies show that web applications are the top attack vector in nearly 80% of incidents. The good news is DevOps processes lend themselves to integrated security practices. Here are the top six best practices for seamlessly weaving web application security into DevOps. The Role of Web Application Security Best Practices in DevOps The cornerstone of a successful DevOps practice is automation; this is why automating security within workflows (DevSecOps) makes so much sense. DevSecOps is lacing each step of the DevOps process and practice with security. By adding security into each step of the software development lifecycle (SDLC) – from planning to coding and building to testing to staging to operating and monitoring – the most important outputs of the SDLC are assured to be secure when deployed and attestable for compliance. Integrating security into each DevOps… |
Studies | ★★★★ | |
|
2023-10-18 11:21:23 | Sécuriser les applications Web: la liste de contrôle d'une CISO \\ pour les leaders technologiques Securing Web Applications: A CISO\\'s Checklist for Tech Leaders (lien direct) |
En tant que CISO, sécuriser les applications Web et assurer leur résilience contre l'évolution des cyber-menaces est une priorité non négociable.Le rapport sur les enquêtes sur les violations de données de Verizon \\ cite les applications Web comme le vecteur d'attaque supérieur par un tir à long terme (en violation et en incidents).Voici une liste de contrôle simplifiée pour sécuriser les applications Web qui vous aideront à améliorer la posture de sécurité de votre organisation et l'intégrité de votre technologie.
Évaluation des risques et menaces d'application Web
Une première étape puissante dans la sécurisation des applications Web est la découverte.Vous ne pouvez pas sécuriser ce que vous ne savez pas!Commencez par un inventaire de votre logiciel ou de votre portefeuille d'applications pour comprendre les sources de risque et ce que vous souhaitez hiérarchiser.
Pour certains, cela peut être simple.Pour d'autres, ce sera un inventaire essentiel de ce qui constitue votre processus logiciel et de développement.Voici quelques questions à considérer dans votre évaluation de votre portefeuille:
Combien d'applications avez-vous?
Où résident-ils?
OMS…
As a CISO, securing web applications and ensuring their resilience against evolving cyber threats is a non-negotiable priority. Verizon\'s Data Breach Investigations Report 2023 cites web applications as the top attack vector by a long shot (in both breaches and incidents). Here\'s a simplified checklist for securing web applications that will help you improve your organization\'s security posture and the integrity of your technology. Assessing Web Application Risk and Threats A powerful first step in securing web applications is discovery. You can\'t secure what you don\'t know about! Start with an inventory of your software or application portfolio to understand sources of risk and what you want to prioritize. For some this may be simple. For others it will be an essential inventory of what makes up your software and development process. Here are some questions to consider in your assessment of your portfolio: How many applications do you have? Where do they reside? Who… |
Data Breach | ★★ | |
|
2023-10-11 10:19:23 | Sécurité des applications Web: 5 conseils de sécurité pour les ingénieurs logiciels Web Application Security: 5 Security Tips for Software Engineers (lien direct) |
En tant qu'ingénieur logiciel dans un monde natif du cloud, vous êtes la première ligne de défense dans la sécurité des applications Web.Armé de quelques meilleures pratiques qui ont un impact énorme, sécurisant à la fois le code que vous créez et le code que vous compilez peut être simple.Voici cinq conseils qui facilitent votre rôle dans la protection des données avec un développement sécurisé.
Aperçu de la prévention des violations avec les pratiques de sécurité des applications Web
Les menaces croissantes dans le paysage numérique, comme entrer dans l'ère des attaques basées sur l'IA, rendent la sécurité proactive du code essentiel.Une organisation à but non lucratif axée sur la sécurité des logiciels open source, le projet de sécurité des applications Web Open (OWASP), conserve le Top 10 OWASP, une liste des 10 principaux risques de sécurité auxquels sont confrontés les applications Web.Il s'agit d'une ressource fondamentale pour assurer un code sécurisé.Beaucoup de ces risques peuvent être manipulés en utilisant les conseils qui suivent.
