Le développement sécurisé devrait être le système immunitaire d'AppSec
En tant que professionnel de la sécurité des applications, il est de votre devoir de garantir la cybersécurité des applications de votre organisation. Vous n'êtes toutefois pas responsable de l'écriture du code sur lequel l'application s'exécute. Les ingénieurs de l'équipe de développement sont. Alors, comment s'assurer qu'ils développent ces systèmes en tenant compte de la sécurité ?
Il est fort probable que vous fassiez certaines ou même la totalité des opérations suivantes :
- Examiner tout le code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus d'évaluation par les pairs strict tout au long de votre cycle de développement sécurisé.
- Faire effectuer régulièrement des tests d'évaluation et d'intrusion des applications par des équipes de sécurité internes ou externes.
- Mise en œuvre d'outils d'analyse pour détecter les vulnérabilités.
Ce sont d'excellentes pratiques exemplaires, mais elles sont également coûteuses et similaires à la prise d'antibiotiques chaque fois que vous tombez malade. Non seulement cela a un coût élevé, mais cela perd de son efficacité et peut affaiblir votre système immunitaire au fil du temps.
Comment faites-vous pour vous assurer que le code fourni par les développeurs est écrit de manière sécurisée en premier lieu ?
Au-delà du codage sécurisé, pensez d'abord à la façon dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Pourtant, la formation au code sécurisé est souvent proposée sous la forme d'une activité à cocher et n'est pas pertinente pour le travail quotidien des développeurs. Il est conçu pour prouver que les développeurs ont souvent suivi une formation en matière de sécurité pour se conformer aux normes du secteur, et non pour que les développeurs conservent ces connaissances, et encore moins pour profiter du processus d'apprentissage.
Les humains ont également tendance à apprendre en faisant des erreurs, de la même manière que notre système immunitaire. Les lymphocytes T se souviennent des types d'agents pathogènes qu'ils ont rencontrés et qu'ils ont réussi à éradiquer dans le passé, afin de pouvoir s'en protéger à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre sécuriser SDLC.
Il est irréaliste de s'attendre à ce qu'ils ne commettent pas d'erreur, mais vous pouvez les préparer de manière à être en mesure de reconnaître les modèles de codage qui se traduiront par des failles de sécurité à l'avenir.
C'est également ainsi qu'un solide processus d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas de faille de sécurité qu'un autre ne le remarquera pas. Et plus l'équipe de développement est formée dans son ensemble, plus les vulnérabilités ont de chances d'être détectées et de ne jamais être mises en production.
Les vulnérabilités logicielles sont comme des agents pathogènes
Les vulnérabilités logicielles sont comme des agents pathogènes dans le sens où vous devez vous en souvenir pour les combattre. En ce qui concerne les agents pathogènes, notre système immunitaire doit souvent être exposé à plusieurs reprises avant de se rappeler comment les combattre afin d'éviter une maladie grave ou pire encore.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs découvrent d'abord les vulnérabilités logicielles dans un environnement contrôlé, ils peuvent renforcer leur immunité contre les menaces en améliorant et en mettant régulièrement en pratique leurs connaissances et compétences en matière de codage sécurisé.
Exposez les développeurs à des failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger complètement contre la maladie, mais nous pouvons prendre certaines mesures pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. Faire de l'exercice régulièrement, manger sainement et dormir suffisamment font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne nuira guère à votre état de santé général. Il est également déconseillé de sortir et de courir un 10 km le premier jour où nous commençons à courir. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut un peu d'expérimentation pour trouver un bon équilibre entre notre corps et des aliments sains et des exercices que nous aimons.
Il n'en va pas autrement lorsqu'il s'agit de développer des logiciels sécurisés. L'apprentissage se fait au fil du temps et de la pratique, et les développeurs ont besoin de la même formation continue pour améliorer régulièrement leurs compétences en matière de codage sécurisé. Sans oublier que le développement de logiciels évolue et s'adapte constamment, ce qui signifie que les vulnérabilités le sont également. C'est pourquoi une simple formation ne suffit pas. Les développeurs doivent régulièrement améliorer leurs compétences afin de se familiariser suffisamment avec les menaces potentielles et d'être correctement équipés pour s'en défendre.
