Les avantages de l'analyse comparative des compétences en matière de sécurité pour les développeurs
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
总结
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
