En 2021, nous inaugurons une nouvelle ère pour le légendaire Top 10 de l'OWASP. Cette dernière version révèle des bouleversements importants, les failles d'injection ayant finalement été supprimées de la première place au profit de vulnérabilités Broken Access Control. De nouveaux articles, tels que Insecure Design et Software and Data Integrity Failures, montrent une tendance vers des catégories de vulnérabilités, plutôt que vers des bogues de sécurité autonomes, ce qui prouve que le paysage des menaces et la surface d'attaque potentielle des bogues les plus courants s'élargissent.

L'OWASP a toujours été l'autorité de référence pour les problèmes de sécurité les plus courants et les plus insidieux rencontrés dans les logiciels que nous utilisons au quotidien, et s'il existe une base de référence sur laquelle les entreprises devraient s'efforcer, c'est de conquérir ce top 10 avec l'aide de développeurs formés à la sécurité. Bien que de nombreuses entreprises en soient conscientes, nous devons commencer à élargir le réseau en améliorant les compétences des développeurs si l'on veut un jour réduire le gouffre en matière de compétences en cybersécurité et avoir un impact positif sur la sécurité des logiciels face à une demande effrénée de code.

Ce livre blanc analysera le nouveau Top 10 de l'OWASP, notamment :

• L'impact des catégories de vulnérabilité par rapport aux problèmes individuels
• Pourquoi la sécurité architecturale fait l'objet d'une attention renouvelée
• La valeur du Top 10 de l'OWASP comme point de référence et les raisons pour lesquelles les entreprises doivent établir leur propre liste de priorités en matière de perfectionnement des développeurs
• Pourquoi les solutions centrées sur l'humain pour réduire les vulnérabilités constituent une approche plus holistique que la défense basée sur des outils.

‍

Donnez aux développeurs les moyens d'améliorer la productivité et la sécurité du code

Secure Code Warrior est l'une des quatre entreprises citées dans le rapport Gartner® Cool Vendors™ in Software Engineering : Enhancing Developer Productivity.

Selon Gartner, les ingénieurs logiciels ont du mal à naviguer dans des environnements de code complexes et à améliorer la sécurité des systèmes qu'ils développent tout en restant productifs. Les responsables de la sécurité et de l'ingénierie devraient prendre en compte les fournisseurs les plus intéressants de cette étude, qui proposent des solutions innovantes qui aident les entreprises à améliorer la productivité des développeurs et à atténuer les risques de sécurité.

Accédez au rapport complet dès maintenant.

‍

Lisez le rapport Gartner Cool Vendors in Software Engineering : Enhancing Developer Productivity, publié par Arun Batchu, Marty Resnick et Manjunath Bhat le 16 mai 2022.

‍ *_{GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde et est utilisée ici avec autorisation. Tous droits réservés. Le badge GARTNER COOL VENDOR est une marque commerciale et une marque de service de Gartner, Inc. et/ou de ses filiales et est utilisé ici avec autorisation. Tous droits réservés. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs ayant obtenu les meilleures notes ou toute autre désignation. Les publications de recherche de Gartner reflètent les opinions de l'organisation Gartner Research & Advisory et ne doivent pas être interprétées comme des déclarations factuelles. Gartner décline toute garantie, expresse ou implicite, concernant cette étude, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.}

‍

Suscitez l'intérêt des équipes de développeurs pour l'amélioration des compétences en matière de code sécurisé.
‍La formation à la sécurité peut sembler n'être qu'un obstacle de plus dans le flux de travail d'un développeur, mais cette page d'une page met en évidence les avantages qu'elle peut apporter à celui-ci.

‍

Paysafe致力于将金融交易转化为基于信任的体验，并深知提供一个安全流畅的平台——该平台处理着超过1520亿美元的年化交易量——绝非仅仅满足基本合规标准那么简单。 过去四年间Secure Code Warrior持续推动开发者风险管理的整体化策略。该应用安全计划已对企业整体需求产生积极影响，具体包括：

挑战：提升Paysafe内部代码安全标准

作为跨国在线支付服务商，Paysafe始终将安全编码视为超越PCI DSS合规要求的战略重点。 尽管早期举措包含专家主持的正式课堂培训课程和技能评估，但Paysafe始终致力于持续拓展安全编码计划的覆盖范围与实施深度，确保采用一流的应用程序安全策略，并使工程师从编码之初就遵循安全规范。

« 对我们而言，他从未满足于简单打勾确认培训完成。我们的目标是让员工持续掌握最新进展。我们始终致力于改进并付出更多努力。 我们希望工程团队与安全团队协同合作。能够自我成长的团队更具洞察力，编写的代码也更优质。」Paysafe个人发展合作伙伴博扬·赫里斯托夫如是说。

Paysafe的愿景是将安全前移，培养具备安全意识的工程师，使其在软件开发生命周期的每个阶段都融入安全编码实践。 为此，他们需要一个可扩展、参与度高且持续的计划，该计划不仅能为PCI合规性提供审计证据，更能推动深远而持久的文化变革。这包括寓教于乐的学习体验、定期竞赛以及持续培训，帮助开发人员始终掌握行业安全趋势的前沿动态。

