Où que vous regardiez, la technologie de l'IA fait l'objet d'une fixation constante dans presque tous les secteurs verticaux. Louée par certains comme la réponse à la création rapide de fonctionnalités dans le développement de logiciels, les gains de vitesse ont un prix : le potentiel de bogues de sécurité graves se frayant un chemin dans les bases de code, grâce à un manque de conscience contextuelle de l'outil lui-même, et des compétences de sécurité de bas niveau des développeurs qui comptent sur eux pour stimuler la productivité et générer des réponses à des scénarios de développement difficiles. 

La technologie du grand modèle de langage (LLM) représente un changement radical dans les outils d'assistance et, si elle est utilisée de manière sûre, elle pourrait bien être le compagnon de programmation en binôme que tant d'ingénieurs en logiciel appellent de leurs vœux. Une étude réalisée en 2023 par l'université de Stanford a révélé que l'utilisation d'assistants d'intelligence artificielle était susceptible d'engendrer un code plus bogué et moins sûr dans l'ensemble, tout en augmentant la confiance dans la sécurité des résultats.

S'il est légitime de penser que les outils continueront à s'améliorer au fur et à mesure que la course à la perfection de la technologie LLM se poursuit, un ensemble de recommandations - dont un nouveau décret de l'administration Biden, ainsi que la loi sur l'intelligence artificielle de l'UE - rend leur utilisation délicate en tout état de cause. Les développeurs peuvent prendre une longueur d'avance en perfectionnant leurs compétences en matière de sécurité au niveau du code, leur sensibilisation et leur esprit critique à l'égard des résultats des outils d'IA, et devenir ainsi des ingénieurs de plus haut niveau.

Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même !

‍

Exemple : Scripting intersite (XSS) dans "ChatterGPT".

Notre nouvelle mission publique révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il devait être utilisé dans le but prévu.

À la question "Pouvez-vous écrire une fonction JavaScript qui modifie le contenu de l'élément HTML p, dont le contenu est transmis par cette fonction ?", l'assistant d'IA produit consciencieusement un bloc de code, mais tout n'est pas ce qu'il semble être.

Avez-vous déjà relevé le défi ? Si ce n'est pas le cas, essayez maintenant avant de lire la suite.

... ok, maintenant que vous l'avez terminé, vous savez que le code en question est vulnérable au cross-site scripting (XSS). 

Le XSS est rendu possible par la manipulation de la fonctionnalité de base des navigateurs web. Il peut se produire lorsque des données non fiables sont affichées sur une page, mais interprétées à tort comme du code exécutable et sûr. Un pirate peut placer un extrait malveillant (balises HTML, JavaScript, etc.) dans un paramètre d'entrée, qui, lorsqu'il est renvoyé au navigateur, est alors exécuté au lieu d'être affiché en tant que données.

Utiliser des assistants de codage IA en toute sécurité dans le développement de logiciels

Une récente enquête menée auprès d'équipes de développement en activité a révélé que la quasi-totalité d'entre elles - soit 96 % - ont commencé à utiliser des assistants d'IA dans leur flux de travail, 80 % d'entre elles contournant même les politiques de sécurité pour les conserver dans leur boîte à outils. En outre, plus de la moitié d'entre elles reconnaissent que les outils d'IA générative créent couramment du code non sécurisé, mais cela n'a manifestement pas ralenti l'adoption de ces outils.

Avec cette nouvelle ère de processus de développement de logiciels, décourager ou interdire l'utilisation de ces outils a peu de chances de fonctionner. Au contraire, les organisations doivent permettre à leurs équipes de développement d'utiliser les gains d'efficacité et de productivité sans sacrifier la sécurité ou la qualité du code. Pour ce faire, il faut les former avec précision aux meilleures pratiques de codage sécurisé et leur donner la possibilité de développer leur esprit critique, en veillant à ce qu'ils agissent avec un état d'esprit axé sur la sécurité, en particulier lorsqu'ils évaluent la menace potentielle que représente le code produit par l'assistant d'IA. 

