“81％的开发人员承认要故意发布漏洞的应用程序”

谁应该责备：开发或管理层？我们如何治愈应用程序漏洞流行病

根据最近发表的Osterman研究白皮书，81％的开发人员承认易受攻击的应用程序。

如果它是一项研究，我们可能已经通过它，但是2021个Verizon移动安全指数通过结束了，总结了大约76％的开发人士经历了牺牲移动安全性以获得权宜之计。然后是云应用角度，随着Dynatrace研究发现，71％的Cisos在继续生产之前，Cisos的71％并不完全有信心。

这种臭味的统计蛋糕可以在另一个报告中找到，这表明来自财富500强组织的大多数移动应用程序可能会在15分钟内受到损害。

Osterman研究白皮书识别五个关键的外卖，因为它对软件开发生命周期（SDLC）有助于网络风险而导致网络风险。也许是最具争议的，但同时不成本，这是一个绝大多数开发人员尽管知道它们是不安全的，但尽管知道它们是不安全的。

“我不同意开发人员故意”释放易受攻击的应用程序，“Whitehat安全战略VP策略”辩论“，据称，”但是，我同意开发团队发布易受攻击的应用程序。“

他认为，如果开发团队更好地知道，他们将采取适当的安全措施。 “开发团队的原因在于剩下的关键外卖，令人欣慰的是，”Kulkarni说。 “安全团队没有信心在SDLC中，在申请脆弱的生产中努力转移到留下，对赋予安全和缺乏有效培训的开发商的投资不对准。”

Erez Yalon，CheckMarx的安全研究负责人，了解现有漏洞的商定开发人员往往缺乏真正理解其严重程度所需的教育或经验。

“我们经常听到虚设误导了大量漏洞，询问了”有人会发现和利用这个的赔率是什么？“，”亚龙说。

在其他情况下，亚伦说，开发人员根本不知道如何解决问题，并“决定确定它不值得的时间和努力”。显而易见的是，组织需要更好地了解应用程序漏洞的影响更为疑问。

“占据横向网站脚本（XSS），”沉浸式实验室的主体应用程序安全工程师表示赞助了Osterman报告。 “de-facto的示例是警报框（脚本 - 警报脚本）。”

任何在压力下发布新功能的开发人员都可以提出建议，是在错误的假设下，最糟糕的假设可以为他们的客户可能发生的最令人讨厌的弹出框。 “实际上，这可能导致诸如攻击者可以窃取受害者的会话，能够将受害者重定向到网络钓鱼页面，甚至使用浏览器剥削框架（牛肉）等工具来控制用户的浏览器。”

在面值上占据81％的统计价值的危险之一是并非所有漏洞都是高风险，也不是在生产环境中可利用。根据Ilia Kolochenko的说法，ImmuniWeb的创始人和Europol数据保护专家网络的成员的说法，“释放漏洞的应用不一定是一个非常危险的实践”。

他解释了有多少自动化安全工具出现了各种无法分类的警告，例如丢失Cookie上的安全标志，而没有任何与HTTP标头相关的敏感数据和次要的错误配置，例如，开发人员容易忽略的高风险漏洞。 “在许多组织中，来自业务的压力是极端的，由于艰难的时间限制，开发人员被迫过早进入生产中的飞行模式脆弱的代码。”

因此，挑战必须在Outpost24的产品经理，呼叫释放节奏和修复事物之间找到了Simon Roe之间的平衡。

“在讨论左右概念时，我将听到各组织的经常关注是它对冲刺和释放节奏的影响，”Roe告诉登记册。 “如果组织需要发布申请，以便对市场机会或新功能进行具体截止日期，那么开发人员通常会在击中时捕获，无论什么或可能延迟危急或高风险漏洞。”

实际上，Dev团队通常通过特征输出来衡量，并且安全性通常不会被视为一个功能。 “除非安全被视为特征，

申请不安全的循环在过去十年的转变方面加剧了组件驱动的发展。

Imperva技术总监Peter Klimek指出：“85-97％的企业CodeBases [GitHub]来自开源库，平均包含203个依赖项。”那些是惊人的数字，揭示了大部分应用程序堆栈通常都没有被企业本身所拥有的。

“具有挑战性的方面是，包含漏洞的简单库可以包括多个层次，并由另一个库或依赖性引入”klimek继续“，并且具有几乎没有维护的开源包，安全漏洞可能需要数周，月份在创建修复之前甚至年份（如果有的话）。“

在考虑更改以打破开发安全僵局的需要什么时候需要改变，这对这些更改应该来自的地方来说至关重要：自下而上或自上而下？ Osterman研究白皮书报告称，20％的高级管理层“经常”在不安全的应用程序上签名。与此同时，80％的人似乎将责任转移到开发人员，因为没有正确地完成工作。另一方面，大多数Devs似乎都责备缺乏资源。是否有一种可行的方式来弥合断开连接并回答“谁最终负责”问题？

“从法律角度来看，一般趋势是公司，有时是最高管理层，将对任何贫困的安全实践负责，”Kolochenko说。他认为，由于极化优先事项和整体缺乏资源，在内部，开发商和安全部队经常面临紧张局势。大多数组织为发展和安全性分配了概括不足的预算。

