Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

• Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
• Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
• La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
• Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Les utilisateurs de Linux n'ont pas eu la vie facile ces derniers temps, plusieurs vulnérabilités de grande gravité ayant affecté le système de diverses manières au cours des dernières années. Les chercheurs en sécurité ont maintenant un nouveau groupe de vulnérabilités à déballer, toutes liées à la fonction Common UNIX Printing System (CUPS) ciblant les systèmes GNU/Linux avec une voie potentielle pour l'exécution de code à distance (RCE).

Le 27 septembre 2024, Simone Margaritelli d'evilsocket.net a publié des informations critiques sur plusieurs vulnérabilités exploitables dans CUPS, avec des CVEs attribués par la suite à quatre d'entre elles. Ce nombre pourrait augmenter, mais à l'heure où nous écrivons ces lignes, la communauté de la sécurité débat de la gravité réelle de ces découvertes. Alors que l'un des CVE, CVE-2024-47177, a une note de gravité critique actuelle de 9.1 de MITRE, la manipulation réussie de cette faille d'injection de commande dépend des serveurs avec le service CUPS activé et, en outre, nécessite l'accès au port UDP 631 ou DNS-SD. RedHat note cependant qu'il est possible de remapper CUPS sur un port différent. 

L'analyse complète de l'incident par Margaritelli révèle une chaîne d'attaques insidieuse et complexe qui, malgré les désaccords au sein de la communauté, ne devrait pas être ignorée. Elle nous donne une leçon sur les dépendances apparemment inoffensives qui peuvent être profondément exploitées si un acteur de la menace est suffisamment déterminé et si de petites fenêtres d'opportunité ont été laissées ouvertes par de mauvais modèles de codage.

Le scénario CUPS est un peu différent de ce que de nombreux développeurs et professionnels de l'AppSec ont pu connaître auparavant, alors jetons un coup d'œil et testons vos compétences au passage.

La vulnérabilité : Exécution de code à distance (RCE) via CUPS

Le blog d'Evilsocket fournit des informations approfondies et inégalées sur ces exploits, et c'est une ressource que nous continuerons à suivre de près. Margaritelli cite également une source anonyme dans son article, qui ne semble pas optimiste quant à la robustesse générale de Linux en matière de sécurité :

‍

"D'un point de vue de sécurité générique, un système Linux entier tel qu'il est aujourd'hui n'est qu'un fouillis sans fin et sans espoir de failles de sécurité attendant d'être exploitées."

Cela nous rappelle les risques de sécurité inhérents aux environnements à code source ouvert, sans parler du besoin urgent d'une sensibilisation accrue à la sécurité et de compétences de codage sécurisées au sein de la communauté mondiale des développeurs.

Jetons un coup d'œil aux CVE :

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lachaîne de vulnérabilité est très répandue et affecte actuellement toutes les versions actuelles et antérieures des paquets suivants :

• distrotech/cups-filtres
• OpenPrinting/cups-filters
• Coupes parcourues
• libcupsfilters
• libppd
  
  

CUPS est un composant hérité des systèmes d'exploitation UNIX et Linux depuis plus de vingt ans. Sa fonction de dépendance des services d'impression l'incite à effectuer des requêtes sur le réseau, ce qui en fait une cible de choix pour les vulnérabilités de type RCE.

Dans le cas présent, cependant, les attaques se combinent avec une certaine ingéniosité pour aboutir à un résultat positif. Il s'agit essentiellement de la capacité d'un attaquant non authentifié et non détecté à remplacer les URL du protocole d'impression Internet (IPP) par des URL malveillantes, en plus de modifier les directives qui peuvent provoquer l'injection de commandes dans le "fichier PPD (PostScript Printer Description), qui est un fichier utilisé pour décrire les caractéristiques de l'imprimante nouvellement ajoutée. Il en résulte une attaque par exécution de commande une fois qu'un travail d'impression est activé, et qui repose sur un manque de validation des entrées dans les composants de CUPS.

En outre, la correction de cette vulnérabilité particulière crée une sorte d'épée à double tranchant, comme le souligne Evilsocket. CUPS comprend le filtre foomatic-rip, un exécutable qui s'est déjà avéré être un composant exploitable à haut risque. Les CVE relatives à ce composant remontent à 2011, et bien qu'il ait été établi que foomatic-rip peut être utilisé pour exécuter des commandes du système d'exploitation, la correction de ce problème entraîne des problèmes de stabilité et la perte de la prise en charge de nombreuses imprimantes plus anciennes. Il s'agit d'un problème complexe à résoudre.