Objectif : atteindre l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut prévenir tous les problèmes de sécurité. C'est formidable d'avoir des champions de la sécurité au sein de l'équipe, mais pour bénéficier de la meilleure protection possible, plus il y a de personnes qui connaissent les failles de sécurité et savent comment les prévenir, meilleures sont les chances de votre organisation de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire possède différents types de lymphocytes T à des fins différentes. Chaque développeur fait partie d'une équipe qui garantit la sécurité. S'ils sont habilités à prendre leurs responsabilités, à bien le faire et même à aimer le faire, vous pouvez ainsi créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Faites de la sécurité une priorité grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire au fil du temps et au cours de plusieurs sessions d'apprentissage. Lorsque nous sommes à l'école, on ne s'attend jamais à ce que nous maintenions de nouvelles connaissances après la première introduction. Les informations nous sont d'abord présentées, puis nous les mettons en pratique avec des conseils, puis nous les pratiquons nous-mêmes. Et même une fois que nous l'avons suffisamment bien apprise pour réussir un examen, l'information a tendance à être oubliée peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacrées au temps et aux efforts nécessaires pour acquérir. Combien d'entre nous peuvent dire qu'ils se souviennent du français de leur lycée ?
Alors, comment pouvons-nous croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité conduirait les développeurs présents à coder de manière plus sécurisée ?
Les modèles de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité développementale sûre ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par améliorer les compétences des développeurs pour qu'ils puissent écrire du code sécurisé. Dans le cas contraire, AppSec continuera à passer tout son temps à examiner tout le code pour détecter les failles de sécurité et à signaler les mêmes vulnérabilités récurrentes au développement, pour être rapidement corrigées sans aucune leçon. Et recommencez pour la prochaine version.
Réitérons donc.
Si vous travaillez en collaboration avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case relative aux exigences de formation en matière de sécurité pour la conformité, vous aurez également un impact réel sur le processus de développement. Cerise sur le gâteau, AppSec ne rencontrera plus de vulnérabilités récurrentes et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils peuvent consacrer plus de temps à créer et à améliorer les logiciels incroyables qui améliorent notre monde.
Êtes-vous prêt à améliorer les compétences de votre équipe de développement ? Allez-y et réservez une démo avec nous.
En tant que professionnel de la sécurité des applications, il est de votre devoir de garantir la cybersécurité des applications de votre organisation. Vous n'êtes toutefois pas responsable de l'écriture du code sur lequel l'application s'exécute. Les ingénieurs de l'équipe de développement sont. Alors, comment s'assurer qu'ils développent ces systèmes en tenant compte de la sécurité ?
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
En tant que professionnel de la sécurité des applications, il est de votre devoir de garantir la cybersécurité des applications de votre organisation. Vous n'êtes toutefois pas responsable de l'écriture du code sur lequel l'application s'exécute. Les ingénieurs de l'équipe de développement sont. Alors, comment s'assurer qu'ils développent ces systèmes en tenant compte de la sécurité ?
Il est fort probable que vous fassiez certaines ou même la totalité des opérations suivantes :
- Examiner tout le code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus d'évaluation par les pairs strict tout au long de votre cycle de développement sécurisé.
- Faire effectuer régulièrement des tests d'évaluation et d'intrusion des applications par des équipes de sécurité internes ou externes.
- Mise en œuvre d'outils d'analyse pour détecter les vulnérabilités.
Ce sont d'excellentes pratiques exemplaires, mais elles sont également coûteuses et similaires à la prise d'antibiotiques chaque fois que vous tombez malade. Non seulement cela a un coût élevé, mais cela perd de son efficacité et peut affaiblir votre système immunitaire au fil du temps.
Comment faites-vous pour vous assurer que le code fourni par les développeurs est écrit de manière sécurisée en premier lieu ?
