開発者主導による一貫したセキュリティアプローチの構築
SolarWindsキャンペーンのような重大なセキュリティ侵害(ソフトウェア更新プロセスを悪用し、著名な管理ソフトウェアOrionの18,000人以上のユーザー、特に多くの大企業や政府機関を感染させた事例)を受けて、開発者主導のより効果的なセキュリティ対策がますます求められている。 あらゆる規模の組織が自社の「ソフトウェアサプライチェーン」を見直し始め、自社ソフトウェアを開発する開発者に対し、セキュリティに関するスキルと知識が検証済みであることを要求している。
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
SolarWindsキャンペーンのような重大なセキュリティ侵害(ソフトウェア更新プロセスを悪用し、著名な管理ソフトウェアOrionの18,000人以上のユーザー、特に多くの大企業や政府機関を感染させた事例)を受けて、開発者主導のより効果的なセキュリティ対策がますます求められている。 あらゆる規模の組織が自社の「ソフトウェアサプライチェーン」を見直し始め、自社ソフトウェアを開発する開発者に対し、セキュリティに関するスキルと知識が検証済みであることを要求している。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
SolarWindsキャンペーンのような重大なセキュリティ侵害(ソフトウェア更新プロセスを悪用し、著名な管理ソフトウェアOrionの18,000人以上のユーザー、特に多くの大企業や政府機関を感染させた事例)を受けて、開発者主導のより効果的なセキュリティ対策がますます求められている。 あらゆる規模の組織が自社の「ソフトウェアサプライチェーン」を見直し始め、自社ソフトウェアを開発する開発者に対し、セキュリティに関するスキルと知識が検証済みであることを要求している。
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
SolarWindsキャンペーンのような重大なセキュリティ侵害(ソフトウェア更新プロセスを悪用し、著名な管理ソフトウェアOrionの18,000人以上のユーザー、特に多くの大企業や政府機関を感染させた事例)を受けて、開発者主導のより効果的なセキュリティ対策がますます求められている。 あらゆる規模の組織が自社の「ソフトウェアサプライチェーン」を見直し始め、自社ソフトウェアを開発する開発者に対し、セキュリティに関するスキルと知識が検証済みであることを要求している。
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
SolarWindsキャンペーンのような重大なセキュリティ侵害(ソフトウェア更新プロセスを悪用し、著名な管理ソフトウェアOrionの18,000人以上のユーザー、特に多くの大企業や政府機関を感染させた事例)を受けて、開発者主導のより効果的なセキュリティ対策がますます求められている。 あらゆる規模の組織が自社の「ソフトウェアサプライチェーン」を見直し始め、自社ソフトウェアを開発する開発者に対し、セキュリティに関するスキルと知識が検証済みであることを要求している。
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
