Nuevo contenido
4 directrices básicas sobre estándares de seguridad de software y OWASP
Nos complace presentar 4 nuevas directrices fundamentales para mejorar su comprensión de las normas de seguridad del software y las prácticas de OWASP. Las nuevas categorías son:
- Fundamentos de la seguridad del software
- Introducción a los Estándares de Seguridad
- Introducción a OWASP
- Visión general de OWASP Web TOP 10
- Visión general de OWASP API TOP 10
13 directrices de Infraestructura como código con soporte de Terraform:AWS
Hemos introducido 13 nuevas directrices para Infraestructura como código con fragmentos de código de Terraform:AWS. Pronto estarán disponibles directrices para otros idiomas. Estas directrices ya están disponibles en toda la plataforma y en las plantillas de cursos.
Las categorías soportadas son:
- Control de acceso
- Falta Control de Acceso a Nivel de Función
- Autenticación
- Credenciales insuficientemente protegidas
- Lógica empresarial
- Validación insuficiente
- Error lógico
- Exposición de la información
- Exposición de datos sensibles
- Registro y supervisión insuficientes
- Protección insuficiente de la capa de transporte
- Transporte desprotegido de información sensible
- Mala configuración de la seguridad
- Funciones de seguridad desactivadas
- Permisos inadecuados
- Exposición de la información
- Almacenamiento de datos sensibles
- Almacenamiento de información sensible en texto plano
- Componentes vulnerables
- Uso de componentes de fuentes no fiables
- Uso de componentes vulnerables conocidos
8 directrices actualizadas para Python
Hemos actualizado 8 directrices existentes para incluir compatibilidad con Python:Basic y fragmentos de código:
- Control de acceso
- Falta el control de acceso a nivel de función
- Falta Control de Acceso a Nivel de Objeto
- Autenticación - Autenticación incorrecta
- Gestión inadecuada de activos - Gestión inadecuada de activos
- Exposición de información - Exposición de datos sensibles
- Criptografía insegura - Uso de algoritmos débiles
- Protección insuficiente de la capa de transporte - Transporte desprotegido de información sensible
- Mala configuración de la seguridad - Cabeceras HTTP inadecuadas o ausentes
35 desafíos C
Hemos añadido 35 nuevos retos C para apoyar la preparación CERT C. Estos retos cubren una amplia gama de temas relevantes para CERT:
- Lógica empresarial
- Validación insuficiente
- Error lógico
- Exposición de la información
- Detalles del error
- Fallos de inyección
- Inyección de comandos del sistema operativo
- Recorrido de rutas
- Criptografía insegura
- Aleatoriedad insegura
- Corrupción de la memoria
- Desbordamiento del búfer
- Doble libre
- Vulnerabilidades de formato de cadena
- Desbordamiento de Heap
- Valor de puntero ilegal
- Desbordamiento de enteros
- Desviación nula
- Condiciones de carrera
- Variable no inicializada
- Uso después de liberar
- Mala configuración de seguridad
- Permisos inadecuados
Laboratorios de codificación integrada en C
- Protección contra desbordamiento del búfer y de la pila
- Desbordamiento del búfer
- Desbordamiento de enteros
- Liberación doble
- Uso después de Free
- Actualizaciones de firmware y firmas criptográficas
- Uso de componentes de fuentes no fiables
- Gestión de Identidades
- Antiautomatización Insuficiente
- Seguridad de la Capa de Transporte
- Uso de Algoritmos o Protocolos Débiles
- Transporte desprotegido de información sensible
Nuevas funciones de la plataforma
Nuevo informe Engagement Insights
El informe Engagement Insights permite a los administradores seleccionar un periodo de tiempo (los últimos 12 meses por defecto) y ver las estadísticas correspondientes:
- Cuántos nuevos alumnos se han añadido
- Cuántos alumnos estaban activos en SCW
- Cuántos alumnos están activos actualmente
- Cuántos alumnos han estado activos durante el periodo de tiempo seleccionado
- Cuánto tiempo ha pasado desde la última vez que los alumnos estuvieron activos.
- Cuánto tiempo han pasado los alumnos en los distintos módulos de SCW, incluidas las misiones y la exploración.
Una lista de participantes muestra los detalles de todos los alumnos y su actividad durante el periodo de tiempo seleccionado.
Mejoras en
Microsoft Teams es ahora una configuración de la plataforma
Hemos simplificado la configuración de las notificaciones de los cursos de Microsoft Teams haciendo que Microsoft Teams sea una configuración de la plataforma.
Invitaciones por correo electrónico + recordatorios de calendario para torneos
Ahora es posible enviar invitaciones por correo electrónico para torneos como parte de la configuración avanzada. Si la configuración de invitación de calendario está activada en la página de comunicaciones, la invitación también incluirá un recordatorio de calendario con una fecha de inicio & de finalización, y un enlace directo para inscribirse en el torneo.
En la vista previa
Misiones
Hemos actualizado las misiones para introducir funciones de administración. Ahora los administradores pueden priorizar los temas más importantes para los alumnos estableciendo Objetivos, basados en vulnerabilidades específicas.
Esta funcionalidad se encuentra en la versión preliminar cerrada, y puede activarse a petición enviando un correo electrónico a nuestro equipo de asistencia (support@securecodewarrior.com), o a través de su Gestor de Éxito del Cliente.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.