Astuce 1: Commencez à créer des applications en pensant à la sécurité
Envisagez la sécurité depuis le début.Voici comment CISA définit sécurisé par la conception: «Sécurisé…
As a software engineer in a cloud-native world, you\'re the first line of defense in web application security. Armed with a few best practices that have a huge impact, securing both the code you create and the code you compile can be simple. Here are five tips that make your role easier in protecting data with secure development. Overview of Preventing Breaches with Web Application Security Practices Growing threats in the digital landscape, like entering the era of AI-driven attacks, make proactive code security essential. A nonprofit organization focused on open-source software security, the Open Web Application Security Project (OWASP), maintains the OWASP Top 10, a list of the top 10 security risks faced by web applications. This is a foundational resource for ensuring secure code. Many of these risks can be handled using the tips that follow. Tip 1: Start Building Apps with Security in Mind Consider security from the beginning. Here\'s how CISA defines Secure by Design: “Secure… |
★★ | ||
|
2023-10-02 11:06:07 | Un CISO explique 4 étapes qui facilitent la séjour en sécurité en ligne A CISO Explains 4 Steps that Make it Easy to Stay Safe Online (lien direct) |
Pour sécuriser notre monde, le Mois de sensibilisation à la cybersécurité encourage quatre étapes qui facilitent la séjour en sécurité en ligne.En tant que CISO, mon équipe et moi défendons constamment ces pratiques au sein de notre organisation.Si vous êtes un praticien de la sécurité qui cherche à renforcer la sensibilisation à la cybersécurité, voici un bref aperçu de la façon dont nous expliquons ces étapes pour faciliter la sécurité en ligne.
Avant de plonger, rendre les pratiques de cybersécurité relatables et claires est la clé de l'adoption dans toute organisation.Considérez la divulgation récente d'une nouvelle vulnérabilité affectant les applications Web.Il s'agit du type de scénario réel qui peut être utilisé pour rendre les informations suivantes plus relatables.De nouvelles vulnérabilités comme celle-ci sont ce qui rend le premier pas si important.
Mises à jour logicielles & # 8211;Le pourquoi et comment
Les mises à jour logicielles sont essentielles pour garder votre ordinateur sécurisé et à jour.Ils peuvent corriger les bogues, améliorer les performances, ajouter de nouvelles fonctionnalités et rendre votre logiciel compatible avec de nouveaux matériels et logiciels.…
To secure our world, Cybersecurity Awareness Month encourages four steps that make it easy to stay safe online. As a CISO, my team and I advocate for these practices constantly within our organization. If you are a security practitioner looking to bolster cybersecurity awareness, here\'s a brief look at how we explain these steps to help make staying safe online easier. Before we dive in, making cybersecurity practices relatable and clear is key to the adoption at any organization. Consider the recent disclosure of a new vulnerability affecting web applications. This is the type of real-life scenario that can be used to make the following information more relatable. New vulnerabilities like this one are what makes the first step so important. Software Updates – The Why & How Software updates are essential for keeping your computer secure and up-to-date. They can fix bugs, improve performance, add new features, and make your software compatible with new hardware and software. … |
Vulnerability | ★★ | |
|
2023-09-29 10:12:09 | Résolution de la vulnérabilité webp-jour CVE-2023-4863 Resolving WebP Zero-day Vulnerability CVE-2023-4863 (lien direct) |
Ce que c'est
WebP est l'épine dorsale de l'extension webp.Toute image enregistrée au format d'image WebP a probablement été créée à l'aide de la bibliothèque WebP.La bibliothèque a été publiée en 2010 par Google.
L'histoire de la vulnérabilité Webp CVE-2023-4863
Le premier CVE pour cette vulnérabilité WebP a été divulgué dans CVE-2023-41061, mais notez comment la description ne mentionne la racine du problème nulle part.Ensuite, Google a publié CVE-2023-4863, qui a été la première mention réelle de WebP.Enfin, CVE-2023-5129 a été libéré, mais a depuis été rejeté.La description originale du CVE-2023-5129 était:
«Avec un fichier WebP sans perte spécialement conçu, LibWebp peut écrire des données hors des limites au tas.La fonction ReadHuffMancodes () alloue le tampon HuffMancode avec une taille qui provient d'un tableau de tailles précomputées: KTABLIZE.La valeur Color_Cache_Bits définit la taille à utiliser.Le tableau KtableSize ne prend en compte que les tailles pour les recherches de table de premier niveau à 8 bits mais pas la table de deuxième niveau…
What It Is Webp is the backbone of the webp extension. Any image that is saved to the webp image format most likely was created using the webp library. The library was released in 2010 by Google. The History of the Webp Vulnerability CVE-2023-4863 The first CVE for this webp vulnerability was disclosed in CVE-2023-41061, but note how the description does not mention the root of the issue anywhere. Then Google released CVE-2023-4863, which was the first actual mention of webp. Finally CVE-2023-5129 was released, but has since been rejected. The original description of CVE-2023-5129 was: “With a specially crafted WebP lossless file, libwebp may write data out of bounds to the heap. The ReadHuffmanCodes() function allocates the HuffmanCode buffer with a size that comes from an array of precomputed sizes: kTableSize. The color_cache_bits value defines which size to use. The kTableSize array only takes into account sizes for 8-bit first-level table lookups but not second-level table… |
Vulnerability | ★★ | |
|
2023-09-26 09:52:36 | Les nouvelles données de sécurité des logiciels EMEA démontrent la nécessité de SCA New EMEA Software Security Data Demonstrates Necessity of SCA (lien direct) |
Les nouvelles données de sécurité des logiciels démontrent que l'analyse de composition logicielle (SCA) aidera à renforcer la sécurité et l'intégrité de l'utilisation des logiciels open source pour les organisations de la région Europe, Moyen-Orient et Afrique (EMEA) en particulier.La loi de l'UE Cyber Resilience rend cette recherche particulièrement cruciale et opportune.Laissez \\ plonger et examiner les recommandations pour les équipes EMEA souhaitant sécuriser le développement natif du cloud.
