20090213

Mmmm...Springtime!

Can you smell that? sssnnnnnnifffffff..... Aahhhh yes. It's that time of year. Yeah, regardless of what Punxsutawney Phil might have had to say, it's springtime! (You folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 colder parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Hemisphere that won't thaw until June will just have to bear with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analogy - sorry). Yeah - it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of year when we clean up and clean out. Black Hat is about to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rounds, SchmooCon just wrapped up, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new sales pitches start.

But I think this spring is bound to be a much more delightful one. I've become somewhat disgruntled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppSec industry because for a couple of years, we've not been focused on app security, but app insecurity. I think we left short. I personally think that finding weaknesses is only good if you have one of two end goals in mind: eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you intend to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakness for fun and profit (or friends), or you identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m so that you can fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For a couple of years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry has grown rapidly, but sadly, mostly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end that we're getting really good at identifying weaknesses, but leaving developers with no indications whatsoever about what to do about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir problem. With no solutions, we've left our developers with two options: give up and cross your fingers hoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys never find out, or second, give up and pull cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug on your project.

But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are lots of things going on in AppSec right now which are very promising for those of us who actually want things to get better:

  • Gartner is releasing a Magic Quadrant on Static Analysis tools. While static analysis tools identify weaknesses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in such a way that developers can actually do something about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems. (Please don't read that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way. I'm not arguing that static analysis is "better" than blackbox/greybox testing. Lots of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people have those fights. Not for me). This is great news because an industry researcher has put a lot of effort into finding out from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best tools are in particular areas.
  • WhiteHat Security is providing WAF integration as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir many services. While WAF's are not a silver bullet, when you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code, or a lot of cycles to fix issues, WAF's are a good stand-up solution to many semantic types of flaws, and a few logical ones, too. It's a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction.
  • Gary McGraw, Brian Chess, and Sammy Migues spent a great deal of time working with businesses learning about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're dealing with application security, and have put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a Software Security Maturity Model to help businesses identify where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in terms of baking in security, and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to go next. My favorite surprise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investigation? The one thing that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir subjects said was most important in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir program was training. And not just training on identifying weaknesses, but developing solutions.
  • RSnake and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are working with browser vendors to work out solutions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole clickjacking thing. I hate to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standards-compliant focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browsers over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years go to back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser wars, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slow-movement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standards have crippled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advancements of browsers that are helpful in protecting users.
  • I'm personally doing a little bit of research on developing securely, and might actually get some work done on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project at some point and have a paper to prove it. But right now, it's all just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical.

If you're new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog, I'm passionate about fixing issues. Certainly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step to recovery is admitting you have a problem, but at some point you have to move beyond admitting you have a problem, and working on overcoming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

0 comments: