4 Common Container Security Misconceptions (and How to Avoid Them) 容器在现代开发中广泛应用，但伴随而来的是多重安全风险。文章指出常见误区包括仅依赖代码扫描、信任公共镜像、忽视配置错误及过度依赖运行时扫描，并建议通过全生命周期持续扫描和多层次防护来提升容器安全性。... 2025-9-2 06:56:30 | 阅读: 11 | 收藏 | Checkmarx.com - checkmarx.com security containers matters

The Cost of AI Velocity: 5 Actions Dev Leaders Must Take to Secure Their Codebase from AI Vulnerabilities 文章探讨了AI生成代码带来的安全风险及其对软件开发的影响。研究表明，48%的AI生成代码存在漏洞，97%的组织遭遇过AI相关安全事件。文章指出速度优先文化、缺乏治理和工具滞后构成“AI三重威胁”，建议重新定义KPI、加强治理、采用统一平台和自主AI工具以平衡速度与安全。... 2025-8-31 08:32:31 | 阅读: 18 | 收藏 | Checkmarx.com - checkmarx.com security development appsec developer

Just Released: “The Future of AppSec in the Era of AI” 2026 Industry Outlook 文章指出，随着AI在代码生成中的广泛应用，应用安全面临严峻挑战。尽管企业意识到风险，但结构性和文化性滞后导致漏洞频发、安全工具利用率低。报告强调需加强AI治理、优化工具使用并推动文化变革以平衡开发速度与安全性。... 2025-8-19 08:28:39 | 阅读: 21 | 收藏 | Checkmarx.com - checkmarx.com security development developer appsec developers

Just Released: “The Future of AppSec in the Era of AI” 2026 Industry Outlook 文章指出，在AI生成代码普及的背景下，应用安全面临严峻挑战：漏洞频发、工具利用率低、治理滞后。报告建议通过主动治理AI、优化工具嵌入、强化开发者支持及采用自主安全AI等措施应对变革。... 2025-8-14 08:30:44 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security appsec development developer developers

The Risks of LLM Poisoning in AI-Powered Development and How to Mitigate Them 大型语言模型（LLMs）在现代软件开发中发挥重要作用，但面临“LLM中毒”威胁，即恶意数据注入训练集或利用模型漏洞生成不安全代码。Checkmarx One Assist通过实时监控、修复和行为分析提供解决方案，帮助开发者在AI辅助开发中防范风险。... 2025-7-22 12:2:45 | 阅读: 14 | 收藏 | Checkmarx.com - checkmarx.com security llm development llms software

Checkmarx One + Harness STO: Orchestrating Security Scanning in your CI Pipeline Harness STO模块通过整合40多种安全扫描工具，自动化执行安全测试并集中管理漏洞。与Checkmarx One集成后，可在CI/CD流程中自动检测代码漏洞，并通过标准化和去重处理结果。支持设置治理策略（如阻止高危漏洞构建），确保开发流程中的安全性。... 2025-7-21 23:24:48 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com harness sto checkmarx security

CVSS Was Built for Code, Not AI Agents. Now AIVSS Closes the Gap 文章讨论了CVSS评分系统在应用安全中的重要性，并介绍了OWASP AIVSS项目如何扩展CVSS以量化AI代理带来的新兴行为风险。通过结合CVSS和AIVSS，组织能够更全面地评估传统代码漏洞和AI系统的动态行为风险，从而更好地应对AI时代的安全挑战。... 2025-7-14 11:37:22 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com aivss security agentic measure summit

The Contextual Blind Spot: Why AppSec Keeps Striking Out in the Cloud and How CISOs Can Fix It 文章讨论了现代云环境中应用安全的风险与挑战。传统安全工具无法有效应对复杂云架构和快速变化的应用需求，导致看似低危的漏洞可能引发严重后果。为应对这一问题，作者提出了“Fix-Find-Fuse”模型，强调整合现有工具、识别盲点和创建整体安全策略，以提升企业云应用的安全性与风险管理能力。... 2025-7-9 10:58:26 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security cloud appsec development 3xf

AI Speed vs. Software Security: A Conversation with Checkmarx CEO Sandeep Johri and IDC’s Katie Norton 文章探讨了AI在软件开发中的双刃剑效应：提升生产力的同时增加安全风险。专家指出，AI生成代码可能引入漏洞，传统安全流程难以应对加速开发的需求。为解决此问题，Agentic AI通过智能自动化填补开发与安全之间的差距，在开发环境中实时检测风险并提供修复建议。成功实施需明确业务目标、嵌入日常流程、建立透明度及支持文化变革。... 2025-7-1 09:40:41 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com security agentic norton appsec agents

