关于安全代码的信息

可扩展标记语言（XML）是一种标记语言，用于对文件进行编码，其格式既便于机器处理又便于人类阅读。然而，这种常用的格式包括多种安全缺陷。在这篇与XML有关的第一篇博文中，我将解释通过使用模式安全处理XML文档的基本知识。

OWASP将与XML和XML模式有关的不同漏洞分为两类。

畸形的XML文件

畸形的XML文档是不遵循W3C XML规范的文档。导致畸形文档的一些例子是删除了一个结尾标签，改变了不同元素的顺序或使用了禁止的字符。所有这些错误都应该导致一个致命的错误，并且该文档不应该进行任何额外的处理。

为了避免由畸形文档引起的漏洞，你应该使用一个经过良好测试的XML解析器，该解析器遵循W3C规范，处理畸形文档的时间不会明显延长。

无效的XML文件

无效的XML文档形成得很好，但包含了意想不到的值。在这里，攻击者可能会利用那些没有正确定义XML模式的应用程序来识别文档是否有效。下面你可以找到一个简单的例子，如果不正确验证，可能会产生意想不到的后果。

一个网络商店，以XML数据存储其交易。

   <purchase></purchase>
     <id>123</id>
     <price>200</price>
   

And the user only has control over the <id> value. It is then possible, without the right counter measures, for an attacker to input something like this:</id>

   <purchase></purchase>
     <id>123</id>
     <price>0</price>
     <id></id>
     <price>200</price>
   

If the parser that processes this document only reads the first instance of the <id> and <price> tags this will lead to unwanted results. </price></id>

也有可能是模式的限制性不够，或者其他输入验证不充分，所以负数、特殊小数（如NaN或Infinity）或过大的数值可以被输入到不期望的地方，导致类似的非预期行为。

避免与无效的XML文档有关的漏洞应该通过定义精确和限制性的XML Schema来完成，以避免数据验证不当的问题。

下一篇博文我们将讨论一些针对XML文档的更高级的攻击，如Jumbo Payloads和令人恐惧的OWASP十大排名第四的XXE。

同时，你可以在我们的门户网站上磨练或挑战你在XML输入验证方面的技能。

XML和XML模式的规范包括多种安全缺陷。同时，这些规范提供了保护XML应用所需的工具。即使我们使用XML模式来定义XML文档的安全性，它们也可以被用来进行各种攻击：文件检索、服务器端请求伪造、端口扫描或暴力强迫。

https://www.owasp.org/index.php/XML_Security_Cheat_Sheet

Cette semaine, nous célébrons officiellement les huit ans de Secure Code Warrior. D'une part, cela représente 350 fois la durée de la mission Apollo 11, et l'équivalent de 45 000 parties de football, soit 5 696 parties jouées à Super Mario Odyssey jusqu'à la fin. D'autre part, c'est juste un trentième de la durée de vie d'une tortue géante (250 ans, si vous vous demandez). Dans le monde d'une start-up à forte croissance, cela représente un parcours plein de rebondissements, de leçons et de réalisations, dont beaucoup étaient inimaginables lorsque nous avons rédigé notre plan d'affaires pour la première fois.

Entre la menace omniprésente de la récession, des conflits militaires et certaines des violations de données les plus perturbatrices que nous ayons connues à ce jour, 2022 n'a pas été l'année la plus positive pour beaucoup, y compris pour moi. Il serait malhonnête de ma part de dire que la ligne d'arrivée n'a pas été facile, mais je reste fière de notre résilience face aux défis mondiaux actuels. Nous disposons d'une équipe exceptionnelle et chacun d'entre nous est véritablement dévoué à la réussite des programmes de sécurité d'entreprise, en plaçant les développeurs au cœur d'une approche transformationnelle et défensive face à des problèmes qui existent depuis très longtemps. Nous avons tracé notre propre voie et nous l'avons emporté. Bien que nous ne soyons pas la seule option de formation à la cybersécurité « gamifiée » sur la planète, une chose est sûre : personne d'autre n'a notre vision, notre persévérance ou notre équipe fondatrice, et nous avons vécu beaucoup de choses ensemble.
‍

Les dates de notre anniversaire sont souvent utilisées pour évoquer les événements clés de l'année écoulée, mais cette fois, je tiens à souligner à quel point il est spécial que nous ayons atteint une telle croissance tout en conservant les six personnes que nous avions entassées dans un petit bureau le premier jour.

Nous avons trouvé notre créneau et travaillons ensemble chaque jour pour mettre en œuvre une vision qui, selon nous, changera la façon dont les développeurs envisagent leur rôle en matière de sécurité. C'est un gros travail, mais nous n'avons pas oublié nos racines et l'importance de nos liens.

‍

Nous avons encore un long chemin à parcourir, mais avec ce noyau et une équipe croissante composée de personnes enthousiastes, empathiques et dévouées, je suis convaincu que nous pouvons contribuer à changer le statu quo en matière de sécurité dans le développement de logiciels.

Et tu sais ce qui me rend si confiante ? Dès le début, nous avons mis l'accent sur la diversité et l'avons considérée comme l'un des piliers de l'équipe. Les meilleures organisations sont bâties grâce à la contribution de personnes d'origines, de cultures et de milieux sociaux variés. Nous avons ajouté plus d'une centaine de nouvelles personnes à l'équipe au cours de l'année écoulée, et je suis fier de dire que nous sommes un creuset d'approches qui aboutissent à un groupe d'êtres humains formidables et talentueux qui peuvent nous propulser dans la stratosphère proverbiale.

Si les trois dernières années nous ont appris quelque chose, c'est qu'il faut s'attendre à des imprévus, mais la constante sur laquelle je peux compter, c'est que nous nous soutenons mutuellement et que nous contribuons lentement mais sûrement à rendre les logiciels plus sûrs. Et nous le faisons sans perdre notre sens de l'aventure.

我们最近与Selligent Marketing Cloud的软件工程师Dimitri Vanderhaeghe进行了会谈，Selligent Marketing Cloud是一个高度集成、由人工智能驱动的全渠道营销自动化平台，使雄心勃勃的B2C营销人员能够最大限度地利用与当今联网消费者互动的每一刻。 对于Selligent来说，一个快节奏的B2C技术公司扩大规模并满足其市场不断增长的需求是至关重要的。能够满足这些需求的部分原因是强调网络安全，最关键的是强调由开发人员主导的安全技能计划。 

为什么网络安全对扩大你的业务规模至关重要？ 

如果你想扩大你的业务规模，一个强大的安全战略必须在你的公司议程上占据重要位置，否则你就会让自己处于脆弱的状态。每39秒就会发生一次网络安全攻击，而攻击你的企业的代价可能是经济上的损失，并破坏你的声誉。我们只需看看2017年的Equifax黑客事件，就会发现一个最好的例子，他们的首席执行官辞职了，并明确表示黑客是这样做的原因。 

然而，网络安全必须成为一种共同的责任，以便扩大规模，特别是在你的开发者社区，正如Dimitri所解释的那样。

"培训工程师最重要的原因是可扩展性，因为我们有一个大产品，几乎有60名工程师在工作。如果他们不关心安全问题，所有的漏洞扫描都会回到安全专家那里。"

你如何创建一个由开发者主导的安全文化？

Dimitri和Selligent团队似乎已经破解了以开发者为主导的安全文化，但从我们最近的研究来看，只有15%的开发者认为安全是他们组织中每个人的责任。那么，你如何从左边开始 ，创造一个由开发者主导的安全文化呢？

Dimitri将此归功于通过Secure Code Warrior®的learning platform ，提高他们开发人员的安全意识。Dimitri说，如果没有这个平台，他们将很难建立安全意识。因此，在编写代码时，安全问题在开发人员的脑海中占据了最重要的位置。 

创建一个由开发者主导的安全文化的另一个关键方面是使培训具有相关性。我们最近的研究还表明，40%的开发人员说培训没有实践性，30%的人说培训也没有相关性。 迪米特里指出，Secure Code Warrior® tournaments的颗粒度和真实世界的性质使一切变得不同。该平台的趣味性和竞争性也导致了更多开发人员的参与和意识。 

正如Dimitri所指出的，如果没有意识，网络安全的重担就会落在安全专家身上，这根本无法扩展。答案是有效地扩展你的业务和产品，以确保你对软件漏洞的保护，重点是对你的开发者社区进行超相关的上下文培训，并由开发者主导的安全技能计划。 

‍
Secure Code Warrior 可以为您的组织提供这种服务。对演示感兴趣吗？在下面预订一个。 

‍

人工智能编码工具的广泛应用正在改变软件开发。目前，78% 的开发人员¹正在使用人工智能来提高生产率，创新速度前所未有。但是，这种快速发展也伴随着严重的风险。

研究表明，在功能正确的人工智能生成的代码中，高达 50% 的代码是不^安全的2。这不是一个小错误，而是一个系统性挑战。这意味着开发人员每次使用 GitHub Copilot 或 ChatGPT 等工具时，都可能在不知不觉中将新的漏洞引入代码库。其结果是，速度和安全风险危险地交织在一起，而大多数组织都不具备管理这些风险的能力。

影子人工智能 "的挑战

如果没有管理人工智能编码工具使用的方法，CISO、AppSec 和工程领导者就会面临他们无法看到或衡量的新风险。如何回答以下关键问题？

• 我们的代码中有多大比例是人工智能生成的？
• 正在使用哪些MCP？
• 正在使用哪些未经批准的型号？
• 不同模式会产生哪些漏洞？

缺乏可见性和管理会带来新的风险和不确定性。这就是 "影子 IT "的定义，只不过是针对你的代码库而言。

我们的解决方案--信任代理：人工智能

我们相信，您可以同时拥有速度和安全。我们自豪地推出 信任代理：人工智能是我们的 Trust Agent 产品的一项强大的新功能，可提供您所需的深度可观察性和控制性，让您在软件开发生命周期中自信地拥抱人工智能。 利用独特的信号组合，Trust Agent：AI 提供