Au-delà du codage sécurisé, pensez d'abord à la façon dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Pourtant, la formation au code sécurisé est souvent proposée sous la forme d'une activité à cocher et n'est pas pertinente pour le travail quotidien des développeurs. Il est conçu pour prouver que les développeurs ont souvent suivi une formation en matière de sécurité pour se conformer aux normes du secteur, et non pour que les développeurs conservent ces connaissances, et encore moins pour profiter du processus d'apprentissage.
Les humains ont également tendance à apprendre en faisant des erreurs, de la même manière que notre système immunitaire. Les lymphocytes T se souviennent des types d'agents pathogènes qu'ils ont rencontrés et qu'ils ont réussi à éradiquer dans le passé, afin de pouvoir s'en protéger à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre sécuriser SDLC.
Il est irréaliste de s'attendre à ce qu'ils ne commettent pas d'erreur, mais vous pouvez les préparer de manière à être en mesure de reconnaître les modèles de codage qui se traduiront par des failles de sécurité à l'avenir.
C'est également ainsi qu'un solide processus d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas de faille de sécurité qu'un autre ne le remarquera pas. Et plus l'équipe de développement est formée dans son ensemble, plus les vulnérabilités ont de chances d'être détectées et de ne jamais être mises en production.
Les vulnérabilités logicielles sont comme des agents pathogènes
Les vulnérabilités logicielles sont comme des agents pathogènes dans le sens où vous devez vous en souvenir pour les combattre. En ce qui concerne les agents pathogènes, notre système immunitaire doit souvent être exposé à plusieurs reprises avant de se rappeler comment les combattre afin d'éviter une maladie grave ou pire encore.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs découvrent d'abord les vulnérabilités logicielles dans un environnement contrôlé, ils peuvent renforcer leur immunité contre les menaces en améliorant et en mettant régulièrement en pratique leurs connaissances et compétences en matière de codage sécurisé.
Exposez les développeurs à des failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger complètement contre la maladie, mais nous pouvons prendre certaines mesures pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. Faire de l'exercice régulièrement, manger sainement et dormir suffisamment font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne nuira guère à votre état de santé général. Il est également déconseillé de sortir et de courir un 10 km le premier jour où nous commençons à courir. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut un peu d'expérimentation pour trouver un bon équilibre entre notre corps et des aliments sains et des exercices que nous aimons.
Il n'en va pas autrement lorsqu'il s'agit de développer des logiciels sécurisés. L'apprentissage se fait au fil du temps et de la pratique, et les développeurs ont besoin de la même formation continue pour améliorer régulièrement leurs compétences en matière de codage sécurisé. Sans oublier que le développement de logiciels évolue et s'adapte constamment, ce qui signifie que les vulnérabilités le sont également. C'est pourquoi une simple formation ne suffit pas. Les développeurs doivent régulièrement améliorer leurs compétences afin de se familiariser suffisamment avec les menaces potentielles et d'être correctement équipés pour s'en défendre.
Objectif : atteindre l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut prévenir tous les problèmes de sécurité. C'est formidable d'avoir des champions de la sécurité au sein de l'équipe, mais pour bénéficier de la meilleure protection possible, plus il y a de personnes qui connaissent les failles de sécurité et savent comment les prévenir, meilleures sont les chances de votre organisation de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire possède différents types de lymphocytes T à des fins différentes. Chaque développeur fait partie d'une équipe qui garantit la sécurité. S'ils sont habilités à prendre leurs responsabilités, à bien le faire et même à aimer le faire, vous pouvez ainsi créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Faites de la sécurité une priorité grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire au fil du temps et au cours de plusieurs sessions d'apprentissage. Lorsque nous sommes à l'école, on ne s'attend jamais à ce que nous maintenions de nouvelles connaissances après la première introduction. Les informations nous sont d'abord présentées, puis nous les mettons en pratique avec des conseils, puis nous les pratiquons nous-mêmes. Et même une fois que nous l'avons suffisamment bien apprise pour réussir un examen, l'information a tendance à être oubliée peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacrées au temps et aux efforts nécessaires pour acquérir. Combien d'entre nous peuvent dire qu'ils se souviennent du français de leur lycée ?
