Le copier/coller est une technique de codage dangereuse
Des chercheurs de VirginiaTech ont publié un papier après avoir analysé des centaines de publications sur le forum de développeurs le plus populaire (Stack Overflow). Ils ont examiné le type de questions posées sur la sécurité, les réponses les plus populaires données par la communauté et l'effet que cela a sur les ingénieurs en logiciels de code.
Ce n'est pas vraiment une surprise pour les personnes qui travaillent dans le domaine de la cybersécurité depuis un certain temps, mais une plus grande sensibilisation à ce problème est nécessaire du point de vue des développeurs :
- Les fonctionnalités de sécurité fournies par les frameworks de codage (par exemple JAVA Spring) sont trop compliquées et mal documentées
- Un nombre important de développeurs ne semblent pas comprendre les implications des options de codage en matière de sécurité, ce qui témoigne d'un manque de formation en cybersécurité
- La plupart des suggestions et « correctifs » proposés sur ces forums ne sont pas sécurisés, mais nous avons obtenu des votes positifs et donc des notes plus élevées.
Le rapport propose les solutions suivantes :
- Reconversion de la main-d'œuvre
- Détection et correction semi-automatisées des bogues de sécurité
Nous devons simplifier la sécurité pour les développeurs et l'intégrer dès le départ afin de maintenir la rapidité avec laquelle les entreprises opèrent aujourd'hui.
« L'importance de ce travail réside dans le fait que nous avons fourni des preuves empiriques d'un nombre important de problèmes alarmants de codage sécurisé, qui n'avaient jamais été signalés auparavant », indique l'article. « Ces problèmes sont dus à diverses raisons, notamment au besoin croissant d'applications de sécurité d'entreprise, au manque de formation en matière de sécurité au sein du personnel de développement de logiciels et à des bibliothèques de sécurité mal conçues. »
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
L'importance de ce travail réside dans le fait que nous avons fourni des preuves empiriques d'un nombre important de problèmes alarmants de codage sécurisé, qui n'avaient jamais été signalés auparavant.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Des chercheurs de VirginiaTech ont publié un papier après avoir analysé des centaines de publications sur le forum de développeurs le plus populaire (Stack Overflow). Ils ont examiné le type de questions posées sur la sécurité, les réponses les plus populaires données par la communauté et l'effet que cela a sur les ingénieurs en logiciels de code.
Ce n'est pas vraiment une surprise pour les personnes qui travaillent dans le domaine de la cybersécurité depuis un certain temps, mais une plus grande sensibilisation à ce problème est nécessaire du point de vue des développeurs :
- Les fonctionnalités de sécurité fournies par les frameworks de codage (par exemple JAVA Spring) sont trop compliquées et mal documentées
- Un nombre important de développeurs ne semblent pas comprendre les implications des options de codage en matière de sécurité, ce qui témoigne d'un manque de formation en cybersécurité
- La plupart des suggestions et « correctifs » proposés sur ces forums ne sont pas sécurisés, mais nous avons obtenu des votes positifs et donc des notes plus élevées.
Le rapport propose les solutions suivantes :
- Reconversion de la main-d'œuvre
- Détection et correction semi-automatisées des bogues de sécurité
Nous devons simplifier la sécurité pour les développeurs et l'intégrer dès le départ afin de maintenir la rapidité avec laquelle les entreprises opèrent aujourd'hui.
« L'importance de ce travail réside dans le fait que nous avons fourni des preuves empiriques d'un nombre important de problèmes alarmants de codage sécurisé, qui n'avaient jamais été signalés auparavant », indique l'article. « Ces problèmes sont dus à diverses raisons, notamment au besoin croissant d'applications de sécurité d'entreprise, au manque de formation en matière de sécurité au sein du personnel de développement de logiciels et à des bibliothèques de sécurité mal conçues. »
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
Des chercheurs de VirginiaTech ont publié un papier après avoir analysé des centaines de publications sur le forum de développeurs le plus populaire (Stack Overflow). Ils ont examiné le type de questions posées sur la sécurité, les réponses les plus populaires données par la communauté et l'effet que cela a sur les ingénieurs en logiciels de code.
Ce n'est pas vraiment une surprise pour les personnes qui travaillent dans le domaine de la cybersécurité depuis un certain temps, mais une plus grande sensibilisation à ce problème est nécessaire du point de vue des développeurs :
- Les fonctionnalités de sécurité fournies par les frameworks de codage (par exemple JAVA Spring) sont trop compliquées et mal documentées
- Un nombre important de développeurs ne semblent pas comprendre les implications des options de codage en matière de sécurité, ce qui témoigne d'un manque de formation en cybersécurité
- La plupart des suggestions et « correctifs » proposés sur ces forums ne sont pas sécurisés, mais nous avons obtenu des votes positifs et donc des notes plus élevées.
Le rapport propose les solutions suivantes :
- Reconversion de la main-d'œuvre
- Détection et correction semi-automatisées des bogues de sécurité
Nous devons simplifier la sécurité pour les développeurs et l'intégrer dès le départ afin de maintenir la rapidité avec laquelle les entreprises opèrent aujourd'hui.
« L'importance de ce travail réside dans le fait que nous avons fourni des preuves empiriques d'un nombre important de problèmes alarmants de codage sécurisé, qui n'avaient jamais été signalés auparavant », indique l'article. « Ces problèmes sont dus à diverses raisons, notamment au besoin croissant d'applications de sécurité d'entreprise, au manque de formation en matière de sécurité au sein du personnel de développement de logiciels et à des bibliothèques de sécurité mal conçues. »
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Des chercheurs de VirginiaTech ont publié un papier après avoir analysé des centaines de publications sur le forum de développeurs le plus populaire (Stack Overflow). Ils ont examiné le type de questions posées sur la sécurité, les réponses les plus populaires données par la communauté et l'effet que cela a sur les ingénieurs en logiciels de code.
Ce n'est pas vraiment une surprise pour les personnes qui travaillent dans le domaine de la cybersécurité depuis un certain temps, mais une plus grande sensibilisation à ce problème est nécessaire du point de vue des développeurs :
- Les fonctionnalités de sécurité fournies par les frameworks de codage (par exemple JAVA Spring) sont trop compliquées et mal documentées
- Un nombre important de développeurs ne semblent pas comprendre les implications des options de codage en matière de sécurité, ce qui témoigne d'un manque de formation en cybersécurité
- La plupart des suggestions et « correctifs » proposés sur ces forums ne sont pas sécurisés, mais nous avons obtenu des votes positifs et donc des notes plus élevées.
Le rapport propose les solutions suivantes :
- Reconversion de la main-d'œuvre
- Détection et correction semi-automatisées des bogues de sécurité
Nous devons simplifier la sécurité pour les développeurs et l'intégrer dès le départ afin de maintenir la rapidité avec laquelle les entreprises opèrent aujourd'hui.
« L'importance de ce travail réside dans le fait que nous avons fourni des preuves empiriques d'un nombre important de problèmes alarmants de codage sécurisé, qui n'avaient jamais été signalés auparavant », indique l'article. « Ces problèmes sont dus à diverses raisons, notamment au besoin croissant d'applications de sécurité d'entreprise, au manque de formation en matière de sécurité au sein du personnel de développement de logiciels et à des bibliothèques de sécurité mal conçues. »
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
はじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