1. L'acteur de la menace lance l'attaque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. Le système victime traite les attributs de l'imprimante
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. Le système de la victime se connecte au serveur IPP du contrôleur de l'attaquant.
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

Comment pouvez-vous atténuer le risque de RCE ?

Les entreprises qui utilisent CUPS dans le cadre de leurs opérations commerciales doivent suivre les conseils de remédiation recommandés par Evilsocket et RedHat. Cela inclut, mais n'est pas limité à, l'application des correctifs de sécurité en tant que priorité de niveau d'urgence.

Pour l'injection de commande en général, consultez notre guide complet.

Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Des informations exploitables qui mesurent vos efforts en matière d'apprentissage du code sécurisé 

La maximisation de la valeur de votre programme d'apprentissage du code sécurisé dépend fortement de l'engagement de vos utilisateurs. Le monde de la cybersécurité est un paysage en constante évolution avec de nouvelles menaces ainsi que des opportunités de renforcer votre posture de sécurité globale. Adopter une approche proactive de la sécurité de votre code nécessite un apprentissage continu du code sécurisé afin de maximiser l'efficacité et la pertinence du programme. Pour ce faire, les responsables du programme doivent avoir une compréhension claire de l'engagement des utilisateurs, non seulement à un moment donné, mais aussi sur des périodes prolongées afin d'identifier les tendances et d'optimiser les performances du programme.

C'est pourquoi nous sommes heureux d'annoncer un nouveau rapport conçu pour mesurer l'engagement de vos utilisateurs, qui permet de repérer facilement les tendances clés et d'identifier quand prendre des mesures au sein de votre organisation. Grâce à ces nouvelles informations, les organisations peuvent non seulement maximiser leur retour sur investissement en matière d'apprentissage de code sécurisé, mais aussi améliorer durablement leur position en matière de cybersécurité.

Quelles sont les nouveautés de ce rapport ?

Le rapport Engagement Insights présente un certain nombre de statistiques clés relatives à votre programme d'apprentissage agile, sur la période que vous avez sélectionnée (par défaut, les 12 derniers mois), qui est également accessible via l'API de reporting. Le rapport sur l'engagement fournit une vue rapide et facile sur le nombre de nouveaux apprenants qui ont été activement engagés avec le programme agile de SCW Plateforme D'apprentissage pendant cette période, les apprenants actifs qui se sont engagés avec la plateforme, et le nombre actuel d'apprenants activés.

‍

‍

Ces totaux ne sont qu'un début. Vous pouvez décomposer la manière dont vos apprenants se sont engagés avec la plateforme, en découvrant les tendances des apprenants actifs au cours de la période sélectionnée. Grâce à ces informations, vous pouvez planifier des communications (bulletins d'information internes, blogs) ou d'autres activités d'engagement afin que les développeurs reviennent pour perfectionner leurs compétences.

‍

De même, la ventilation des dernières activités d'apprentissage montre à quand remonte la dernière participation de vos apprenants à la plate-forme SCW. Comme pour toute forme d'apprentissage, le souvenir des concepts s'estompe avec le temps. L'idéal est que la plupart de vos apprenants soient regroupés dans les deux premières tranches indiquant un engagement récent. Ce type de regroupement permet non seulement de maintenir les compétences des développeurs à jour, mais aussi d'améliorer la note de confiance SCW de votre organisation en évitant la perte de compétences liée au temps dans l'ensemble.

‍

‍

Et les informations vont au-delà de la fréquence et de la récurrence. Le rapport d'engagement fournit une ventilation du temps que les apprenants ont passé dans les différentes parties de la plateforme Secure Code Warrior pendant la période sélectionnée. Les administrateurs peuvent utiliser ces informations pour identifier ce qui stimule l'engagement parmi la base d'utilisateurs. Cela fait-il un certain temps que vous n'avez pas organisé de SCW tournament, serait-il possible de réengager une partie de votre cohorte de développeurs ? Les apprenants utilisent-ils le module Explore pour élargir leurs horizons en dehors du contenu d'apprentissage structuré de Courses ou des évaluations ? L'identification des types d'engagement élevé ainsi que des utilisateurs de haut niveau offre des opportunités de concevoir des programmes que les développeurs aimeront et de célébrer vos leaders actifs.

