Champions contre entraîneurs : pourquoi chaque équipe de développement a besoin des deux
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