• 可视性：查看哪些开发者正在使用哪些AI编码工具、大型语言模型和机器学习平台，以及在哪些代码库上使用。不再存在"隐形AI"。
• 风险度量：将人工智能生成的代码与开发人员的技能水平和引入的漏洞联系起来，以了解在提交级别引入的真正风险。
• 管理：自动执行策略，确保人工智能开发人员符合安全编码标准。

信任代理：人工智能仪表板提供有关人工智能编码工具使用情况、贡献开发人员、代码库等信息的洞察力。

开发人员的角色：最后一道防线

虽然 Trust Agent：虽然人工智能为您提供了前所未有的管理，但我们知道，开发人员仍然是最后一道也是最关键的防线。管理人工智能生成的代码风险的最有效方法是确保您的开发人员具备审查、验证和保护代码的安全技能。这就是我们全面的开发人员风险管理平台的一部分--SCW 学习的作用所在。通过 SCW Learning，我们将为您的开发人员提供安全利用人工智能提高生产力所需的实践技能。SCW Learning 产品包括

• SCW 信任度评分：业内首个量化开发人员安全熟练程度的基准，使您能够确定哪些开发人员最有能力处理人工智能生成的代码。
• 人工智能挑战：交互式真实编码挑战，专门教授开发人员如何查找和修复人工智能生成的代码中的漏洞。
• 有针对性的学习：从 200 多项人工智能挑战、指南、演练、Missions和Courses 中策划学习路径，强化安全编码原则，帮助开发人员掌握降低人工智能风险所需的安全技能。

通过将 Trust Agent：AI 与我们学习产品的技能开发相结合，您就可以创建一个真正安全的 SDLC。您将能够识别风险、执行政策，并让您的开发人员比以往更快、更安全地构建代码。

准备好为您的人工智能之旅保驾护航了吗？

人工智能时代已经到来，作为一名产品经理，我的目标是打造不仅能解决当今问题，还能预见未来问题的解决方案。Trust Agent：AI 就是为了实现这一目标而设计的，它为您提供了管理人工智能风险的可视性和控制力，同时赋予您的团队创新能力。早期访问测试版现已上线，我们希望您能参与其中。这不仅仅是一个新产品，而是在人工智能为先的世界里，为安全软件开发开创一个新标准。

今天就加入抢先体验候补名单！

Une série de vidéos gratuites de 12 semaines pour aider les développeurs à coder en toute sécurité grâce à l'IA

Les assistants de codage basés sur l'IA et les grands modèles de langage (LLM) transforment la façon dont les logiciels sont conçus. Ils promettent rapidité, flexibilité et innovation, mais ils introduisent également de nouveaux risques de sécurité que les développeurs ne peuvent se permettre d'ignorer.

C'est pourquoi Secure Code Warrior lance une série de vidéos d'introduction à la sécurité AI/LLM gratuites d'une durée de 12 semaines sur YouTube. Chaque court épisode se concentre sur la présentation d'un risque de sécurité clé lié à l'IA/LLM ou d'un concept que les développeurs doivent connaître pour adopter en toute sécurité le développement assisté par l'IA et éviter d'introduire des vulnérabilités dans leurs applications.

Regardez le premier épisode dès maintenant : Risques liés au codage de l'IA : dangers liés à l'utilisation des LLM

Ne manquez aucun épisode. Abonnez-vous sur YouTube.

‍
Rejoignez notre communauté de développeurs et de responsables de la sécurité — inscrivez-vous ici pour recevoir les dernières vidéos, ressources et mises à jour directement dans votre boîte de réception.

Pourquoi nous avons créé cette série

Le codage assisté par l'IA est en train de réécrire les règles du développement logiciel. Des outils tels que GitHub Copilot, Cursor et d'autres permettent aux développeurs de publier du code plus rapidement que jamais, mais sans une solide compréhension de la sécurité de l'IA, les équipes risquent d'introduire des vulnérabilités cachées et des comportements incohérents que les tests traditionnels risquent de ne pas détecter.

Un développement sûr à l'ère de l'IA nécessite d'abord une prise de conscience. Cette série est conçue pour réduire le bruit et donner aux développeurs une introduction aux concepts de sécurité AI/LLM afin qu'ils puissent innover en toute confiance sans compromettre la sécurité.