‍

Comme vous pouvez le constater, il existe de nombreuses façons de mesurer l'engagement de vos apprenants dans votre programme d'apprentissage agile. Nous nous engageons à fournir des informations et des rapports supplémentaires afin d'obtenir les résultats d'apprentissage les plus efficaces et d'améliorer la position de votre organisation en matière de cybersécurité. Restez à l'écoute pour les prochaines nouveautés et n'hésitez pas à nous faire part de vos questions, de vos commentaires ou des données spécifiques que vous souhaiteriez obtenir pour optimiser votre programme !

‍

La réduction de la dette de sécurité est un objectif que toutes les entreprises s'efforcent d'atteindre. Comment minimiser le nombre de failles de sécurité ? Comment accélérer la mise sur le marché tout en s'assurant que le code généré est de première qualité ?  

Comme de nombreuses entreprises, DigitalOcean a choisi Secure Code Warrior pour stimuler l'innovation numérique et la modernisation en construisant et en publiant du code de qualité dès le départ avec des développeurs sensibilisés à la sécurité.  

DigitalOcean, qui offre des ressources informatiques évolutives et une suite de solutions cloud permettant aux développeurs de déployer, de gérer et de mettre à l'échelle des applications sans effort, s'est tourné vers Secure Code Warrior au fur et à mesure que l'entreprise s'agrandissait et développait ses équipes d'ingénieurs. Dans un secteur technologique en constante évolution, l'entreprise devait s'assurer que ses développeurs pouvaient identifier les mauvais schémas de codage courants qui apparaissaient lors des revues de conception, afin d'éviter qu'ils ne se reproduisent de manière proactive. 

Comme l'a fait remarquer Ari Kalfus, responsable principal de la sécurité des produits, "nous avions besoin d'une solution spécifique aux développeurs, pratique et axée sur les risques auxquels notre organisation était confrontée". Secure Code Warrior a répondu à cette attente, l'un des résultats les plus notables étant la capacité à renforcer rapidement et régulièrement les pratiques de codage sécurisées. Cela a conduit à une diminution marquée de la dette de sécurité au sein des équipes. Dans l'ensemble, DigitalOcean a constaté que les équipes formées avec SCW étaient non seulement plus aptes à identifier et à atténuer les problèmes de sécurité, mais qu'elles avaient également la confiance nécessaire pour repousser les limites de l'innovation sans compromettre la sécurité.

Découvrez ici comment DigitalOcean a réduit sa dette globale en matière de sécurité... et utilise désormais son surplus de sécurité pour repousser les limites de la productivité et de l'innovation.

Secure-by-Design est la dernière initiative sur toutes les lèvres, et le gouvernement australien, en collaboration avec CISA aux plus hauts niveaux de la gouvernance mondiale, guide une norme plus élevée de qualité et de sécurité des logiciels de la part des fournisseurs.

Une augmentation significative de la sécurité des logiciels nécessitera une vague de soutien pour le renforcement des compétences en matière de sécurité et, en ce qui concerne les développeurs, une insistance sur l'apprentissage continu autour des meilleures pratiques de codage sécurisées. Il est réconfortant d'assister à un nouveau chapitre pour l'industrie, dans lequel les gouvernements mondiaux montrent l'exemple et fournissent des conseils appropriés pour atténuer les vulnérabilités insidieuses au niveau du code.

L'Australian Women in Security Network (AWSN) a travaillé sans relâche pour promouvoir la présence d'un plus grand nombre de femmes dans les fonctions de cybersécurité en Australie. Avec la Commonwealth Bank (CBA), nous avons récemment organisé un concours de codage sécurisé à l'adresse tournament pour permettre aux développeurs et aux professionnels de la sécurité de présenter leurs compétences dans un environnement amical et compétitif.

L'événement du 17 juillet a attiré un grand nombre de femmes incroyables représentant de multiples secteurs d'activité, et l'on peut affirmer sans risque de se tromper que leurs contributions contribueront à faire de l'Australie l'une des nations les plus cyber-sécurisées au monde d'ici à 2030.