Alors, comment pouvons-nous croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité conduirait les développeurs présents à coder de manière plus sécurisée ?
Les modèles de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité développementale sûre ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par améliorer les compétences des développeurs pour qu'ils puissent écrire du code sécurisé. Dans le cas contraire, AppSec continuera à passer tout son temps à examiner tout le code pour détecter les failles de sécurité et à signaler les mêmes vulnérabilités récurrentes au développement, pour être rapidement corrigées sans aucune leçon. Et recommencez pour la prochaine version.
Réitérons donc.
Si vous travaillez en collaboration avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case relative aux exigences de formation en matière de sécurité pour la conformité, vous aurez également un impact réel sur le processus de développement. Cerise sur le gâteau, AppSec ne rencontrera plus de vulnérabilités récurrentes et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils peuvent consacrer plus de temps à créer et à améliorer les logiciels incroyables qui améliorent notre monde.
Êtes-vous prêt à améliorer les compétences de votre équipe de développement ? Allez-y et réservez une démo avec nous.
En tant que professionnel de la sécurité des applications, il est de votre devoir de garantir la cybersécurité des applications de votre organisation. Vous n'êtes toutefois pas responsable de l'écriture du code sur lequel l'application s'exécute. Les ingénieurs de l'équipe de développement sont. Alors, comment s'assurer qu'ils développent ces systèmes en tenant compte de la sécurité ?
Il est fort probable que vous fassiez certaines ou même la totalité des opérations suivantes :
- Examiner tout le code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus d'évaluation par les pairs strict tout au long de votre cycle de développement sécurisé.
- Faire effectuer régulièrement des tests d'évaluation et d'intrusion des applications par des équipes de sécurité internes ou externes.
- Mise en œuvre d'outils d'analyse pour détecter les vulnérabilités.
Ce sont d'excellentes pratiques exemplaires, mais elles sont également coûteuses et similaires à la prise d'antibiotiques chaque fois que vous tombez malade. Non seulement cela a un coût élevé, mais cela perd de son efficacité et peut affaiblir votre système immunitaire au fil du temps.
Comment faites-vous pour vous assurer que le code fourni par les développeurs est écrit de manière sécurisée en premier lieu ?
Au-delà du codage sécurisé, pensez d'abord à la façon dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Pourtant, la formation au code sécurisé est souvent proposée sous la forme d'une activité à cocher et n'est pas pertinente pour le travail quotidien des développeurs. Il est conçu pour prouver que les développeurs ont souvent suivi une formation en matière de sécurité pour se conformer aux normes du secteur, et non pour que les développeurs conservent ces connaissances, et encore moins pour profiter du processus d'apprentissage.
Les humains ont également tendance à apprendre en faisant des erreurs, de la même manière que notre système immunitaire. Les lymphocytes T se souviennent des types d'agents pathogènes qu'ils ont rencontrés et qu'ils ont réussi à éradiquer dans le passé, afin de pouvoir s'en protéger à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre sécuriser SDLC.
Il est irréaliste de s'attendre à ce qu'ils ne commettent pas d'erreur, mais vous pouvez les préparer de manière à être en mesure de reconnaître les modèles de codage qui se traduiront par des failles de sécurité à l'avenir.
C'est également ainsi qu'un solide processus d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas de faille de sécurité qu'un autre ne le remarquera pas. Et plus l'équipe de développement est formée dans son ensemble, plus les vulnérabilités ont de chances d'être détectées et de ne jamais être mises en production.
Les vulnérabilités logicielles sont comme des agents pathogènes
Les vulnérabilités logicielles sont comme des agents pathogènes dans le sens où vous devez vous en souvenir pour les combattre. En ce qui concerne les agents pathogènes, notre système immunitaire doit souvent être exposé à plusieurs reprises avant de se rappeler comment les combattre afin d'éviter une maladie grave ou pire encore.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs découvrent d'abord les vulnérabilités logicielles dans un environnement contrôlé, ils peuvent renforcer leur immunité contre les menaces en améliorant et en mettant régulièrement en pratique leurs connaissances et compétences en matière de codage sécurisé.