À quoi s'attendre

Pendant 12 semaines, nous explorerons à la fois les opportunités et les risques liés au développement assisté par l'IA, notamment :

• Les avantages et les dangers de l'utilisation de l'IA et des LLM dans le codage
• Injection rapide et manière dont les entrées malveillantes manipulent les sorties de l'IA
• Divulgation d'informations sensibles et protection des secrets dans les flux de travail alimentés par l'IA
• Risques liés à la chaîne d'approvisionnement liés à l'utilisation de modèles et d'API tiers
• Fuites rapides du système, faiblesses vectorielles et vulnérabilités de récupération
• Nouveaux défis tels que la désinformation, le libre arbitre et la consommation illimitée
• Et bien plus encore !

Vous voulez un endroit pour vous ressourcer ou vous retrouver ? Ajoutez notre Hub vidéo — nous le mettrons à jour avec les derniers épisodes et résumés.

Accédez au Hub : Série de vidéos sur la sécurité AI/LLM : tous les épisodes, mis à jour chaque semaine.

Comment suivre

• Abonnez-vous sur YouTube pour obtenir chaque épisode au fur et à mesure de sa sortie
• Rejoignez notre communauté de développeurs et de responsables de la sécurité — inscrivez-vous ici pour recevoir les dernières vidéos, ressources et mises à jour directement dans votre boîte de réception.
• Ajoutez le Blog Video Hub pour un accès rapide à tous les épisodes
• Si vous souhaitez aller plus loin que ces leçons d'introduction, explorez la collection complète AI/LLM sur la plateforme Secure Code Warrior ou demander une démo si vous n'êtes pas encore client.

Établir la norme en matière de développement sécurisé assisté par l'IA

L'IA est en train de modifier rapidement la façon dont nous créons des logiciels. Mais l'innovation sans sécurité n'est pas durable. Les développeurs ont besoin de conseils pratiques, axés sur les développeurs, pour comprendre les risques liés à l'IA et mettre en œuvre des habitudes de codage sécurisées et évolutives.

Cette série de vidéos gratuites s'inscrit dans le cadre de l'engagement de Secure Code Warrior à aider la communauté des développeurs à prospérer dans cette nouvelle ère. À partir de notre site accessible au public Règles de sécurité de l'IA sur GitHub à notre collection de formations sur l'IA et le LLM en pleine expansion, nous dotons les équipes des outils et des connaissances dont elles ont besoin pour innover en toute sécurité.

Les entreprises comprennent que les principes de sécurité dès la conception ne sont mis en œuvre avec succès que par le biais d'une sécurité pilotée par les développeurs. Après tout, ce sont les développeurs qui conçoivent, élaborent et, en fin de compte, valident le code qui alimente les logiciels d'une organisation. Il est absolument essentiel de s'assurer que ces précieux contributeurs possèdent les connaissances et les compétences nécessaires pour mettre en œuvre les meilleures pratiques en matière de code sécurisé. Cependant, le défi pour atteindre cet objectif consiste à aligner les connaissances et les compétences des développeurs en matière de codage sécurisé avec les langages de programmation qu'ils utilisent lors de la création de logiciels. Ce n'est pas une tâche facile, même pour les organisations les plus matures.

Ce défi est encore aggravé par le volume et la diversité des langages de programmation utilisés dans la base de code d'une organisation, souvent à l'insu des équipes de sécurité. Alors, comment les responsables de la sécurité informatique, de la sécurité des applications et de l'ingénierie peuvent-ils s'assurer que le code produit et validé est soutenu par les connaissances et les compétences d'un développeur en matière de code sécurisé dans le langage de programmation spécifique de ce commit ?

Présentation de SCW Trust Agent

Secure Code Warrior a lancé SCW Trust Agent pour répondre à cette question difficile. SCW Trust Agent offre aux responsables de la sécurité la visibilité et le contrôle nécessaires pour faire évoluer la sécurité pilotée par les développeurs, permettant ainsi aux développeurs et aux équipes de fournir du code plus rapidement tout en maintenant et en améliorant la sécurité de ce qui est engagé.

Comment fonctionne SCW Trust Agent ?

SCW Trust Agent découvre et se connecte à vos référentiels de code pour évaluer les métadonnées présentes dans chaque validation de code. Il inspecte le développeur qui a effectué la validation, le langage ou le framework utilisé et l'horodatage exact de la validation du code. Il associe ensuite cette analyse aux données et aux informations issues de la plateforme d'apprentissage leader du secteur de SCW afin de déterminer si le développeur possède des connaissances suffisantes en matière de sécurité dans ce langage de programmation spécifique. Sur la base de ces informations, il renvoie une note sur l'état de santé de ce commit, en fonction de la politique définie par l'organisation. Ces politiques sont personnalisables et configurables, ce qui permet aux équipes de définir des directives et des exigences spécifiques pour les commits dont le seuil de connaissance du code sécurisé par les développeurs peut être supérieur ou inférieur en fonction de la sensibilité globale du projet ou du référentiel.