Comprendre le paysage de sécurité des logiciels EMEA
Le paysage de sécurité des logiciels en EMEA est secoué par la proposition de la Commission \\ pour une nouvelle loi sur la cyber-résilience (CRA) à partir du 15 septembre 2022. Il "vise à protéger les consommateurs et les entreprises achetant ou utilisez des produits ou des logiciels avec un composant numérique.La loi verrait que les fonctionnalités de sécurité inadéquates deviendront une chose du passé avec l'introduction des exigences de cybersécurité obligatoires pour les fabricants et les détaillants de ces produits, cette protection s'étendant tout au long du cycle de vie du produit. »
Quand il s'agit de faire…
New software security data demonstrates that Software Composition Analysis (SCA) will help bolster the safety and integrity of open-source software usage for organizations in the Europe, Middle East, and Africa (EMEA) region in particular. The EU Cyber Resilience Act makes this research especially crucial and timely. Let\'s dive in and look at recommendations for EMEA teams wanting to secure cloud-native development. Understanding EMEA Software Security Landscape The software security landscape in EMEA is shaken up by the Commission\'s proposal for a new Cyber Resilience Act (CRA) from 15 September 2022. It "aims to safeguard consumers and businesses buying or using products or software with a digital component. The Act would see inadequate security features become a thing of the past with the introduction of mandatory cybersecurity requirements for manufacturers and retailers of such products, with this protection extending throughout the product lifecycle.” When it comes to making… |
★★★ | ||
|
2023-09-25 15:23:06 | Secrets Management Best Practices: Secure Cloud-Native Development Series (lien direct) | Créez des applications sécurisées dans le cloud-natives en évitant les cinq premiers pièges de sécurité que nous présentons dans notre série de développement Secure Cloud-Native.Ce blog est la cinquième et dernière partie de la série, et il vous apprendra à gérer les meilleures pratiques de gestion des informations d'identification et de secrets pour sécuriser les applications natives dans le cloud.
Chaque organisation a sa façon de gérer les références.Dans le passé, avec des architectures d'application hérité, c'était un peu plus manuel et ardu.Avec les applications natives dans le cloud, nous avons des options ouvertes à nous qui sont transparentes pour gérer les informations d'identification et la gestion des secrets.Le niveau de sensibilité des données désignera les moyens que nous utilisons pour protéger les informations d'identification.
De toute évidence, ne vérifiez jamais les informations d'identification des référentiels de code.Mais encore une fois, l'utilisation des fournisseurs de cloud Secret Manager / Vault peut nous aider à renforcer notre posture de sécurité et à minimiser le risque de références divulguées dans l'architecture et l'application.