Approbation d'un avenir plus sûr

Nous avons eu la chance que le lieutenant-général Michelle McGuiness, coordinatrice australienne de la cybersécurité, soutienne l'événement conjoint AWSN/CBA/SCW tournament . S'exprimant directement sur les initiatives australiennes des six boucliers cybernétiques et soutenant les principes de la conception sécurisée, ses propos ont trouvé un écho dans la salle où se trouvaient des cyberprofessionnels dévoués, engagés dans des changements positifs et des normes plus élevées en matière de conception et d'exécution de logiciels :

‍

‍

"Nous voulons impliquer l'ensemble du pays dans la résolution des problèmes [de cybersécurité], ce qui implique de s'assurer que nous disposons d'une main-d'œuvre solide, diversifiée et, bien sûr, inclusive et accueillante dans le domaine de la cybernétique.

Notre stratégie s'articule autour de six boucliers cybernétiques qui contribuent à protéger nos entreprises, nos organisations et nos citoyens. Ce qui est peut-être le plus pertinent pour l'événement d'aujourd'hui, c'est notre travail dans le cadre de la stratégie qui se concentre sur la sécurité dès la conception et la sécurité par défaut. Nous devrions avoir la certitude de ne pas être exposés à des risques inutiles lorsque nous achetons des appareils numériques ou des logiciels.

Et, bien sûr, l'industrie a un grand rôle à jouer en nous aidant à encourager, à développer et à soutenir ces parcours dans l'intérêt de leur entreprise, de notre économie... et de la sécurité de notre nation... Je félicite Secure Code Warrior et CBA ainsi que... AWSN pour leur leadership dans l'organisation de l'événement d'aujourd'hui".

Que se passe-t-il lorsque vous codez comme une fille ?

Une chose incroyable m'a toujours frappé lorsque nous organisons des événements à grande échelle comme celui-ci sur le site tournament . En général, ils impliquent des dizaines de milliers de développeurs et, comme c'est le cas statistiquement dans toute l'industrie, un pourcentage assez faible des participants sont des femmes.

Cependant, une participante finit souvent sur le podium des vainqueurs et partage la cagnotte. Je pense que cela en dit long sur l'inclusion des femmes dans des espaces traditionnellement dominés par les hommes. Non seulement elles y ont leur place, mais elles peuvent exceller et être une force d'aspiration au sein de leurs équipes.

La concurrence était féroce lors de cet événement, et nos grandes gagnantes, Bella Howard et Shanelle Haire, ont clairement un avenir brillant à l'avant-garde des pratiques de sécurité axées sur les développeurs. Elles ont déclaré à propos de leur victoire :

"Nous sommes ravis de cette victoire ! Le fait de travailler en binôme a été déterminant pour notre réussite - nous pensons que nos diverses compétences et expériences se sont parfaitement complétées.

Nous tenons également à souligner que tous les participants ont fait preuve d'une performance exceptionnelle. Nous sommes vraiment honorés d'avoir gagné et nous avons beaucoup apprécié l'événement. Nous nous réjouissons de vous retrouver à la prochaine édition !

Apprenons à mieux les connaître :

‍

• Depuis combien de temps travaillez-vous sur vos compétences en matière de codage sécurisé ?

Nous avons toutes deux suivi un double cursus en informatique, où nos compétences en matière de codage sécurisé ont commencé à prendre forme. Bella a développé un vif intérêt pour la cybersécurité et nous avons toutes deux participé à des événements et à des ateliers afin d'approfondir nos connaissances dans ce domaine.

Dans le cadre de notre emploi, nous avons eu l'occasion d'utiliser le site Secure Code Warrior, qui a joué un rôle déterminant dans notre développement. L'accent mis par Bella sur les pratiques de codage sécurisé renforce ses connaissances en tant qu'analyste de la sécurité, tandis que le rôle de Shanelle en tant qu'ingénieur logiciel exige un état d'esprit sécurisé, ce qui fait du codage sécurisé une partie essentielle de ses responsabilités.

• Avez-vous des conseils à donner aux femmes dans le domaine des STIM qui commencent leur carrière dans le codage sécurisé ?

Nous vous recommandons vivement de participer à des communautés de sécurité et d'apprendre de ceux qui sont déjà sur le terrain. Rejoindre des communautés dirigées par des femmes est également un moyen fantastique d'obtenir le soutien de femmes qui ont été à votre place et qui peuvent vous offrir des conseils et des encouragements précieux.

Participez à des événements tels que le Secure Coding Tournament et d'autres ateliers liés à l'industrie pour apprendre et nouer des contacts tout en vous amusant. Cherchez des mentors qui peuvent vous guider tout au long de votre carrière et vous fournir des informations précieuses. N'attendez pas d'avoir l'impression de tout savoir avant de commencer - l'expérience pratique est le meilleur moyen d'apprendre.