Gouvernance et contrôle de niveau supérieur

S'appuyant sur cette puissante visibilité, Trust Agent propose une gouvernance intégrée à grande échelle grâce à ses fonctionnalités flexibles de régulation des politiques. Cette fonctionnalité innovante permet aux organisations et aux équipes d'appliquer et de respecter de manière proactive leurs normes de codage sécurisé directement au niveau de la validation. Si un développeur tente de valider du code dans un langage ou un framework où ses compétences en matière de codage sécurisé ne répondent pas aux exigences prédéfinies de l'organisation, Trust Agent peut automatiquement déclencher une action configurable, en enregistrant l'événement pour examen, en émettant un avertissement direct ou même en bloquant complètement la pull request.

Ces portes politiques adaptables peuvent être appliquées à n'importe quel référentiel basé sur Git, offrant un point de contrôle essentiel, en particulier pour les applications critiques ou celles soumises à des exigences de conformité strictes, telles que la norme PCI-DSS 4.0 qui prescrit une formation à la sécurité spécifique à un langage dans l'exigence 6.2.2. En définissant avec précision les niveaux de confiance des engagements en fonction de l'appétit pour le risque de l'entreprise, Trust Agent garantit que seul le code provenant de développeurs possédant des compétences validées en matière de codage sécurisé entre dans ses référentiels les plus importants, renforçant ainsi fondamentalement la posture de sécurité.

Optimisation du cycle de vie du développement

Cette approche proactive rendue possible par SCW Trust Agent améliore non seulement la posture de sécurité globale de l'entreprise, mais favorise également l'optimisation du cycle de vie du développement. En veillant à ce que les développeurs disposent de connaissances et de compétences en matière de code sécurisé dans la langue de leur commit, ils peuvent réduire considérablement le nombre de vulnérabilités introduites qui devront ensuite être identifiées et corrigées. La correction et le remaniement ont tendance à représenter une perte de temps importante pour les développeurs, interrompant leur flux de travail et affectant leur rapidité. La réduction des vulnérabilités grâce à une approche proactive permet de minimiser ces cycles de correction, ce qui permet aux équipes de développement de se concentrer sur la fourniture de fonctionnalités à forte valeur ajoutée.

Développement de la sécurité pilotée par les développeurs

SCW Trust Agent fournit aux entreprises les outils dont elles ont besoin pour développer leurs programmes de sécurité pilotés par les développeurs. Les RSSI et les équipes Appsec disposent de la visibilité et du contrôle dont ils ont besoin pour appliquer une gouvernance appropriée, respecter et même dépasser les normes de conformité grâce à des informations détaillées sur la conception, l'application et le respect des politiques. Et les développeurs sont en mesure de fournir du code sécurisé plus rapidement grâce à une formation au code sécurisé spécifique aux langages qu'ils utilisent dans le code qu'ils fournissent.

SCW Trust Agent fonctionne avec n'importe quel outil de gestion de code source basé sur Git et la connexion de votre référentiel de code est facile grâce à de multiples options de connectivité, notamment sur site, dans le cloud et le téléchargement manuel. Pour en savoir plus, visitez www.scwtrustagent.com ou contactez-nous, nous serions ravis de discuter de la manière dont nous pouvons aider votre organisation à renforcer sa posture de sécurité et à développer une sécurité pilotée par les développeurs.

Note de l'éditeur : Ce billet a été initialement publié par Kyle Riordan et publié le 23 juillet 2024. Il a été mis à jour avec de nouvelles informations et recherches par André Johnson, responsable principal du marketing produit chez Secure Code Warrior.

Nous sommes ravis de poursuivre la discussion sur la dernière amélioration apportée à la plateforme SCW : le SCW Trust Score. Cette fonctionnalité révolutionnaire a été officiellement lancée en mai et représente une avancée cruciale dans notre mission qui consiste à fournir aux développeurs et aux organisations les outils dont ils ont besoin pour écrire du code sécurisé.

À la base, le SCW Trust Score fournit des informations précieuses sur la posture de sécurité de votre organisation et l'efficacité de vos pratiques de codage sécurisé. Passons en revue les principaux avantages et bénéfices du SCW Trust Score.

• Visibilité : Des aptitudes et des compétences diversifiées émergent au sein des équipes grâce à des programmes d'apprentissage et de formation, qui s'appuient sur divers facteurs de réussite. Bien qu'elles suivent des programmes de code sécurisé identiques, les équipes fournissent souvent un éventail d'expertise, comprenant les plus performants, les personnes les plus performantes et celles qui ont besoin d'une assistance supplémentaire. SCW Trust Score fournit aux entreprises une mesure basée sur des données de l'efficacité de leur programme d'apprentissage de la sécurité en agrégeant la posture de sécurité de chaque développeur lorsqu'il utilise Secure Code Warrior.
  