Meilleures pratiques pour la gestion des secrets et le cloud sécurisé…
Build secure cloud-native applications by avoiding the top five security pitfalls we lay out in our Secure Cloud-native Development Series. This blog is the fifth and final part of the series, and it will teach you to handle credentials and secrets management best practices for securing cloud-native applications. Every organization has their way of managing credentials. In the past, with legacy application architectures, this was a bit more manual and arduous. With cloud-native applications, we have options open to us that are seamless for handling credentials and secrets management. The level of sensitivity of the data will designate the means we use to protect credentials. Obviously, never check-in credentials to code repositories. But again, utilizing the cloud providers secret manager/vault can help us strengthen our security posture and minimize risk for leaked credentials within the architecture and application. Best Practices for Secrets Management & Secure Cloud… |
Cloud | ★★ | |
|
2023-09-19 13:46:57 | Ce que les praticiens de la sécurité peuvent apprendre de la nouvelle analyse des fournisseurs de Sast What Security Practitioners Can Learn from New SAST Vendor Analysis (lien direct) |
Le développement et le maintien du code sécurisé à grande échelle est difficile.Avoir la bonne solution de tests de sécurité des applications statiques (SAST) facilite la tâche, mais comment les praticiens sont-ils à choisir?Dans l'interview suivante, vous découvrirez trois tendances émergentes à partir de l'analyse détaillée du paysage de Sast dans le Forrester Wave ™: Static Application Security Testing, Q3 2023.
Veracode obtient les meilleurs scores dans les catégories actuelles de l'offre, de la stratégie et de la présence du marché (à égalité).Pour citer le rapport, «Veracode se différencie par la reportage, la correction et une approche programmatique» avec une vision prospective qui «se traduit par une feuille de route passionnante avec des fonctionnalités alimentées par l'IA pour la prévention des défauts, l'assainissement automatisé, la priorisation intelligente et la corrélation croisée et croiséedes analyses de test de sécurité des applications (AST). »
Pourquoi un rapport sur Sast Matters aujourd'hui
Je me suis assis avec Christy Smith, le responsable des relations d'analystes de Veracode \\, pour parler de ce rapport opportun et de quelles tendances peuvent être trouvées rapidement…
Developing and maintaining secure code at scale is hard. Having the right Static Application Security Testing (SAST) solution makes it easier, but how are practitioners to choose? In the following interview, you\'ll learn about three emerging trends from detailed analysis of the SAST landscape in The Forrester Wave™: Static Application Security Testing, Q3 2023. Veracode earns the top scores across the Current Offering, Strategy, and Market Presence (tied) categories. To quote the report, “Veracode differentiates with reporting, remediation, and a programmatic approach” with a forward-looking vision that “translates to an exciting roadmap with AI-powered features for flaw prevention, automated remediation, intelligent prioritization, and cross-correlation of application security testing (AST) scans.” Why a Report on SAST Matters Today I sat down with Christy Smith, Veracode\'s Head of Analyst Relations, to talk about this timely report and what trends can be found in this quickly… |
★★ | ||
|
2023-09-18 13:39:59 | Pourquoi les nouvelles cyber règles SEC favorisent la responsabilité et la maturité Why New SEC Cyber Rules Promote Accountability and Maturity (lien direct) |
Déploiement du logiciel et espérant qu'il est «en toute sécurité» n'est pas une stratégie de sécurité mesurable.Ce n'est certainement pas quelque chose qui va bien augmenter le moment de divulguer des processus et des pratiques pour gérer les risques de cybersécurité.Les derniers titres de la Cyber Règles de la Commission des titres et de l'échange (SEC) «obligeront les inscrits à décrire le conseil d'administration \\» des risques des menaces et des menaces de cybersécurité et une expertise et une expertise dans l'évaluation et la gestion des risques importants des menaces de cybersécurité. »
Voici pourquoi je suis optimiste, cette exigence de divulgation engendre la transparence et la responsabilité nécessaires pour sécuriser notre avenir numérique et promouvoir la maturité.Je partage également une action critique que les cadres peuvent prendre maintenant pour s'aligner sur les nouvelles règles de gouvernance des cyber-risques.
Une brève introduction aux règles de la SEC 2023 sur le risque de cybersécurité
L'annonce très attendue des cyber règles nouvellement adoptées est arrivée de la SEC le 26 juillet 2023. Ces règles exigent que les sociétés publiques divulguent…
Deploying software and hoping it\'s “safe enough” isn\'t a measurable security strategy. It\'s certainly not something that\'s going to bode well when the time comes to disclose processes and practices for managing cybersecurity risks. The latest Securities and Exchange Commission (SEC) Cyber Rules will “require registrants to describe the board of directors\' oversight of risks from cybersecurity threats and management\'s role and expertise in assessing and managing material risks from cybersecurity threats.” Here\'s why I\'m optimistic this disclosure requirement begets the transparency and accountability needed to secure our digital future and promote maturity. I also share a critical action that executives can take now to align with the new cyber risk governance rules. A Brief Introduction to the 2023 SEC Rules on Cybersecurity Risk The much-anticipated announcement of newly adopted cyber rules arrived from the SEC on July 26, 2023. These rules require public companies to disclose… |
★★ | ||
|
2023-09-14 17:46:27 | Activer facilement le cryptage: séries de développement du cloud-natif sécurisé Easily Enable Encryption: Secure Cloud-native Development Series (lien direct) |
Créez des applications sécurisées dans le cloud-natives en évitant les cinq premiers pièges de sécurité que nous présentons dans notre série de développement Secure Cloud-Native.Ce blog est la quatrième partie de la série, et il vous apprendra pourquoi et comment activer facilement le cryptage et vous sauver les maux de tête.