解决方案：Secure Code WarriorWarrior的前沿技术方案

Secure Code Warrior 开发者风险管理Secure Code Warrior 安全编码实践的建立、提升工程师参与度，并将安全措施更早地融入开发周期。其"安全卫士"计划随着时间推移Secure Code Warrior 在实现网络风险防范目标方面Secure Code Warrior 关键作用。

Paysafe通过鼓励举办提供丰厚奖品的锦标赛等趣味活动，让开发者能够自然地参与平台互动，从而激发开发者的参与热情。在项目初期部署阶段，该公司为满足PCI合规要求而强制实施了部分评估环节，同时提供了其他可选内容与活动。

随着该计划逐步推进，管理层提供了额外支持，从而进一步统一了开发团队与信息安全团队的目标。这使Paysafe团队得以将计划提升至更高层次，并引入了更正式的认证计划——这些计划设有明确的关键绩效指标（KPI）和成功激励机制。

该计划的下一阶段聚焦于OWASP十大核心安全主题，通过分级认证体系让开发人员能够逐步提升安全能力。如今该计划已迈入全新发展阶段，在广度与成熟度上均实现突破，为全职员工至临时工等各级开发人员树立了更高的基础安全标准。

我们非常珍视过去四年与SCW建立的合作伙伴关系。 通过共同努力，我们成功推出了针对应用程序安全的专项培训，并深化了安全团队与工程团队的合作关系——双方都致力于在软件开发生命周期（SDLC）的最早阶段就构建安全代码。"Paysafe信息安全总监Alan Osborne如是说。

得益于首席信息安全官、首席技术官及工程管理层的持续支持与Secure Code Warrior 其安全代码计划的演进。如今该计划已与企业需求紧密契合，既能提供切实成果，又能持续激发内部团队的参与热情与工作动力。

结果：为整个组织的安全代码制定新标准

自四年前启动安全计划以来，Paysafe的应用程序安全举措已显著提升。Secure Code Warrior的合作，Paysafe证明了面向开发者的整体风险管理方法能为整个组织带来深远影响。

Paysafe对SAST扫描数据的分析Secure Code Warrior 团队开发的应用程序在初始开发阶段检测到的漏洞数量显著Secure Code Warrior 。在开发人员更积极参与SCW平台的团队中，首次扫描检测到的漏洞数量进一步降低。

Secure Code Warrior 活动度与参与度最高的团队逐年显著Secure Code Warrior 开发初期阶段发现的漏洞Secure Code Warrior 充分证明了基于技能的持续培训对强化安全编码习惯的附加价值。 通过在开发初期就创建安全代码，该团队及其SDLC中的其他团队节省了大量时间。通过在开发初期预防漏洞，消除了识别、记录和重构代码漏洞的需求，从而节省了数千小时的开发时间。 这使开发人员生产力提升了45%，充分证明了提升安全编码技能和优化日常开发流程的价值。该方案为工程团队和应用安全团队创造了双赢局面。

Paysafe对安全编码的承诺使其脱颖^而出，在 银行与金融服务基准指数^中 荣登SCW^{Trust Score®榜} 单第四位。 尽管这是值得骄傲的成就，但Paysafe对安全代码倡议的承诺并未止步。在与安全代码Secure Code Warrior（Secure Code Warrior）合作取得的成果激励下，Paysafe正致力于进一步完善该计划。

«Secure Code Warrior 提升了开发人员的生产力，加速了产品和功能的上市速度，并随着时间推移显著降低了成本和风险 »，Paysafe 信息安全总监 Alan Osborne 表示。 「我们证明了安全编码——通过强化开发人员培训来支持——不仅是优势所在，更是经实践验证的投资。它不仅能创造真实的投资回报，更能提升开发人员的技能、经验和能力。」

随后，Paysafe致力于通过在其流程中融入额外的治理与风险管理措施，使安全标准更具可操作性。SCW Trust Agent深化了Secure Code Warrior 长期合作关系Secure Code Warrior 彰显了其对网络安全卓越性的坚定承诺。

Dans un récent rapport d'Aberdeen, 8 organisations sur 9 n'étaient au courant d'aucun problème de conformité ou de vulnérabilité dans leur base de code. Pour la seule entreprise qui a identifié des problèmes, ce qu'elle savait ne représentait que 9,5 % des problèmes réels finalement découverts lors d'un audit logiciel. Cela représente à la fois une lacune en matière d'évitement et de remédiation lorsqu'il s'agit de gérer les risques de sécurité et de conformité.

Il est important de combler cette lacune pour aider les équipes d'ingénierie et leurs dirigeants à mieux comprendre l'impact des logiciels libres sur la capacité d'une organisation à créer et à fournir des solutions sans risque. Une partie de la solution consiste à créer un processus en boucle fermée visant à former les développeurs à l'importance de la sécurité et de la conformité ainsi qu'à la manière d'atténuer les risques, tout en établissant les bons outils pour la découverte et la correction.