From Doers to Decision Makers: Engineering’s Shift in the Age of Agentic AI 文章探讨了AI工具在软件开发中的角色及其带来的责任问题。随着AI工具如GitHub Copilot等在代码生成、测试和部署中发挥更大作用，工程师需从执行者转变为决策者。文章强调了团队结构和文化需适应AI驱动的开发环境，并建议通过明确策略、逐步采用和建立护栏来确保安全与透明度。... 2025-6-30 08:57:36 | 阅读: 6 | 收藏 | Checkmarx.com - checkmarx.com zigler agentic security leaders checkmarx

Gene Kim on Vibe Coding—and Why DevSecOps Must Be Ready for What’s Coming One would... 2025-6-24 12:30:19 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com genai vibe security gene checkmarx

AI is Writing Your Code—Who’s Keeping It Secure? 文章探讨了AI生成代码在现代开发中的广泛应用及其带来的安全挑战。尽管AI工具如GitHub Copilot提升了开发效率，但它们可能引入新的风险，如代码漏洞和不透明的逻辑。CISO需通过制定使用政策、加强审查流程、开发者教育和技术控制（如实时IDE扫描和预合并反馈工具）来应对这些挑战，确保AI生成代码的安全性。... 2025-6-12 11:47:30 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com security developers checkmarx github development

Repository Health Monitoring Part 2: Essential Practices for Secure Repositories 文章介绍了保障代码仓库安全的最佳实践，包括代码审查、分支保护、依赖管理、模糊测试和安全策略等措施，以防止供应链攻击并提升软件安全性。... 2025-6-11 10:3:41 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security software repository workflows

Repository Health Monitoring Part 1: A Cornerstone of Software Supply Chain Security 文章指出软件供应链安全至关重要，尤其是常被忽视的代码仓库环节。由于现代代码仓库包含敏感数据和配置信息，成为攻击目标。通过自动化监控和实施最佳实践（如代码审查、分支保护、依赖管理等），可有效减少未经授权更改、低质代码及合规风险。Checkmarx提供全面解决方案以强化软件供应链安全。... 2025-6-10 09:34:10 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security repository software monitoring checkmarx

PyPI供应链攻击揭露：Colorama和Colorizr名称混淆 Checkmarx研究人员发现恶意软件包通过拼写混淆攻击模仿开源项目colorama和colorizr，上传至PyPI和NPM仓库。这些恶意包具备远程控制、数据窃取功能，并尝试规避杀毒软件检测。攻击者利用跨生态系统的名称混淆策略增加隐蔽性。... 2025-5-28 12:0:0 | 阅读: 17 | 收藏 | 玄武实验室每日安全 - checkmarx.com windows malicious remote payload pypi

Modernizing AppSec: The Shift from On-Prem SAST to a Cloud-Native Platform 软件开发和应用安全经历了重大变革。传统瀑布模型转向持续交付，推动DevSecOps兴起。云原生平台如Checkmarx One通过弹性容量、内置集成和AI辅助开发实时修复漏洞，解决传统SAST局限性，提升效率与协作。... 2025-5-26 12:17:2 | 阅读: 0 | 收藏 | Checkmarx.com - checkmarx.com security checkmarx development developers cloud

Shifting AppSec to the Left Improves Security and Developer Experience 文章探讨了开发者因频繁处理安全漏洞而面临的效率下降和疲劳问题，并提出通过"左移"安全措施（如实时代码分析和预提交扫描）在开发早期解决安全风险的方法。这种方法不仅提高了安全性，还减少了开发者的负担和时间浪费。... 2025-5-21 13:0:17 | 阅读: 4 | 收藏 | Checkmarx.com - checkmarx.com security developer developers appsec development

What’s ‘Boardish’ and Why You Should Learn to Speak It Fluently 网络安全在董事会中常因沟通障碍受阻。CISO需将技术术语转化为商业语言以获得支持。... 2025-5-15 10:43:4 | 阅读: 3 | 收藏 | Checkmarx.com - checkmarx.com security cisos boards apma

Always Ready to Run: How CISOs Can Finally Get Ahead of Application Risk 随着应用安全需求的增加和开发速度的加快，CISO的角色正在从工具采购者转变为战略领导者。新的安全模型要求CISO与开发团队合作，通过优先处理关键漏洞、将安全无缝融入开发流程以及整合安全工具来平衡风险与业务速度。Checkmarx提供了一体化平台和解决方案，帮助组织实现高效安全开发并降低风险。... 2025-5-13 10:0:0 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com security developers cisos development

The Fast and the Frictionless: Tuning AppSec to Boost Your DORA Metrics 文章通过F1赛车类比，探讨了应用安全（AppSec）对软件交付性能（DORA指标）的影响。AppSec若与开发流程脱节会增加摩擦，而若集成良好则能显著提升部署频率、缩短变更前置时间、降低变更失败率并加快恢复时间。文章还介绍了Checkmarx One如何通过统一平台嵌入开发流程，助力团队实现更快、更安全的交付。... 2025-5-13 07:54:6 | 阅读: 2 | 收藏 | Checkmarx.com - checkmarx.com appsec security developers dora