Pour en savoir plus

Pour les XSS en général, consultez notre guide complet.

Vous voulez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques? Essayez gratuitement notre défi d'injection XSS.

Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

‍

Dans le paysage en constante évolution de la cybersécurité, le rôle des développeurs dans la protection des actifs numériques est devenu de plus en plus central. Cependant, la difficulté réside dans la formation des développeurs qui, par nature axés sur la résolution de problèmes et l'efficacité, ne donnent pas forcément la priorité à la sécurité. Dans cet article de blog, nous explorons trois étapes critiques pour structurer un programme de formation à la sécurité qui non seulement engage les développeurs, mais aussi réduit de manière significative les vulnérabilités - parun taux remarquable de 53%. De la promotion des relations à la mise en œuvre d'une approche à plusieurs niveaux, ces stratégies visent à doter les développeurs des connaissances et des compétences nécessaires à des pratiques de codage sécurisées.

1. Établir des relations et maintenir l'engagement des développeurs 

Les développeurs manquent souvent de connaissances initiales en matière de sécurité, mais leur principale préoccupation est de résoudre rapidement les problèmes liés au code. Pour éveiller leur intérêt pour la sécurité, il est essentiel de souligner la valeur de ces sujets et de les rendre exploitables. La mise en œuvre d'un programme permettant aux développeurs de se former de manière indépendante et à leur propre rythme dans tous les langages de programmation de votre pile technologique est essentielle. Établissez des relations solides avec les développeurs et les chefs d'équipe afin d'allouer un temps réaliste à la formation au code sécurisé.

La première étape cruciale consiste à mettre en œuvre un programme qui permette aux développeurs d'être indépendants et de se former à leur propre rythme. Cela signifie qu'il doit couvrir tous les langages de programmation utilisés dans votre pile technologique. Prenez en considération les besoins d'apprentissage des développeurs dans un environnement complexe et réfléchissez à la manière dont le programme fonctionnera avec vos outils de sécurité existants pour faciliter la gestion des vulnérabilités.

2. Classer par ordre de priorité les vulnérabilités récurrentes  

À l'aide de vos outils de balayage et de test d'intrusion, surveillez de près vos vulnérabilités critiques et récurrentes pour vous guider dans le choix du contenu éducatif sur le codage sécurisé qui constituera la pierre angulaire de votre programme. L' utilisation de vos outils existants et l'intégration de ces résultats dans votre programme de codage sécurisé seront essentielles. Considérez également les paramètres suivants pour déterminer les vulnérabilités sur lesquelles vos développeurs doivent être formés en priorité : 

• Âge moyen de vulnérabilité 
• Nombre de vulnérabilités en attente
• Délai moyen de résolution, ou délai moyen de remise en état (MTTR)  
• Nombre de vulnérabilités fermées par rapport aux vulnérabilités ouvertes
• Nombre de problèmes par ligne de votre code propriétaire (pas de tiers)

Les attentes concernant les résultats du programme doivent également être fixées dès le début. Les développeurs qui participent au programme doivent atteindre un certain niveau de compétences en matière de codage sécurisé, qui peut être mesuré par le nombre de vulnérabilités qu'ils résolvent et qu'ils ne réintroduisent pas. 

3. Mettre en œuvre un programme de développement des compétences en matière de codage sécurisé à plusieurs niveaux 

Une fois que vous avez intégré la participation des développeurs à la sécurité dans le processus d'analyse et de test, il est temps de leur donner les moyens d'être proactifs dans le perfectionnement de leurs compétences en matière de codage sécurisé en les incitant à poursuivre leur formation dans ce domaine. Pour ce faire, vous pouvez structurer votre programme en niveaux, ou "ceintures", afin de faire progresser les développeurs dans des domaines plus complexes de la sécurité. 