• Que feriez-vous pour promouvoir l'importance des bonnes pratiques en matière de cybersécurité ?

Il est essentiel de souligner que la sécurité est la responsabilité de chacun. Pour une sécurité efficace en profondeur, toutes les personnes travaillant dans la pile technologique, ainsi que tous les utilisateurs de la technologie, doivent connaître les meilleures pratiques en matière de sécurité et y adhérer. En favorisant une culture où la sécurité est considérée comme une responsabilité collective, nous pouvons mieux protéger nos systèmes et nos données.‍

‍

Nous remercions tous les participants et nous nous réjouissons de travailler en partenariat avec l'AWSN sur de futurs projets.

‍

Les organisations comprennent que les principes de sécurité dès la conception ne peuvent être mis en œuvre avec succès que par le biais d'une sécurité axée sur les développeurs. Après tout, ce sont les développeurs qui conçoivent, construisent et, en fin de compte, mettent en œuvre le code qui alimente les logiciels d'une organisation. Il est absolument essentiel de veiller à ce que ces contributeurs inestimables aient les connaissances et les compétences nécessaires pour mettre en œuvre les meilleures pratiques en matière de sécurité du code. Cependant, le défi pour atteindre cet objectif consiste à aligner les connaissances et les compétences des développeurs en matière de codage sécurisé sur les langages de programmation qu'ils utilisent lorsqu'ils développent des logiciels. Ce n'est pas une tâche facile, même pour les organisations les plus matures.

Ce défi est encore compliqué par le volume et la diversité des langages de programmation utilisés dans la base de code d'une organisation, souvent à l'insu des équipes chargées de la sécurité. Alors, comment les RSSI, les responsables AppSec et les ingénieurs peuvent-ils s'assurer que le code produit et validé repose sur les connaissances et les compétences d'un développeur en matière de code sécurisé dans le langage de programmation spécifique à cette validation ?

Présentation de l'agent fiduciaire SCW

Secure Code Warrior a lancé SCW Trust Agent pour répondre à cette question difficile. SCW Trust Agent donne aux responsables de la sécurité la visibilité et le contrôle nécessaires pour mettre en place une sécurité axée sur les développeurs, en permettant aux développeurs et aux équipes de fournir du code plus rapidement tout en maintenant et en améliorant la sécurité de ce qui est engagé.

Comment fonctionne l'agent fiduciaire SCW ?

SCW Trust Agent détecte et se connecte à vos référentiels de code pour évaluer les métadonnées présentes dans chaque livraison de code. Il inspecte le développeur qui a effectué la validation, le langage ou le cadre utilisé, et l'heure exacte à laquelle le code a été validé. Il associe ensuite cette analyse aux données et aux connaissances de la Learning Platform SCW pour déterminer si le développeur possède des connaissances suffisantes en matière de sécurité dans ce langage de programmation spécifique. Sur la base de ces informations, il renvoie une note sur la santé de cette validation, en fonction de la politique définie par l'organisation. Ces politiques sont personnalisables et configurables, ce qui permet aux équipes de définir des directives et des exigences spécifiques pour les livraisons qui peuvent avoir un seuil plus ou moins élevé de connaissance du code sécurisé du développeur en fonction de la sensibilité globale de ce projet ou de ce référentiel.

Gouvernance et contrôle à un niveau supérieur

En s'appuyant sur cette visibilité puissante, Trust Agent offre une gouvernance intégrée à l'échelle grâce à ses capacités flexibles d'application de politiques. Cette fonctionnalité innovante permet aux organisations et aux équipes d'appliquer et de faire respecter de manière proactive leurs normes de codage sécurisé directement au niveau de la validation. Si un développeur tente de livrer du code dans un langage ou un cadre où ses compétences en matière de codage sécurisé ne répondent pas aux exigences prédéfinies d'une organisation, Trust Agent peut automatiquement déclencher une action configurable - enregistrer l'événement pour examen, émettre un avertissement direct ou même bloquer complètement la demande de téléchargement.