  
• Mesures d'analyse comparative : Les entreprises ont besoin d'un point de référence pour définir la courbe en cloche de la position de leurs développeurs en matière de sécurité et identifier les domaines à optimiser afin de créer une équipe logicielle réellement prête à la sécurité, performante et productive. Grâce au SCW Trust Score, les entreprises sont en mesure d'évaluer leur niveau de sécurité par rapport aux benchmarks et aux meilleures pratiques du secteur. En tirant parti de cette métrique complète, les parties prenantes peuvent identifier les points forts et les opportunités d'amélioration avec une précision inégalée.
  
  
• Alimenté par les données : SCW Trust Score exploite la puissance de 20 millions de points de données d'apprentissage provenant de plus de 600 entreprises et 250 000 développeurs. En analysant toutes les activités d'apprentissage réalisées sur notre plateforme, notre algorithme génère un score complet. Ce score prend en compte des facteurs tels que l'étendue et la profondeur des activités d'apprentissage, la compréhension des activités, la récence de l'apprentissage, la description du poste, le cycle de vie d'intégration et le nombre total de développeurs formés.
  
  

Nous sommes fiers d'avoir récemment poursuivi nos conversations avec nos clients et prospects au RSAC, où cela a suscité un intérêt considérable de la part des clients, des partenaires et des leaders du secteur.

Nous avons le plaisir de vous annoncer que nous organiserons un webinaire le 12 juin, dans lequel notre directeur de la technologie et cofondateur Matias Madou fournira un aperçu complet du SCW Trust Score et de ses applications pratiques dans des scénarios réels. Nous avons hâte de vous y voir.

Enfin, nous exprimons notre reconnaissance à chaque membre de la communauté de clients et de partenaires qui a contribué au développement et à l'amélioration du SCW Trust Score. Ensemble, nous nous engageons à comprendre à quoi ressemble une bonne posture de sécurité dans les organisations

Aujourd'hui, nous sommes ravis d'annoncer que le contenu de formation SAP:ABAP est disponible dans Secure Code Warrior ! Vous pouvez vous assurer que vos équipes de développement ABAP bénéficient de l'assistance dont elles ont besoin pour livrer du code de qualité plus rapidement, avec moins de retouches et moins de vulnérabilités grâce à :

• Entraînement à votre propre rythme
• Parcours d'apprentissage ciblés
• Compétitions de codage amusantes
• Évaluations sécurisées des compétences en matière de codage
• Rapports personnalisés sur les forces et les faiblesses des compétences de codage sécurisé

ABAP (UNEavancé Bentreprise UNEcandidature PProgrammation) est le langage principal utilisé par plus de 19 000 entreprises pour coder leurs applications métier sur les plateformes SAP. Au total, ces entreprises génèrent jusqu'à 87 % du commerce mondial total, soit 46 billions de dollars américains. Par conséquent, la sécurisation de l'ABAP est plus importante que jamais.

Chez Secure Code Warrior, nous nous efforçons de permettre aux développeurs de sécuriser toutes les applications critiques pour l'entreprise, y compris celles écrites dans des langages de niche comme ABAP et des langages plus courants comme Java.

‍

‍

Si vous êtes déjà client, vous pouvez désormais accéder au contenu dans les rubriques Entraînement, Cours et Tournois. N'hésitez pas à contacter votre Customer Success Manager si vous avez la moindre question 🙂.

Comment Secure Code Warrior contribue à sécuriser les applications ABAP critiques pour l'entreprise

L'ABAP étant un langage de niche, il est rarement inclus dans les plateformes de formation. Par conséquent, lorsque les entreprises essaient de former leurs développeurs, elles le font par le biais de programmes trop coûteux et inefficaces, tels que des ateliers ponctuels.

Avec Secure Code Warrior, vous bénéficiez d'une solution de formation continue et efficace.

Notre contenu de formation est diffusé dans le format préféré des développeurs : extraits de code et exemples. Vous pouvez donc être sûr qu'ils utiliseront et apprécieront le contenu.

De plus, grâce à la profondeur et à l'étendue de notre contenu et à notre système d'apprentissage par niveaux, les développeurs ABAP bénéficient du soutien continu dont ils ont besoin pour améliorer progressivement leurs compétences en matière de codage sécurisé. Cette expérience d'apprentissage progressive permet aux développeurs de développer leur mémoire musculaire et de mettre en pratique ce qu'ils apprennent dans leurs projets.

‍

Apprenez à identifier les vulnérabilités et à sécuriser les modèles de code grâce à des défis de codage

‍

Nous savons que les développeurs travaillent mieux dans des environnements qu'ils connaissent bien. C'est pourquoi nous vous présentons notre défis de codage dans une interface semblable à un éditeur de code.

Les développeurs peuvent parcourir les fichiers et les lignes de code pour localiser, identifier et corriger les vulnérabilités ABAP dans les bases de code fonctionnelles. Au cours de la formation, les développeurs apprennent à reconnaître les modèles de code vulnérables et à identifier les correctifs appropriés, ce qui permet de détecter les vulnérabilités plus tôt et d'accélérer le temps de correction.