Exposez les développeurs à des failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger complètement contre la maladie, mais nous pouvons prendre certaines mesures pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. Faire de l'exercice régulièrement, manger sainement et dormir suffisamment font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne nuira guère à votre état de santé général. Il est également déconseillé de sortir et de courir un 10 km le premier jour où nous commençons à courir. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut un peu d'expérimentation pour trouver un bon équilibre entre notre corps et des aliments sains et des exercices que nous aimons.
Il n'en va pas autrement lorsqu'il s'agit de développer des logiciels sécurisés. L'apprentissage se fait au fil du temps et de la pratique, et les développeurs ont besoin de la même formation continue pour améliorer régulièrement leurs compétences en matière de codage sécurisé. Sans oublier que le développement de logiciels évolue et s'adapte constamment, ce qui signifie que les vulnérabilités le sont également. C'est pourquoi une simple formation ne suffit pas. Les développeurs doivent régulièrement améliorer leurs compétences afin de se familiariser suffisamment avec les menaces potentielles et d'être correctement équipés pour s'en défendre.
Objectif : atteindre l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut prévenir tous les problèmes de sécurité. C'est formidable d'avoir des champions de la sécurité au sein de l'équipe, mais pour bénéficier de la meilleure protection possible, plus il y a de personnes qui connaissent les failles de sécurité et savent comment les prévenir, meilleures sont les chances de votre organisation de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire possède différents types de lymphocytes T à des fins différentes. Chaque développeur fait partie d'une équipe qui garantit la sécurité. S'ils sont habilités à prendre leurs responsabilités, à bien le faire et même à aimer le faire, vous pouvez ainsi créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Faites de la sécurité une priorité grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire au fil du temps et au cours de plusieurs sessions d'apprentissage. Lorsque nous sommes à l'école, on ne s'attend jamais à ce que nous maintenions de nouvelles connaissances après la première introduction. Les informations nous sont d'abord présentées, puis nous les mettons en pratique avec des conseils, puis nous les pratiquons nous-mêmes. Et même une fois que nous l'avons suffisamment bien apprise pour réussir un examen, l'information a tendance à être oubliée peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacrées au temps et aux efforts nécessaires pour acquérir. Combien d'entre nous peuvent dire qu'ils se souviennent du français de leur lycée ?
Alors, comment pouvons-nous croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité conduirait les développeurs présents à coder de manière plus sécurisée ?
Les modèles de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité développementale sûre ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par améliorer les compétences des développeurs pour qu'ils puissent écrire du code sécurisé. Dans le cas contraire, AppSec continuera à passer tout son temps à examiner tout le code pour détecter les failles de sécurité et à signaler les mêmes vulnérabilités récurrentes au développement, pour être rapidement corrigées sans aucune leçon. Et recommencez pour la prochaine version.
Réitérons donc.
Si vous travaillez en collaboration avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case relative aux exigences de formation en matière de sécurité pour la conformité, vous aurez également un impact réel sur le processus de développement. Cerise sur le gâteau, AppSec ne rencontrera plus de vulnérabilités récurrentes et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils peuvent consacrer plus de temps à créer et à améliorer les logiciels incroyables qui améliorent notre monde.
Êtes-vous prêt à améliorer les compétences de votre équipe de développement ? Allez-y et réservez une démo avec nous.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
En tant que professionnel de la sécurité des applications, il est de votre devoir de garantir la cybersécurité des applications de votre organisation. Vous n'êtes toutefois pas responsable de l'écriture du code sur lequel l'application s'exécute. Les ingénieurs de l'équipe de développement sont. Alors, comment s'assurer qu'ils développent ces systèmes en tenant compte de la sécurité ?
Il est fort probable que vous fassiez certaines ou même la totalité des opérations suivantes :
- Examiner tout le code pour détecter les failles de sécurité et les signaler à l'équipe de développement pour qu'elle les corrige.
