Passer d'une approche réactive à une approche proactive, avec un codage sécurisé piloté par l'homme
Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Mais aujourd'hui, une nouvelle étude indique une nouvelle direction, guidée par l'homme.
Letexte qui suit présente les conclusions d'une étude menée par Secure Code Warrior en collaboration avec Evans Data Corp, intitulée "Shifting from reaction to prevention : The changing face of application security" (2021) explorant les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Téléchargez le livre blanc ici.
Dansl'étude qui sera bientôt publiée, les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé. Les trois réponses les plus fréquentes sont les suivantes :
- Utilisation d'outils d'analyse sur les applications déployées.
- Examiner manuellement le code pour détecter les vulnérabilités.
- La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.
Qu'est-ce que cela nous apprend ? Deux des trois premières réponses sont encore axées sur des approches réactives, la première dépendant de l'outillage (scanners) et la seconde du développeur (c'est-à-dire de l'homme) effectuant des vérifications manuelles - dans les deux cas après l' écriture du code. Les vulnérabilités détectées à l'aide de ces méthodes doivent être renvoyées à l'équipe de développement pour être retravaillées, ce qui a des répercussions sur les délais et les coûts du projet.
Dans le même temps, deux des trois activités proposées s'appuient sur l'élément humain, ce qui montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels qui sont protégés contre les vulnérabilités en premier lieu. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement du logiciel.
Réactif peut être synonyme d'EXPENSIF
Selon une étude d'IBM*, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ. Il s'agit là d'une puissante incitation à adopter une nouvelle approche proactive et plus humaine de la défense de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ.
C'est ce que l'on pourrait appeler une défense dirigée par l'homme. Mais pour que les développeurs commencent à se préoccuper de la sécurité, celle-ci doit faire partie de leur façon de penser et de coder au quotidien. Il s'agit d'un appel à de nouvelles approches de la formation qui soient hyper pertinentes par rapport au travail quotidien des développeurs et qui leur donnent envie d'apprendre - ce qui n'est pas le cas des modèles de formation actuels.
Pour créer une culture de sécurité proactive, de nouvelles formations sont nécessaires :
- fait du codage sécurisé une expérience positive et attrayante pour les développeurs qui améliorent leurs compétences en matière de sécurité des logiciels
- encourage les développeurs à envisager leurs tâches quotidiennes de codage dans une optique de sécurité
- intégrer le codage sécurisé dans leur flux de travail quotidien
Lorsque ces éléments sont réunis, les vulnérabilités sont évitées, ce qui permet aux équipes de livrer un code de qualité plus rapidement et en toute confiance. La bonne nouvelle, c'est qu'il existe déjà un site Learning Platform qui "commence à gauche" dans le processus de développement de logiciels - un site qui donne déjà aux développeurs les compétences et les outils nécessaires pour créer un code de qualité dès le départ.
*IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement)
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Or, une nouvelle étude montre qu'il existe une nouvelle approche, axée sur l'humain.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Mais aujourd'hui, une nouvelle étude indique une nouvelle direction, guidée par l'homme.
Letexte qui suit présente les conclusions d'une étude menée par Secure Code Warrior en collaboration avec Evans Data Corp, intitulée "Shifting from reaction to prevention : The changing face of application security" (2021) explorant les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Téléchargez le livre blanc ici.
Dansl'étude qui sera bientôt publiée, les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé. Les trois réponses les plus fréquentes sont les suivantes :
- Utilisation d'outils d'analyse sur les applications déployées.
- Examiner manuellement le code pour détecter les vulnérabilités.
- La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.
Qu'est-ce que cela nous apprend ? Deux des trois premières réponses sont encore axées sur des approches réactives, la première dépendant de l'outillage (scanners) et la seconde du développeur (c'est-à-dire de l'homme) effectuant des vérifications manuelles - dans les deux cas après l' écriture du code. Les vulnérabilités détectées à l'aide de ces méthodes doivent être renvoyées à l'équipe de développement pour être retravaillées, ce qui a des répercussions sur les délais et les coûts du projet.
Dans le même temps, deux des trois activités proposées s'appuient sur l'élément humain, ce qui montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels qui sont protégés contre les vulnérabilités en premier lieu. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement du logiciel.