ABAP est le plus récent ajout à nos offres linguistiques, les mêmes avantages sont disponibles pour toutes les 57 autres langues (et ce n'est pas fini) que nous couvrons sur la plateforme.

J'ai constaté que la correction des vulnérabilités était le résultat direct du déploiement de la formation Secure Code Warrior®, car mes développeurs disent des choses comme « Je me souviens avoir appris « ceci » lors de la formation Secure Code Warrior®, alors je suis en train de créer un ticket pour résoudre le problème de sécurité ici. »

Nicole Smith, responsable de la sécurité, Komodo Health

Devenez un développeur féru de sécurité grâce à des simulations immersives dans le monde réel

‍

Une fois que les développeurs ABAP se seront familiarisés avec les pratiques de base du codage sécurisé. Ils peuvent se lancer le défi de devenir des champions de la sécurité en jouant Missions.

Les missions sont nos terrains de jeu simulés qui permettent aux développeurs d'exploiter une vulnérabilité spécifique. En observant en temps réel l'impact d'un exploit sur une application qui fonctionne, ils peuvent mettre en pratique des compétences offensives en matière de codage sécurisé et les reprendre pour protéger leurs projets.

Essayez les défis de codage ABAP

Grâce au contenu le plus récent d'ABAP, vous pouvez proposer un programme de formation progressif aux développeurs de manière simple et efficace.

Les clients existants de Secure Code Warrior peuvent accéder au contenu de la formation via Entraînement, Cours, Tournoi, et Évaluation modes de jeu.

Si votre équipe n'a pas encore intégré notre solution, pourquoi ne pas l'essayer ? nos défis en matière de codage ABAP aujourd'hui ?

ABAP est l'une des nombreuses langues disponibles

Nous proposons du contenu de formation pour 57 autres langues, y compris les plus populaires (Java et C++) et les étoiles montantes (GO et Typescript). Consultez notre liste complète des langages pris en charge et testez les défis de codage dans le framework de votre choix dès aujourd'hui.

Secure Code Warrior et Okta lancent une nouvelle méthode pour sécuriser les flux de travail des développeurs

Les développeurs sont censés fournir du code de qualité plus rapidement que jamais, mais il ne fait aucun doute que des délais irréalistes peuvent entraîner une mauvaise qualité logicielle et un code vulnérable. Il n'est pas surprenant que 67 % des développeurs pensent qu'ils fournissent du code présentant des vulnérabilités, en partie à cause de délais serrés (État de la sécurité pilotée par les développeurs en 2022). Alors que les menaces et les violations continuent d'augmenter, la sécurité ne peut plus être une question secondaire, elle doit plutôt être intégrée à l'ensemble du cycle DevSecOps.

Nous sommes ravis d'annoncer le connecteur Secure Code Warrior pour Okta Workflows, qui permet aux entreprises et aux développeurs d'écrire du code sécurisé dès le début du cycle de développement logiciel. Cette nouvelle collaboration entre SCW et Okta, le principal fournisseur indépendant d'identité, crée un contrôle de compétence en matière de sécurité qui permettra aux responsables AppSec de s'assurer que l'équipe utilise du code sécurisé pour réduire les vulnérabilités, le tout sans déplacer les développeurs de leur flux de travail. De plus, nous avons ajouté l'authentification unique pour Secure Code Warrior et Okta afin de simplifier encore plus l'utilisation de cette nouvelle solution géniale.

Réduisez le risque d'introduction de vulnérabilités

Les équipes de développement se sont traditionnellement appuyées sur des processus réactifs ou lents intervenant plus tard dans le cycle de développement, tels que des plugins, des outils d'analyse ou des révisions de code pour localiser et résoudre les problèmes de sécurité. Bien que ces approches présentent de nombreux avantages, elles présentent tout simplement trop de risques pour le code vulnérable et les retouches futures. Nous sommes là pour aider les entreprises à déplacer la sécurité vers la gauche et à adopter une position de sécurité proactive, et non réactive. Le nouveau connecteur Secure Code Warrior pour Okta Workflows intègre la notion de sécurité à l'ensemble du cycle de développement en garantissant que chaque développeur possède les compétences de codage sécurisé nécessaires pour obtenir l'accès au dépôt pour le code de validation. Cette intégration permettra aux développeurs de se familiariser avec les dernières pratiques en matière de sécurité via la plateforme hautement attrayante de SCW et de réduire certaines des tâches liées aux révisions manuelles du code, libérant ainsi des heures d'ingénierie pour proposer davantage de fonctionnalités sans sacrifier la qualité.