- Appliquer un processus d'évaluation par les pairs strict tout au long de votre cycle de développement sécurisé.
- Faire effectuer régulièrement des tests d'évaluation et d'intrusion des applications par des équipes de sécurité internes ou externes.
- Mise en œuvre d'outils d'analyse pour détecter les vulnérabilités.
Ce sont d'excellentes pratiques exemplaires, mais elles sont également coûteuses et similaires à la prise d'antibiotiques chaque fois que vous tombez malade. Non seulement cela a un coût élevé, mais cela perd de son efficacité et peut affaiblir votre système immunitaire au fil du temps.
Comment faites-vous pour vous assurer que le code fourni par les développeurs est écrit de manière sécurisée en premier lieu ?
Au-delà du codage sécurisé, pensez d'abord à la façon dont les gens apprennent. La plupart d'entre nous sont des apprenants visuels et nous apprenons par la pratique. Pourtant, la formation au code sécurisé est souvent proposée sous la forme d'une activité à cocher et n'est pas pertinente pour le travail quotidien des développeurs. Il est conçu pour prouver que les développeurs ont souvent suivi une formation en matière de sécurité pour se conformer aux normes du secteur, et non pour que les développeurs conservent ces connaissances, et encore moins pour profiter du processus d'apprentissage.
Les humains ont également tendance à apprendre en faisant des erreurs, de la même manière que notre système immunitaire. Les lymphocytes T se souviennent des types d'agents pathogènes qu'ils ont rencontrés et qu'ils ont réussi à éradiquer dans le passé, afin de pouvoir s'en protéger à l'avenir. C'est exactement le rôle que les développeurs devraient jouer dans votre sécuriser SDLC.
Il est irréaliste de s'attendre à ce qu'ils ne commettent pas d'erreur, mais vous pouvez les préparer de manière à être en mesure de reconnaître les modèles de codage qui se traduiront par des failles de sécurité à l'avenir.
C'est également ainsi qu'un solide processus d'évaluation par les pairs devient si puissant. Ce n'est pas parce qu'un développeur ne remarque pas de faille de sécurité qu'un autre ne le remarquera pas. Et plus l'équipe de développement est formée dans son ensemble, plus les vulnérabilités ont de chances d'être détectées et de ne jamais être mises en production.
Les vulnérabilités logicielles sont comme des agents pathogènes
Les vulnérabilités logicielles sont comme des agents pathogènes dans le sens où vous devez vous en souvenir pour les combattre. En ce qui concerne les agents pathogènes, notre système immunitaire doit souvent être exposé à plusieurs reprises avant de se rappeler comment les combattre afin d'éviter une maladie grave ou pire encore.
Une cyberattaque réussie à partir d'un logiciel vulnérable peut gravement paralyser ou tuer une organisation. Mais si les développeurs découvrent d'abord les vulnérabilités logicielles dans un environnement contrôlé, ils peuvent renforcer leur immunité contre les menaces en améliorant et en mettant régulièrement en pratique leurs connaissances et compétences en matière de codage sécurisé.
Exposez les développeurs à des failles de sécurité dans un environnement contrôlé
Nous ne pouvons jamais nous protéger complètement contre la maladie, mais nous pouvons prendre certaines mesures pour renforcer notre système immunitaire et rester en aussi bonne santé que possible. Faire de l'exercice régulièrement, manger sainement et dormir suffisamment font partie des choix de vie généralement associés à un système immunitaire fort. Mais toutes ces choses demandent un peu d'effort et doivent être continues. Faire du jogging tous les jours pendant une semaine ou arrêter de boire pendant un mois ne nuira guère à votre état de santé général. Il est également déconseillé de sortir et de courir un 10 km le premier jour où nous commençons à courir. Nous devons d'abord exposer notre cœur et nos muscles à l'exercice. Nous savons également qu'il faut un peu d'expérimentation pour trouver un bon équilibre entre notre corps et des aliments sains et des exercices que nous aimons.