Réactif peut être synonyme d'EXPENSIF
Selon une étude d'IBM*, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ. Il s'agit là d'une puissante incitation à adopter une nouvelle approche proactive et plus humaine de la défense de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ.
C'est ce que l'on pourrait appeler une défense dirigée par l'homme. Mais pour que les développeurs commencent à se préoccuper de la sécurité, celle-ci doit faire partie de leur façon de penser et de coder au quotidien. Il s'agit d'un appel à de nouvelles approches de la formation qui soient hyper pertinentes par rapport au travail quotidien des développeurs et qui leur donnent envie d'apprendre - ce qui n'est pas le cas des modèles de formation actuels.
Pour créer une culture de sécurité proactive, de nouvelles formations sont nécessaires :
- fait du codage sécurisé une expérience positive et attrayante pour les développeurs qui améliorent leurs compétences en matière de sécurité des logiciels
- encourage les développeurs à envisager leurs tâches quotidiennes de codage dans une optique de sécurité
- intégrer le codage sécurisé dans leur flux de travail quotidien
Lorsque ces éléments sont réunis, les vulnérabilités sont évitées, ce qui permet aux équipes de livrer un code de qualité plus rapidement et en toute confiance. La bonne nouvelle, c'est qu'il existe déjà un site Learning Platform qui "commence à gauche" dans le processus de développement de logiciels - un site qui donne déjà aux développeurs les compétences et les outils nécessaires pour créer un code de qualité dès le départ.
*IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement)
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Mais aujourd'hui, une nouvelle étude indique une nouvelle direction, guidée par l'homme.
Letexte qui suit présente les conclusions d'une étude menée par Secure Code Warrior en collaboration avec Evans Data Corp, intitulée "Shifting from reaction to prevention : The changing face of application security" (2021) explorant les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Téléchargez le livre blanc ici.
Dansl'étude qui sera bientôt publiée, les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé. Les trois réponses les plus fréquentes sont les suivantes :
- Utilisation d'outils d'analyse sur les applications déployées.
- Examiner manuellement le code pour détecter les vulnérabilités.
- La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.
Qu'est-ce que cela nous apprend ? Deux des trois premières réponses sont encore axées sur des approches réactives, la première dépendant de l'outillage (scanners) et la seconde du développeur (c'est-à-dire de l'homme) effectuant des vérifications manuelles - dans les deux cas après l' écriture du code. Les vulnérabilités détectées à l'aide de ces méthodes doivent être renvoyées à l'équipe de développement pour être retravaillées, ce qui a des répercussions sur les délais et les coûts du projet.
Dans le même temps, deux des trois activités proposées s'appuient sur l'élément humain, ce qui montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels qui sont protégés contre les vulnérabilités en premier lieu. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement du logiciel.
Réactif peut être synonyme d'EXPENSIF
Selon une étude d'IBM*, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ. Il s'agit là d'une puissante incitation à adopter une nouvelle approche proactive et plus humaine de la défense de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ.
C'est ce que l'on pourrait appeler une défense dirigée par l'homme. Mais pour que les développeurs commencent à se préoccuper de la sécurité, celle-ci doit faire partie de leur façon de penser et de coder au quotidien. Il s'agit d'un appel à de nouvelles approches de la formation qui soient hyper pertinentes par rapport au travail quotidien des développeurs et qui leur donnent envie d'apprendre - ce qui n'est pas le cas des modèles de formation actuels.
Pour créer une culture de sécurité proactive, de nouvelles formations sont nécessaires :
- fait du codage sécurisé une expérience positive et attrayante pour les développeurs qui améliorent leurs compétences en matière de sécurité des logiciels
- encourage les développeurs à envisager leurs tâches quotidiennes de codage dans une optique de sécurité
- intégrer le codage sécurisé dans leur flux de travail quotidien
Lorsque ces éléments sont réunis, les vulnérabilités sont évitées, ce qui permet aux équipes de livrer un code de qualité plus rapidement et en toute confiance. La bonne nouvelle, c'est qu'il existe déjà un site Learning Platform qui "commence à gauche" dans le processus de développement de logiciels - un site qui donne déjà aux développeurs les compétences et les outils nécessaires pour créer un code de qualité dès le départ.
*IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement)
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationSecure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Learning Platform propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
Les dix mêmes vulnérabilités logicielles ont été à l'origine de plus de violations de la sécurité au cours des vingt dernières années que n'importe quelles autres. Et pourtant, de nombreuses entreprises continuent d'opter pour des mesures correctives après la faille, après l'événement, en se débattant dans les ramifications humaines et commerciales de tout cela. Mais aujourd'hui, une nouvelle étude indique une nouvelle direction, guidée par l'homme.
Letexte qui suit présente les conclusions d'une étude menée par Secure Code Warrior en collaboration avec Evans Data Corp, intitulée "Shifting from reaction to prevention : The changing face of application security" (2021) explorant les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité. Téléchargez le livre blanc ici.
Dansl'étude qui sera bientôt publiée, les développeurs et les responsables du développement ont été interrogés sur les activités qu'ils associent au codage sécurisé. Les trois réponses les plus fréquentes sont les suivantes :
- Utilisation d'outils d'analyse sur les applications déployées.
- Examiner manuellement le code pour détecter les vulnérabilités.
- La pratique active et continue de l'écriture de logiciels protégés contre les vulnérabilités.
Qu'est-ce que cela nous apprend ? Deux des trois premières réponses sont encore axées sur des approches réactives, la première dépendant de l'outillage (scanners) et la seconde du développeur (c'est-à-dire de l'homme) effectuant des vérifications manuelles - dans les deux cas après l' écriture du code. Les vulnérabilités détectées à l'aide de ces méthodes doivent être renvoyées à l'équipe de développement pour être retravaillées, ce qui a des répercussions sur les délais et les coûts du projet.
Dans le même temps, deux des trois activités proposées s'appuient sur l'élément humain, ce qui montre que la sécurité est de plus en plus perçue comme une question humaine. Mais de toutes les activités proposées, la plus révélatrice est la n° 3, qui identifie le facteur humain dans l'écriture de logiciels qui sont protégés contre les vulnérabilités en premier lieu. Cela met en évidence un changement vers la gauche - une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement du logiciel.
Réactif peut être synonyme d'EXPENSIF
Selon une étude d'IBM*, il est trente fois plus coûteux de corriger les vulnérabilités d'un code après sa publication que si elles avaient été détectées et corrigées dès le départ. Il s'agit là d'une puissante incitation à adopter une nouvelle approche proactive et plus humaine de la défense de la sécurité des logiciels, qui permette aux développeurs de coder de manière plus sûre, dès le départ.
C'est ce que l'on pourrait appeler une défense dirigée par l'homme. Mais pour que les développeurs commencent à se préoccuper de la sécurité, celle-ci doit faire partie de leur façon de penser et de coder au quotidien. Il s'agit d'un appel à de nouvelles approches de la formation qui soient hyper pertinentes par rapport au travail quotidien des développeurs et qui leur donnent envie d'apprendre - ce qui n'est pas le cas des modèles de formation actuels.
Pour créer une culture de sécurité proactive, de nouvelles formations sont nécessaires :
- fait du codage sécurisé une expérience positive et attrayante pour les développeurs qui améliorent leurs compétences en matière de sécurité des logiciels
- encourage les développeurs à envisager leurs tâches quotidiennes de codage dans une optique de sécurité
- intégrer le codage sécurisé dans leur flux de travail quotidien
Lorsque ces éléments sont réunis, les vulnérabilités sont évitées, ce qui permet aux équipes de livrer un code de qualité plus rapidement et en toute confiance. La bonne nouvelle, c'est qu'il existe déjà un site Learning Platform qui "commence à gauche" dans le processus de développement de logiciels - un site qui donne déjà aux développeurs les compétences et les outils nécessaires pour créer un code de qualité dès le départ.
*IBM Software Group ; Minimizing Code Defects to Improve Software Quality and Lower Development Costs (Minimiser les défauts de code pour améliorer la qualité des logiciels et réduire les coûts de développement)
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.