Les responsables de l'AppSec et de l'ingénierie tirent parti de la vaste plateforme d'apprentissage de SCW pour créer des évaluations et des parcours personnalisés afin de s'assurer que les développeurs se concentrent sur vos besoins prioritaires en matière de codage sécurisé et disposent de l'expertise requise pour être sûrs de pouvoir enregistrer le code. Grâce à l'étendue et à la profondeur du contenu, à plus de 6 500 défis de codage interactifs, à plus de 56 langages : frameworks et à plus de 150 catégories de vulnérabilités, vous pouvez être sûr que pratiquement tous les besoins de votre organisation peuvent être satisfaits.

Une fois que vous avez créé la bonne stratégie d'apprentissage pour votre équipe, les notes d'évaluation, ainsi que le statut d'achèvement d'un cours, peuvent être utilisés pour déterminer si les développeurs possèdent les compétences nécessaires pour créer des logiciels selon une approche axée sur la sécurité. Grâce à la nouvelle intégration avec Okta, vous pouvez désormais automatiser les autorisations pour chaque développeur en fonction de ses résultats d'évaluation, afin d'adapter facilement le degré d'approbation de chaque développeur à la validation du code ou d'identifier les opportunités permettant d'améliorer ses compétences.

Grâce à l'expérience d'apprentissage flexible et interactive de la plateforme SCW, les développeurs prennent toujours du plaisir à apprendre et peuvent constater une évolution dans leur approche de l'apprentissage, passant d'une case à cocher de conformité à une approche convaincante et intéressante.

Comment ça marche

Le connecteur Secure Code Warrior pour Okta Workflows est facile à créer avec Okta Workflows, sans automatisation de l'identité de code ni configuration d'orchestration, en utilisant une logique si-then. Le connecteur utilise un ensemble d'actions qui vous aident à effectuer des tâches de flux de travail sans vous soucier des complexités sous-jacentes des appels d'API et de la configuration.

Une conception simple pour sécuriser le flux de travail de votre développeur ressemble à ceci :

Voici un aperçu de la conception complète du flux de travail :

‍

Passons en revue les étapes suivantes :

1. Configurez l'ID d'évaluation utilisé pour déterminer les compétences d'un développeur en matière de sécurité. Ajoutez également des informations sur GitHub, telles que l'organisation et le référentiel, dans le cadre de la configuration.

2. À l'aide de l'action intitulée Vérifier la fin de l'évaluation pour l'utilisateur, le flux de travail vérifie si un développeur a réussi une évaluation particulière.

‍

3. Si le cours/l'évaluation souhaité est terminé ou si un score particulier a été obtenu, utilisez le connecteur GitHub pour autoriser l'accès au référentiel. Si l'exigence n'est pas remplie, une notification peut être générée ou un autre flux de travail Okta peut être déclenché pour prendre les mesures appropriées.

‍

Ce qui précède peut être conçu pour être exécuté comme une vérification ponctuelle, périodique ou continue afin de continuer à n'admettre que les développeurs éligibles dans le flux de travail sécurisé.

Certaines des autres actions possibles du connecteur SCW sont les suivantes :

• Répertorier les tentatives d'évaluation pour l'utilisateur : répertorie toutes les tentatives d'un utilisateur pour une évaluation particulière
• Vérifier l'achèvement du cours pour l'utilisateur : détermine si un utilisateur a terminé un cours spécifié
• Répertorier les inscriptions aux cours pour l'utilisateur : répertorie toutes les inscriptions d'un utilisateur pour un numéro de cours particulier
• Action d'API personnalisée : pour exécuter tout appel d'API autre que ce qui est possible via les actions disponibles

Publiez du code sécurisé de haute qualité plus rapidement et en toute confiance

SCW Connector permet de réduire le risque d'introduction de vulnérabilités au début du cycle de développement logiciel. Tout comme les outils de révision de code et d'analyse, il joue le rôle d'un Quality Gate pour garantir que les développeurs écrivent du code sécurisé dès le départ. Par conséquent, moins de temps est consacré à la révision du code et à la résolution des problèmes évitables, et l'accent est mis sur l'expédition plus rapide du code de qualité. En outre, le Connector contribue également à promouvoir une culture axée sur la sécurité en encourageant les développeurs à utiliser de manière proactive la plateforme d'apprentissage de SCW afin de maintenir leurs compétences en matière de sécurité. Au fur et à mesure que les développeurs apprennent et améliorent leur maturité en matière de sécurité, les vulnérabilités continuent de diminuer dans le nouveau code. Cela allège la charge de l'assistance à la correction de la part de l'équipe AppSec, ce qui lui permet de se concentrer davantage sur le renforcement de la posture de sécurité globale des organisations.

Le connecteur Secure Code Warrior pour les flux de travail Okta, ainsi que notre plateforme d'apprentissage, peut aider les entreprises à atteindre leur objectif de déplacer la sécurité vers la gauche, plus rapidement en améliorant les compétences de sécurité des équipes de développement.

Contactez planifier une démonstration ou consultez le documentation pour en savoir plus sur l'installation et la configuration.

‍