Il n'en va pas autrement lorsqu'il s'agit de développer des logiciels sécurisés. L'apprentissage se fait au fil du temps et de la pratique, et les développeurs ont besoin de la même formation continue pour améliorer régulièrement leurs compétences en matière de codage sécurisé. Sans oublier que le développement de logiciels évolue et s'adapte constamment, ce qui signifie que les vulnérabilités le sont également. C'est pourquoi une simple formation ne suffit pas. Les développeurs doivent régulièrement améliorer leurs compétences afin de se familiariser suffisamment avec les menaces potentielles et d'être correctement équipés pour s'en défendre.
Objectif : atteindre l'immunité collective au sein de l'équipe de développement
Une seule personne ne peut prévenir tous les problèmes de sécurité. C'est formidable d'avoir des champions de la sécurité au sein de l'équipe, mais pour bénéficier de la meilleure protection possible, plus il y a de personnes qui connaissent les failles de sécurité et savent comment les prévenir, meilleures sont les chances de votre organisation de les prévenir. Encore une fois, ce n'est pas très différent de la façon dont le système immunitaire possède différents types de lymphocytes T à des fins différentes. Chaque développeur fait partie d'une équipe qui garantit la sécurité. S'ils sont habilités à prendre leurs responsabilités, à bien le faire et même à aimer le faire, vous pouvez ainsi créer une immunité collective contre les cybermenaces au sein de l'équipe de développement.
Faites de la sécurité une priorité grâce à une exposition répétée
Notre cerveau apprend de la même manière que notre système immunitaire. Psychologue allemand Hermann Ebbinghaus a été un pionnier dans le domaine de la mémoire et de l'apprentissage. Il en a déduit que l'apprentissage doit se faire au fil du temps et au cours de plusieurs sessions d'apprentissage. Lorsque nous sommes à l'école, on ne s'attend jamais à ce que nous maintenions de nouvelles connaissances après la première introduction. Les informations nous sont d'abord présentées, puis nous les mettons en pratique avec des conseils, puis nous les pratiquons nous-mêmes. Et même une fois que nous l'avons suffisamment bien apprise pour réussir un examen, l'information a tendance à être oubliée peu de temps après si nous n'utilisons pas régulièrement les connaissances que nous avons consacrées au temps et aux efforts nécessaires pour acquérir. Combien d'entre nous peuvent dire qu'ils se souviennent du français de leur lycée ?
Alors, comment pouvons-nous croire qu'une seule journée passée à regarder des diapositives et à écouter quelqu'un parler de sécurité conduirait les développeurs présents à coder de manière plus sécurisée ?
Les modèles de vulnérabilités récurrentes nous montrent que cela ne fonctionne tout simplement pas.
Comment parvenir à une immunité développementale sûre ?
La réponse se trouve dans notre nature. Notre corps et notre esprit fonctionnent de la même manière et apportent de belles solutions aux problèmes, à condition de travailler avec eux et non contre eux.
Pour garantir la sécurité de vos applications, vous devez commencer par améliorer les compétences des développeurs pour qu'ils puissent écrire du code sécurisé. Dans le cas contraire, AppSec continuera à passer tout son temps à examiner tout le code pour détecter les failles de sécurité et à signaler les mêmes vulnérabilités récurrentes au développement, pour être rapidement corrigées sans aucune leçon. Et recommencez pour la prochaine version.
Réitérons donc.
Si vous travaillez en collaboration avec vos responsables du développement pour y parvenir, vous ne vous contenterez pas de mettre en œuvre un SDLC sécurisé et de cocher la case relative aux exigences de formation en matière de sécurité pour la conformité, vous aurez également un impact réel sur le processus de développement. Cerise sur le gâteau, AppSec ne rencontrera plus de vulnérabilités récurrentes et ne les signalera plus aux équipes de développement, et les développeurs passeront moins de temps à les corriger. Cela signifie qu'ils peuvent consacrer plus de temps à créer et à améliorer les logiciels incroyables qui améliorent notre monde.
Êtes-vous prêt à améliorer les compétences de votre équipe de développement ? Allez-y et réservez une démo avec nous.
目次
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