Si vous êtes développeur, ingénieur ou spécialiste de la sécurité, écoutez nos experts Alex Rybak, directeur de la gestion des produits chez Revenera, et Matias Madou, directeur technique de Secure Code Warrior, discuter des points suivants dans ce webinaire :

- L'importance de mettre en œuvre une gouvernance continue tout au long du cycle de vie du développement logiciel.
- Pourquoi une nomenclature logicielle (sBOM) est la meilleure amie d'un responsable de l'ingénierie.
- Le développement de solutions fiables commence par la définition de politiques interfonctionnelles convenues pour identifier et corriger les risques.
- L'entrée en vigueur de réglementations sectorielles nécessitant des changements structurels pour soutenir la gestion de la conformité et de la sécurité.
- Le rôle que jouent désormais les entreprises dans la sécurisation de la formation des développeurs grâce à des programmes tels que la microformation pour une initiative de gestion open source plus robuste.

TL ; ESSAYER

À propos de Colgate-Palmolive

Colgate-Palmolive Company est une marque de produits de consommation marquante connue et appréciée par les foyers du monde entier. Bien qu'elle soit vieille de plus de deux siècles, il s'agit d'une entreprise innovante en pleine croissance qui tire parti du numérique pour réimaginer un avenir plus sain pour les humains, leurs animaux de compagnie et la planète.

情况

Colgate-Palmolive, comme presque toutes les autres organisations, connaît une transformation numérique afin de mieux servir ses clients, ce qui a entraîné un changement dans la façon dont l'organisation aborde la sécurité des applications.

Alex Schuchman, CISO chez Colgate-Palmolive, l'explique ainsi :

« Il est très important pour nous de protéger les données de nos clients et d'être ainsi en mesure de renforcer la confiance, non seulement dans nos produits, mais aussi dans les interactions numériques que nos clients entretiennent avec nous. »

Mais pour Alex, le défi était de sécuriser la source des éventuelles violations des données des clients, à savoir le code lui-même.

« Le fait de travailler sur la conception des applications m'a été très utile lorsque je suis passé à mon rôle de CISO. Je comprends la difficulté de récupérer des tickets auprès d'AppSec ou la frustration de ne pas respecter les délais à cause de retouches. Par conséquent, mon objectif en tant que CISO n'était pas seulement de renforcer la sécurité dans le cycle de vie du développement logiciel, mais également de rationaliser la manière dont elle est mise en œuvre. »

行动

Colgate-Palmolive a relevé ce défi en divisant sa formation en matière de sécurité en plusieurs parties. Cela l'a rendu plus acceptable pour les développeurs, qui ont pu l'intégrer à leur flux de travail, au lieu de suivre une formation de conformité longue et monolithique à laquelle ils étaient habitués. En tirant parti de l'approche agile et contextuelle de Secure Code Warrior pour l'apprentissage sécurisé du code, les développeurs ont pu comprendre les vulnérabilités dans le contexte de leurs projets réels, ce qui a permis d'accroître l'engagement et de conserver à long terme les compétences en matière de codage sécurisé.

« Je voulais mettre en œuvre ces meilleures pratiques tout en maintenant l'engagement des développeurs », explique Alex. « Nous avons encore mandaté des parties essentielles du programme, mais le fait de maintenir la gestion de la formation et d'écouter les commentaires des développeurs a contribué au succès du programme. »

Colgate-Palmolive a mis en œuvre un flux de travail Okta qui gère le référentiel GitHub, permettant uniquement aux développeurs ayant réussi des évaluations SCW spécifiques d'accéder aux pull requests, comme illustré dans le schéma ci-dessous.

Résultats

Selon Alex, « Nous avons compris que pour optimiser le succès, nous avions besoin de l'implication de nos développeurs dès le départ. Nous avons donc veillé à ce que les développeurs sachent qu'ils joueraient un rôle essentiel dans le succès du programme. En conséquence, nous avons constaté qu'il y avait une bien meilleure relation entre notre équipe de sécurité et nos développeurs, et nous avions vraiment l'impression de travailler en équipe sur le programme. Nous continuons à développer et à étendre le programme de maturité en matière de sécurité, en nous appuyant sur le succès que nous avons déjà connu. »

Principaux points à retenir

1. Définissez clairement les objectifs du programme et mettez l'accent sur la contribution et l'engagement des développeurs. Les développeurs sont plus susceptibles d'adhérer à un programme d'apprentissage de code sécurisé intégré à leur flux de travail et intégré aux outils de développement qu'ils utilisent au quotidien.
2. L'utilisation d'un outil SSO tel qu'Okta pour accéder au référentiel de code incite l'équipe. Seuls les développeurs ayant obtenu une note de passage à des cours et à des évaluations spécifiques du SCW sont autorisés à effectuer des pull requests.
3. Au fil du temps, développez une culture de sécurité qui favorise une relation de travail solide entre les équipes AppSec et de développement.

‍