Ces règles adaptables peuvent être appliquées à n'importe quel dépôt basé sur Git, offrant ainsi un point de contrôle vital, en particulier pour les applications critiques ou celles soumises à des exigences de conformité strictes, telles que PCI-DSS 4.0 qui prescrit une formation à la sécurité spécifique à la langue dans l'exigence 6.2.2. En définissant précisément des niveaux de confiance basés sur l'appétit pour le risque d'une organisation, Trust Agent garantit que seul le code des développeurs ayant des compétences validées en matière de codage sécurisé entre dans leurs référentiels les plus importants, renforçant ainsi fondamentalement la posture de sécurité.

Optimiser le cycle de développement

Cette approche proactive permise par SCW Trust Agent améliore non seulement la posture de sécurité globale d'une organisation, mais conduit également à des optimisations dans le cycle de vie du développement. En s'assurant que les développeurs ont des connaissances et des compétences en matière de code sécurisé dans le langage qu'ils utilisent, on peut réduire considérablement le nombre de vulnérabilités introduites qui devront être identifiées et corrigées par la suite. La remédiation et le retravail ont tendance à faire perdre beaucoup de temps aux développeurs, interrompant leur flux de travail et ayant un impact sur leur vélocité. La réduction des vulnérabilités par une approche proactive minimise ces cycles de remédiation, ce qui permet aux équipes de développement de se concentrer sur la livraison de fonctionnalités à forte valeur ajoutée.

La sécurité pilotée par les développeurs

SCW Trust Agent offre aux entreprises les outils dont elles ont besoin pour développer leurs programmes de sécurité axés sur les développeurs. Les RSSI et les équipes Appsec ont la visibilité et le contrôle dont ils ont besoin pour appliquer une gouvernance appropriée, respecter et même dépasser les normes de conformité grâce à des informations détaillées sur la conception, l'application et le respect des politiques. Quant aux développeurs, ils sont en mesure de fournir plus rapidement un code sécurisé grâce à une formation spécifique aux langages qu'ils utilisent dans le code qu'ils fournissent.

SCW Trust Agent fonctionne avec n'importe quel outil de gestion de code source basé sur Git et la connexion de votre référentiel de code est facile avec de multiples options de connectivité, y compris sur site, basée sur le cloud, et le téléchargement manuel. Pour en savoir plus, visitez www.scwtrustagent.com ou contactez-nous, nous serions ravis de discuter de la manière dont nous pouvons aider votre organisation à renforcer sa posture de sécurité et à développer une sécurité axée sur les développeurs.

Note de l'éditeur : Cet article a été initialement publié par Kyle Riordan le 23 juillet 2024. Il a été mis à jour avec de nouvelles informations et recherches par Andrew Johnson, Sr. Product Marketing Manager chez Secure Code Warrior.

Nous sommes ravis de poursuivre la conversation sur la nouvelle amélioration de la plateforme SCW - SCW Trust Score. Cette fonctionnalité révolutionnaire a été officiellement lancée en mai et représente une avancée cruciale dans notre mission qui consiste à donner aux développeurs et aux organisations les outils dont ils ont besoin pour écrire du code sécurisé.

À la base, le score de confiance SCW offre des informations inestimables sur la posture de sécurité de votre organisation et sur l'efficacité de vos pratiques de codage sécurisé. Passons en revue les principaux avantages et bénéfices du SCW Trust Score.

• Visibilité : Des aptitudes et des compétences diverses apparaissent au sein des équipes grâce aux programmes d'apprentissage et d'éducation, dont la réussite repose sur différents facteurs. Bien qu'elles aient suivi des programmes de code sécurisé identiques, les équipes produisent souvent un spectre d'expertise, englobant les plus performants, les moyens et ceux qui ont besoin d'un soutien supplémentaire. Le score de confiance SCW fournit aux organisations une mesure de l'efficacité de leur programme d'apprentissage de la sécurité basée sur des données, en agrégeant la posture de sécurité des développeurs individuels lorsqu'ils utilisent Secure Code Warrior.
  
  
• Mesures d'étalonnage : Les entreprises ont besoin d'un point de référence pour définir la courbe en cloche de la position de leurs développeurs en matière de sécurité et mettre le doigt sur les domaines à optimiser pour créer une équipe logicielle réellement prête pour la sécurité, performante et productive. Avec le score de confiance SCW, les entreprises ont la possibilité d'évaluer leur position en matière de sécurité par rapport aux références et aux meilleures pratiques de l'industrie. Grâce à cette mesure complète, les parties prenantes peuvent identifier les points forts et les possibilités d'amélioration avec une précision inégalée.
  