“当企业每年增加40％的设备，应用程序和云存储时，网络安全预算的10％增加显然是不足的，并且不可避免地会越早或之后导致严重的安全漏洞，”他得出结论。

而不是在开发过程中留下左转，是发生的事情，然后，更像是右边的方式向右滑动，并将其留给企业事件的反应团队来处理辐射？

“我不相信公司故意幻灯片，”Erez Yalon告诉登记册。 “事件响应和迟到的修复总是比在过程早期修复问题更昂贵，更不用说安全漏洞中可能发生的实际损坏。这种现象更具归因于缺乏专业知识和安全知识而不是其他任何东西。“

Mark Loveless，Gitlab的安全研究员和工程师认为，开发者角色继续向左转移，并对传统运营和与安全相关的任务进行更多责任。 “2021年，”根据Gitlab的研究，“超过70％的安全专业人士报告他们的团队早些时候将安全考虑转变为发展。这是去年65％，“无爱说。

因此，致命破坏问题的答案是“简单地”在业务中不断增长的安全文化问题？ “在没有分裂的情况下，在没有分裂的情况下，在彼此的情况下，他们的情况至关重要，”沉浸式的赖特坚持。 “两支球队都需要意识到他们为同一个组织工作，最终有相同的目标。”最终，这需要从顶部到来。 “管理层必须归属于安全性并拥抱它，而不仅仅是给它唇部服务。”

根据Whitehat Security的Kulkarni，这是众所周知的小麦与谷壳分离的地方。 “终极问责制应与我正在呼叫CISO 2.0的责任 - 那个采用建立合作安全文化的方法，而不是扮演责任游戏，而不是扮演一个具有主题专业知识的安全团队以及促进思维，创造一个可扩展的安全计划，包含快速响应，并系统改进组织中的安全状况。“

举例来说，Kulkarni建议“CISO 2.0”采用数据驱动和基于风险的方法来推出安全措施，例如设计一个紧密的十分钟培训模块，以解决历史漏洞数据而不是“沸腾海洋”通过四小时的安全培训拍摄整个软件团队“。

没有灵丹妙药，没有直接的正确答案。没有鼻孔治愈所有弊病，并从董事会讲道讲道不是最终的解决方案。

“避免创造一个二分法，在那里它必须是开发人员或管理的故障，”欧文赖特，全球渗透测试领导的建议，在上下文中，部分埃森哲安全。 “长期来看，应用程序开发框架的固有安全性需要继续发展到越来越难以引入安全缺陷的程度。”

BMA警告NHS Digital＆＃39;他自己的机密性监护人可以停止英语GP数据抢手，除非与公众有所改善

英国的有影响力的医生联盟审议NHS数字目前的争议计划从GP系统中提取患者的医疗历史的沟通正在进行这么好，政府机构自己的患者保密性可以介入并停止该计划。

谈到登记册Farah Jameel博士，BMA GP委员会执行团队率领，表示，英国数据保护法在使用的透明度的要求 - 以及使用人民数据调用的透明度的疑问，以质疑规划和研究的一般实践数据是否有问题（GPDPR鉴于目前的公众互动状态，应该继续前进。

NHS Digital宣布于5月份GPDPR，说明计划从7月1日将英格兰5500万人的历史数据放在英国的5500万人中，为NHS规划和医学研究的宗旨。公众被告知在6月23日之前解开了该计划。

继续阅读 BOFH：哦，因为皮特的缘故。 不要让自己奇观 闭上眼睛，假装它不在那里。 在你知道之前，它将是周末 第9集老板正在围绕任务控制徘徊，提出周到但毫无意义的问题，给人一种留下他真正关心的印象，而在现实中，他有一些疯狂的想法在他的大脑中渗透，他希望我们希望我们有利。 “我认为整个建筑应该去移动 - 所有笔记本电脑，没有指定的书桌，所有无线。” 啊，我们去了。 “那不是一个伟大的计划，”我说。 “你知道我们的员工喜欢他们的隐藏洞的舒适和安全。 继续阅读

谁会过于死亡桥梁？回答我这些问题三！哦，你＆＃39; ll需要双因素身份验证

周末的东西，先生？我再次失败了 - 再次失败了。显然我无法表现出相当于人类的智能行为。

我正试图登录我在前岁的某些服务，但登录领域没有任何东西。他们很可能是惩罚我，让我有禁用双因素认证，触发一个恶意的子程序，这需要他们通过把它拿出来表达他们的相应存在的存在危机。你＆＃39;他们不是谁声称，他们耳语。我们认为你＆＃39;重新撒谎。

继续阅读

在一周可能结束的情况下，用户能够坚持他们不应该疲惫的东西。欢迎来到另一个版本的电话。

今天＆＃39;当我们在办公室和＆＃34的概念中工作时，他们会带我们回到我们的概念。是一个时尚的东西，不需要在会议之间注意Hazmat-Clad工人。

＆＃34;本，＆＃34;因为这不是他的名字，定期从城市到城市作为他的工作的一部分，并且是一种尽责的类型，进入公司办公室，沿着处理任何召唤的路线。他和一位同事将于清晨到达，诊断投诉并处理工作人员面临的问题。

