Les avantages de l'analyse comparative des compétences en matière de sécurité pour les développeurs
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
目录
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
