Mise en place d'une approche cohérente de la sécurité menée par les développeurs
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
En réponse à des failles de sécurité majeures telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, les efforts de sécurité menés par les développeurs se font de plus en plus pressants. Les organisations de toutes tailles commencent à remettre en question leur "chaîne d'approvisionnement en logiciels" et à exiger que les développeurs de leurs logiciels aient des compétences et des connaissances vérifiées en matière de sécurité.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement en logiciels. Ces concepts sont un élément clé du décret sur l'amélioration de la cybersécurité de la nation publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée d'intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et des mouvements tels que DevSecOps.
Les vulnérabilités des logiciels continuent d'être exploitées, et même les développeurs admettent qu'ils laissent parfois des failles dans leur code.
Pourquoi ?
L'enquête a confirmé que l'écriture d'un code de qualité était une priorité absolue pour la communauté des développeurs. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien qu'elle soit considérée comme utile, ne permet pas d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement en logiciels. 33 % ont déclaré qu'ils laissaient encore des vulnérabilités dans leur code parce que, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Par ailleurs, 92 % des personnes interrogées ont déclaré qu'elles avaient besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % d'entre elles ont déclaré qu'elles avaient besoin de beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Toutefois, lorsqu'on les interroge sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps est cité comme la première raison, suivi par un cinquième des répondants qui citent l'absence d'une approche cohérente comme coupable. La formation est davantage considérée comme un événement ponctuel que comme un élément d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Ainsi, les développeurs ne sont pas en mesure d'acquérir et de conserver des compétences en matière de codage sécurisé dans le cadre d'un programme cohérent et continu au sein de leur organisation. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète, étant donné que de nombreux développeurs affirment qu'ils ne peuvent toujours pas identifier et corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 % ont déclaré qu'une formation beaucoup plus poussée était nécessaire.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de noter que les développeurs ont massivement déclaré qu'ils avaient besoin d'une formation plus poussée en matière de sécurité. Bien qu'ils apprécient la formation qu'ils ont reçue, il s'agit peut-être d'une situation où ils se contentent de ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables idées sur la question ont commencé à faire surface. En général, la plupart des formations reçues par les développeurs étaient limitées, non interactives, ne ciblaient que partiellement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité.Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité des formations proposées, celles-ci devraient être présentées comme faisant partie d'une approche globale visant à promouvoir une plus grande importance de la sécurité tout au long du cycle de vie du logiciel. En outre, les développeurs ont formulé des demandes spécifiques pour rendre leur formation plus utile. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils sont susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité était que la formation couvre éventuellement des scénarios de plus en plus complexes ou difficiles - ce qui nécessiterait probablement une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences.Les développeurs ont également souligné le besoin de plus d'interactivité et peut-être même d'ajouter un élément de compétition. En général, les formations où les utilisateurs se contentent de regarder une vidéo ou d'écouter un cours magistral sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme) difficile telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même de l'ajout d'un élément compétitif.
Quels sont les autres éléments importants dans l'adoption d'une approche cohésive de la sécurité ?
La formation est évidemment essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente de la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs ont toujours été évalués en fonction de leur rapidité à coder. Mais une approche cohésive de la sécurité pourrait impliquer de modifier ces mesures et valeurs de longue date. Au lieu de récompenser la vitesse brute, les évaluations pourraient mettre l'accent sur les développeurs capables de créer un code de qualité qui soit également sûr, c'est-à-dire dépourvu de vulnérabilités.
La communauté des développeurs pourrait également participer à cet effort. Au lieu de simplement imposer la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité au sein de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distinguent soit dans le cadre de la formation, soit dans le cadre des évaluations de mesures nouvellement ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté de développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte ce qui est nécessaire pour favoriser une véritable culture de la sécurité dirigée par les développeurs. Cela peut nécessiter un changement d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et les opportunités) pour améliorer la sécurité des logiciels
Livre blanc : L'approche préventive de la sécurité des logiciels axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : Comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités tardives.
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.