Voici une nouvelle devise: crypter tout!Lorsque vous vous déplacez en toute sécurité vers des technologies natives dans le cloud, la construction de chiffrement dès le début nous fera économiser beaucoup de maux de tête plus tard.Et c'est en fait tout sauf un mal de tête pour activer le chiffrement tout en configurant vos workflows de développement natif du cloud.Ici, je vais expliquer pourquoi l'activation du cryptage sera si pratique et quels outils vous aideront à le faire avec la plus grande facilité.
Un scénario sur les raisons pour lesquelles vous devez activer le cryptage
Imaginez le scénario suivant: vous avez été chargé d'un POC rapide et sale pour une prochaine version de service.Vous le concevez et construisez quelque chose qui fonctionne, mais pour des raisons pour lesquelles nous n'avons pas besoin d'entrer, la version a été poussée, et maintenant nous…
Build secure cloud-native applications by avoiding the top five security pitfalls we lay out in our Secure Cloud-native Development Series. This blog is the fourth part of the series, and it will teach you why and how to easily enable encryption and save yourself headaches down the road. Here\'s a new motto: encrypt everything! When securely moving to cloud-native technologies, building encryption in from the start will save us a lot of headaches later. And it\'s actually anything but a headache to enable encryption while setting up your cloud-native development workflows. Here I\'ll explain why enabling encryption will come in so handy, and what tools will help you do this with the greatest ease. A Scenario on Why You Need to Enable Encryption Imagine the following scenario: you have been tasked with a quick and dirty POC for an upcoming service release. You design it and build something that works, but for reasons we don\'t need to go into, the release has been pushed up, and now we… |
Tool | ★★ | |
|
2023-09-12 14:07:47 | Pourquoi réduire les risques de la chaîne d'approvisionnement des logiciels avec la sécurité des logiciels intelligents Why Reduce Software Supply Chain Risks with Intelligent Software Security (lien direct) |
Il y a un éventail croissant de risques qui se cachent dans la chaîne d'approvisionnement des solutions numériques dont nous dépendons de plus en plus.Laisser les lacunes dans la sécurité de votre chaîne d'approvisionnement logicielle (SSCS) pourrait épeler une catastrophe pour votre organisation.Soit \\ explorer comment une nouvelle analyse définit une solution de bout en bout et pourquoi Veracode a été classé en tant que leader global, chef de produit, leader de l'innovation et leader du marché dans le leadership de la sécurité de la chaîne d'approvisionnement logicielle Compass 2023 par KuppingerCole Analysts AG.
Diriger la charge: Sécurité de la chaîne d'approvisionnement du logiciel
Imaginez un monde où votre sécurité n'est aussi forte que votre lien le plus faible, et ce lien pourrait être une seule ligne de code enterrée profondément dans les logiciels open source d'un contributeur inconnu.C'est la réalité de la chaîne d'approvisionnement des logiciels d'aujourd'hui.Chaque composant, qu'il s'agisse de code personnalisé, de bibliothèques tierces ou de configuration des outils et d'infrastructure CI / CD, présente un point d'entrée potentiel pour un attaquant.
De nombreux joueurs travaillent à fournir des solutions pour…
There\'s a growing array of risks lurking within the supply chain of the digital solutions we increasingly depend upon. Leaving gaps in your software supply chain security (SSCS) could spell disaster for your organization. Let\'s explore how new analysis defines an end-to-end solution and why Veracode was ranked as an Overall Leader, Product Leader, Innovation Leader, and Market Leader in the Software Supply Chain Security Leadership Compass 2023 by KuppingerCole Analysts AG. Leading the Charge: Software Supply Chain Security Picture a world where your security is only as strong as your weakest link, and that link could be a single line of code buried deep within open-source software from an unknown contributor. This is the reality of today\'s software supply chain. Each component, whether it\'s custom code, third-party libraries, or the configuration of CI/CD tools and infrastructure, presents a potential entry point for an attacker. Many players are working to provide solutions for… |
Tool | ★★ | |
|
2023-09-05 15:20:59 | Gestion de l'accès au stockage: séries de développement du cloud-natif sécurisé Managing Storage Access: Secure Cloud-native Development Series (lien direct) |
Créez des applications sécurisées dans le cloud-natives en évitant les cinq premiers pièges de sécurité que nous présentons dans notre série de développement Secure Cloud-Native.Ce blog est la troisième partie de la série, et il vous apprendra comment sécuriser le stockage cloud et gérer les contrôles d'accès sur les seaux S3.