  
• Une puissance de données : Le score de confiance SCW exploite la puissance de 20 millions de points de données d'apprentissage provenant de plus de 600 entreprises et 250 000 développeurs. En analysant toutes les activités d'apprentissage réalisées sur notre plateforme, notre algorithme génère un score complet. Ce score prend en compte des facteurs tels que l'étendue et la profondeur des activités d'apprentissage, la compréhension de l'activité, la récurrence de l'apprentissage, la description du poste, le cycle de vie de l'intégration et le nombre total de développeurs formés.
  
  

Nous sommes fiers d'avoir poursuivi nos conversations avec les clients et les prospects récemment au RSAC, où elles ont suscité un intérêt considérable de la part des clients, des partenaires et des leaders de l'industrie.

Nous avons le plaisir de vous annoncer que nous organiserons un webinaire le 12 juin, au cours duquel notre directeur de la technologie et cofondateur Matias Madou présentera une vue d'ensemble du score de confiance SCW et de ses applications pratiques dans des scénarios du monde réel. Nous nous réjouissons de vous y rencontrer.

Enfin, nous remercions tous les membres de la communauté des clients et des partenaires qui ont contribué au développement et à l'amélioration du score de confiance SCW. Ensemble, nous nous lançons dans un voyage qui nous permettra de comprendre à quoi ressemble une bonne posture de sécurité au sein des organisations

Les développeurs sont confrontés à des défis constants pour maintenir leurs compétences à jour et rester à la pointe de la technologie. La technologie progressant rapidement et de nouveaux outils et cadres apparaissant régulièrement, la nécessité d'une formation continue n'a jamais été aussi cruciale. À l'ère du numérique, où l'information est facilement accessible du bout des doigts, les développeurs peuvent exploiter la puissance du contenu d'apprentissage à la demande pour faire avancer leur carrière et rester pertinents dans le domaine compétitif du développement de logiciels.

L'apprentissage de contenu à la demande offre aux développeurs plusieurs avantages clés. Les ressources à la demande offrent une flexibilité et une commodité inégalées, permettant aux développeurs d'apprendre à leur propre rythme et d'adapter la formation à leur emploi du temps chargé et à leurs préférences personnelles. En outre, les plateformes agiles proposent souvent des parcours d'apprentissage ciblés, adaptés aux objectifs et aux niveaux de compétences individuels, ce qui maximise l'efficacité de l'apprentissage et garantit que les développeurs acquièrent les compétences nécessaires à l'avancement de leur carrière. En fin de compte, l'apprentissage à la demande favorise une culture de développement continu des compétences, permettant aux développeurs de rester agiles et résistants face aux changements technologiques et garantissant leur succès à long terme dans le domaine du développement de logiciels.

‍

Sur Secure Code Warrior, nous nous engageons à fournir aux développeurs le contenu le plus complet et le plus solide qui soit. Notre objectif n'est pas seulement d'offrir des ressources d'apprentissage et de développement de qualité supérieure, mais aussi de les fournir au bon moment, avec des informations qui répondent aux besoins actuels des développeurs. Cet engagement s'incarne dans notre onglet Explore, une bibliothèque de contenu au sein de la plateforme SCW conçue pour relever le défi de la dispersion des ressources. Explore regroupe tous les contenus de formation en un seul endroit centralisé, offrant aux utilisateurs une vue d'ensemble des types de contenus disponibles, sans effort. Que les apprenants cherchent à maîtriser un nouveau langage de programmation ou à explorer des concepts complexes, Explore les couvre. Notre catalogue de contenu méticuleusement sélectionné répond à un large éventail d'intérêts et de niveaux de compétence, garantissant ainsi que chacun y trouve son compte. Avec Explore, les apprenants découvriront une multitude de tutoriels interactifs, d'exercices pratiques et de scénarios du monde réel, tous conçus pour améliorer l'expérience d'apprentissage et permettre aux développeurs d'exceller.

‍

‍

Les écosystèmes technologiques d'aujourd'hui sont caractérisés par une innovation et une perturbation constantes, de sorte que le besoin de plateformes d'apprentissage agiles est devenu de plus en plus critique. Les méthodes traditionnelles d'apprentissage et de développement des compétences ne suffisent plus à suivre le rythme des progrès rapides de la technologie et des exigences dynamiques de l'industrie. Par conséquent, les organisations se tournent vers les plateformes d'apprentissage agiles pour fournir aux développeurs les outils et les ressources dont ils ont besoin pour s'adapter et prospérer dans cet environnement en évolution rapide où la sécurité pilotée par les développeurs est essentielle.

