La « sécurité » n'est pas un gros mot : comment une approche positive transformera votre programme de sécurité
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité. Il existe toutefois une meilleure approche.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
%20(1).avif)
.avif)