Chaque fournisseur de cloud a géré les services de stockage que votre organisation utilise probablement probablement.Le stockage cloud tel que Amazon Simple Storage Service (Amazon S3) ou Azure Storage Tools sont étroitement intégrés dans les autres services gérés, ce qui le rend simple à gérer.Nous discuterons spécifiquement du service de stockage S3 d'Amazon \\ et de la façon dont il se rapporte au développement sécurisé du cloud-natif.
Une introduction à la configuration du stockage et du contrôle d'accès en cloud sécurisé
Amazon a récemment affronté le cryptage par défaut du serveur (SSE) pour tous les utilisateurs utilisant AES-256.Bien que très probablement, nous (ou du moins aurions du moins dû) avait un cryptage allumé, c'est maintenant une chose de moins à s'inquiéter.De plus, des outils tels que Terraform peuvent…
Build secure cloud-native applications by avoiding the top five security pitfalls we lay out in our Secure Cloud-native Development Series. This blog is the third part of the series, and it will teach you how to secure cloud storage and handle access controls on S3 buckets. Each cloud provider has managed storage services that your organization is already probably utilizing. Cloud storage such as Amazon Simple Storage Service (Amazon S3) or Azure storage tools are tightly integrated into the other managed services which makes it simple to manage. We will discuss specifically Amazon\'s S3 storage service and how it relates to secure cloud-native development. An Introduction to Secure Cloud Storage and Access Control Configuration Amazon recently turned-on default server-side encryption (SSE) for all users using AES-256. Though most likely we already (or at least should have) had encryption turned on, it\'s now one less thing to worry about. Additionally, tools such as Terraform can… |
Tool Cloud | ★★ | |
|
2023-08-28 14:07:53 | Comment activer la journalisation : série de développement sécurisé cloud-native How to Enable Logging: Secure Cloud-native Development Series (lien direct) |
Créez des applications cloud natives sécurisées en évitant les cinq principaux pièges de sécurité que nous décrivons dans notre série de développement sécurisé cloud natif.Ce blog est la deuxième partie de la série et il vous apprendra comment et pourquoi activer la journalisation dès le début.
Nous allons parler de l'activation de la journalisation (cloud logging, pour être précis).Quelle est la différence?Pas grand chose, à part le fait qu'il s'agit d'un autre service géré intégré aux outils que nous devrions déjà utiliser.
Pourquoi activer la journalisation ?
Tous les développeurs/ingénieurs savent que nous avons besoin de journalisation.Mais d'autres priorités contradictoires et contraintes de temps font parfois obstacle, et cela devient un « nous ferons cela lors du prochain sprint ».J'ai travaillé sur le côté ingénierie ainsi que sur le côté sécurité, où je devais traquer les problèmes de réseau/d'application ou les incidents de sécurité, pour découvrir que nous n'avions pas de journaux ou de journalisation activés sur des services spécifiques.
L'activation de la journalisation peut être comparée à notre propre santé.Même quand nous sommes jeunes, nous…
Build secure cloud-native applications by avoiding the top five security pitfalls we lay out in our Secure Cloud-native Development Series. This blog is the second part of the series, and it will teach you how and why to enable logging from the start. We\'re going to talk about enabling logging (cloud logging, to be specific). What\'s the difference? Not much, other than the fact that it\'s another managed service integrated with the tools we should already be utilizing. Why Enable Logging? All developers/engineers know we need logging. But other conflicting priorities and time constraints get in the way sometimes, and it becomes a “we\'ll do that on the next sprint”. I have worked on the engineering side of things as well as the security side, where I needed to track down network/application issues, or security incidents, only to find that we didn\'t have logs or logging enabled on specific services. Enabling logging can be compared to our own health. Even when we are young, we… |
Tool | ★★ |
To see everything:
Our RSS (filtrered)