L'une des principales raisons pour lesquelles les plates-formes d'apprentissage agiles sont essentielles est leur capacité à fournir un contenu d'apprentissage opportun et pertinent. Les plateformes d'apprentissage agiles s'appuient sur des mécanismes de fourniture de contenu dynamique, tels que les modules de microapprentissage et les ressources juste à temps, pour fournir aux développeurs les connaissances dont ils ont besoin, au moment précis où ils en ont besoin. Un autre aspect concerne leur capacité à offrir flexibilité et personnalisation, ce qui permet aux développeurs d'adapter leurs expériences d'apprentissage à leurs besoins et préférences individuels. Qu'ils préfèrent les tutoriels interactifs, les laboratoires pratiques ou le contenu vidéo, les développeurs peuvent choisir le format qui convient le mieux à leur style d'apprentissage et à leur emploi du temps.

Dans l'ensemble, les plateformes d'apprentissage agiles jouent un rôle crucial en permettant aux développeurs de s'épanouir dans le paysage technologique actuel, qui évolue rapidement et constamment. En offrant des expériences d'apprentissage opportunes, pertinentes et personnalisées, ces plateformes permettent aux développeurs d'acquérir de nouvelles compétences, de rester à la pointe des tendances du secteur et de stimuler l'innovation au sein de leur organisation. À l'adresse Secure Code Warrior, les développeurs sont au cœur de nos préoccupations, car nous améliorons constamment notre plateforme. Conscients du rôle essentiel que jouent les développeurs dans la création de logiciels sécurisés, nous veillons à ce que nos améliorations ne se limitent pas à relever les défis actuels, mais qu'elles permettent également aux développeurs de créer des codes résistants en toute confiance. Voici quelques-unes des améliorations que nous avons récemment apportées à notre plateforme pour renforcer notre engagement envers les développeurs.

Nous pensons que nous pouvons être plus efficaces pour engager vos développeurs grâce à des canaux de communication modernes tels que Microsoft Teams. Notre intégration avec Microsoft Teams est notre première étape vers des communications utilisateur de nouvelle génération au sein de la plateforme SCW. Invitez-les à de nouvelles activités d'apprentissage et envoyez-leur des rappels personnalisés sur les activités d'apprentissage du cours. Vous pouvez également utiliser Teams comme canal de diffusion pour les Nudges, où vous pouvez inciter les participants à terminer leur cours par le biais d'une notification Teams.

‍

L'onglet Explore vient s'ajouter à l'innovation de nos produits axés sur les développeurs. Que les utilisateurs cherchent à améliorer leurs compétences ou à se plonger dans de nouveaux domaines, Explore garantit une expérience transparente et enrichissante pour les développeurs en fournissant un centre complet pour la formation à son propre rythme et l'expansion des connaissances. Avec plus de 7 000 activités disponibles dans 64 langues, Explore permet aux utilisateurs de découvrir, de jouer et de rejouer sans effort des activités d'apprentissage adaptées à leurs préférences. Cliquez ici pour en savoir plus sur Explore et sur l'importance du contenu à la demande.

‍

Enfin, les rapports sont essentiels pour que la formation des développeurs reste efficace et attrayante. Ils permettent non seulement de suivre les progrès et de garantir la conformité aux normes de sécurité, mais aussi d'identifier les lacunes dans lesquelles les développeurs peuvent s'améliorer. Ces informations permettent d'organiser des formations sur mesure qui renforcent les défenses de sécurité et maintiennent la pertinence et le ciblage de l'apprentissage. Les rapports permettent également de justifier l'investissement dans la formation en démontrant son impact, ce qui garantit un soutien continu aux initiatives de sécurité. Dans l'ensemble, les rapports sont des outils essentiels pour améliorer à la fois la conformité et l'engagement des développeurs, en gardant tout le monde sur la bonne voie et en les engageant dans leur parcours de formation. Soyez à l'affût des nouvelles passionnantes concernant les rapports SCW qui arriveront bientôt !

‍

Pour en savoir plus sur les nouvelles fonctionnalités, consultez notre dernier webinaire sur les produits ou contactez-nous dès aujourd'hui !

‍