Pour aider les développeurs à éliminer la bête de la cybercriminalité, la formation est une quête en deux parties
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