继续阅读 英国在Openran安全性和弹性测试中心削减了丝带，以确保套件适用于5G基础设施 乐趣部*（几乎）在最新的5G测试中心削减了丝带，以验证Openran Kit的安全性和恢复力，寻求英国的一个地方和＃39; S 5G网络基础设施。 支持1万英镑的中央政府纳税人资金，布莱顿和伦敦的Sonic Labs（Smartran Open Network Interoperiability Center）将作为5G RAN设备的测试中心。 数字，文化，媒体和体育部门（DCMS）部门已经指出了数字弹射器和奥福姆来管理设施。 设施设想，加速英国的采用Openran技术。 虽然在其早期阶段，Openran被吹捧为英国博彩同源5G基础设施的潜在解决方案。 继续阅读 AWS为您提供有机会在签发之前支付云账单

顾名思义，在发出云服务的账单之前，叫做“高级工资”的设施将让您汇款到Jeff Bezos。 “一旦您加入资金推动薪酬，AWS将自动使用它们在其支付时支付您的发票，”AWS的服务公告“。

亚马逊的产品页面解释说，该服务仅以美元运行，只适用于AWS自己的服务 - 您从AWS Marketplace购买的第三方软件就像往常一样。

继续阅读

周四的海关和边境巡逻队在周四禁止进口太阳能电池板广泛应用的二氧化硅产品，也可用于其他硅晶片，在中国省的新疆制造的地面，据称穆斯林 - 少数民族Uyghur人口迫使劳动力。

白宫声明将对近期G7峰会表达的强迫劳动力归于统一战线的行动。白宫表示，禁止北京举行更公平，而且对竞争不利用工人的美国企业也很重要。

禁令名为一家公司 - 新疆HOSHINE Silicon Industron有限公司及其子公司。指示所有美国港口港口都被指示拘留由Hoshine Silica制造或衍生的货物。

继续阅读

谷歌创建＆＃39;优化＆＃39; Android为一个智能手机 - 只会在印度销售

没有任何词语对于Android Go或Android One意味着什么，但印度Mega-Carrier Jio对空中更新，Google Assistant和更多兴奋

谷歌透露，它创建了一个专为一部电话设计的Android版本 - 由印度航空公司Jio于9月推出的设备。但是，广告巨头尚未说，新手机是什么努力创建一个根据发展中国家人员可访问的人员身份造成的Android版本的努力。

“我们的团队已经优化了我们的Android操作系统的版本，特别是为此设备”写字母首席执行官Sundar Pichah，添加了设备“将为数百万新用户开辟新的可能性，这是第一次体验互联网的互联网”。

另一个谷歌邮政和jio关于该设备的声明，该设备将包括播放商店，多语言谷歌助手，空中更新和AI注入的相机。 JIO自己的应用程序将与Google Assistant集成。

继续阅读

与服务网格的大量有什么大？将它们视为第7层的SDN

系统方法我记得我第一次听到2017年的服务网格，并想知道大不了的事情。将云应用程序作为微服务图形是常见的，并且电信公司在工作中难以发明其他方式来链接虚拟化网络功能。服务图形，服务链，服务网格......我们真正需要谈论从集中组件的集合编写复杂系统的方式？

直到我认识到我得到的熟悉模式：服务网格只是第7层的SDN。这可能是在SDN是你继续击中指甲的锤子时发生的事情，但我相信有价值在那个角度。

下图突出了两种方案之间的相似性，其中两个方案包括集中控制器，该集中控制器发出指向分布式连接器集（在一个情况下的物理/虚拟交换机，以及其他情况下的Sidecar容器） - 基于组合从上面的政策意图和监测数据下面报告。主要区别在于左侧的SDN控制器控制L2 / 3连接，并且右侧的服务网格控制L7连接。

继续阅读

在未来四分之一世纪，中国希望在火星上为＆＃34建立一个永久基础;红色星球的大规模发展，＆＃34;并在轨道上安装SCI-FI碳纳米管电梯到轨道的表面和航天器之间的班车。

根据中国发动机技术（Calt）的据中国最大的火箭制造商介绍，其中描述了一架概述了中间王国的路线＆＃39;野心探索未能尘埃尘土的野心。可能使用核驱动的航天器计划2033,2035,2037,2041和2043年进行MARS的任务。

在演讲中，Calt的总裁王小军表示，他的国有组织首先打算将机器人发送到火星，以收集物料样本，以研究地球。这些机器还将侦察良好的位置来发展人类住区。

继续阅读 在现代IT赞助，可见性就是一切。 IT管理员和网站可靠性工程师（SRE）在他们在其系统中看到的能力生存。 不幸的是，随着系统变得更加复杂，它变得更加难以看出它们和＃39;重新做什么。 那个＆＃39;为什么该行业正在推动可观察性作为监测和指标等现有概念的演变。 供应商正在加强工具来解决越来越多的可见性差距。 继续阅读 注册 - 对科技界的独立新闻和意见。 部分情况出版