Voici un exemple de la manière dont Thales a structuré son programme d'éducation à la sécurité: 

1. Sensibilisation - permet d'élever le niveau de base de la sensibilisation à la sécurité et d'établir une base de référence pour les connaissances des développeurs en matière de sécurité.
2. Basique - permet d'acquérir des compétences de base en matière de sécurité, par exemple comment repérer un code vulnérable et comprendre les vulnérabilités courantes.
3. Autonome - utilise des tactiques approuvées pour localiser les vulnérabilités et y remédier en suivant les conseils de Secure Code Warrior.
4. Expert - devient un champion de la sécurité et un expert dans tous les domaines importants pour l'entreprise.

La promotion de l'auto-apprentissage motivera également vos développeurs à se tenir au courant des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes. Une fois que tout le monde a atteint un niveau de compétence de base en matière de codage sécurisé, profitez d'un programme qui permet de gagner du temps grâce à deux ou trois apprentissages clés par mois grâce à un contenu pertinent, plutôt qu'une formation annuelle d'une heure axée sur la conformité. Le temps gagné grâce à la formation des développeurs se traduira par une réduction des travaux nécessaires pour corriger des vulnérabilités qui n'auraient pas dû être introduites. 

Conclusion

Dans le domaine dynamique de la cybersécurité, où les menaces évoluent aussi rapidement que les avancées technologiques, un programme proactif et bien structuré de formation au codage de la sécurité pour les développeurs est une mesure de protection essentielle pour les entreprises. En établissant des relations solides avec les développeurs, en donnant la priorité aux vulnérabilités récurrentes et en mettant en œuvre un développement progressif des compétences, les entreprises peuvent renforcer leur base de code contre une violation potentiellement dévastatrice. 

Le succès d'un tel programme ne se mesure pas seulement en termes de réduction des vulnérabilités, mais aussi en termes de développement d'un état d'esprit axé sur la sécurité chez les développeurs. Alors que nous naviguons sur le terrain complexe de la sécurité numérique, l'autonomisation des développeurs par l'éducation apparaît comme une stratégie puissante pour transformer une organisation en un écosystème numérique résilient et sûr.

Secure Code Warrior est là pour vous aider à coder en toute sécurité tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Responsabiliser les développeurs, améliorer la productivité et réduire les risques

Quelle année étonnante dans le paysage en constante évolution de la cybersécurité ! Secure Code Warrior est fier de poursuivre sa mission consistant à doter les développeurs et les organisations des compétences nécessaires pour lutter contre les menaces de sécurité en constante évolution. En 2023, nous avons travaillé avec plus de 600 entreprises, et en analysant les données de près de 75 000 développeurs, notre recherche montre que ceux qui s'engagent avec Secure Code Warrior ont réduit les vulnérabilités jusqu'à 53%. Cela se traduit par des gains de productivité considérables pour les développeurs et aide les équipes AppSec et de sécurité à se prémunir contre les risques et à renforcer la posture de sécurité de leur organisation.

À l'approche de 2024, nous avons pensé qu'il serait utile de vous présenter quelques-unes des principales avancées en matière de produits, de partenariats stratégiques et de mises à jour d'entreprises que nous avons réalisées cette année. 

‍

Innovations en matière de produits

Nous avons connu une année record pour l'apprentissage du code sécurisé au sein de notre communauté de développeurs. Voici quelques-uns des faits marquants :

• Nous avons ajouté 2 nouveaux langages à la plateforme - Terraform:GCP et Dart:Flutter - et livré des Coding Labs dans 9 langages et frameworks différents. 
• Secure Code Warrior a accueilli 820 Tournaments en 2023.
• En moyenne, les développeurs ont passé 2,3 minutes sur les laboratoires de codage, complétant plus de 100 000 laboratoires en 2023. Cela représente plus de 4 200 heures consacrées à la nouvelle activité d'apprentissage de Secure Code Warrior! 
• Enfin, voici un aperçu des 10 principaux secteurs d'activité de nos développeurs en fonction du nombre d'apprenants actifs sur la plateforme. 

En 2023, Secure Code Warrior a introduit Coding Labs - notre activité d'apprentissage la plus avancée et la plus interactive - conçue pour élever la formation à la sécurité des développeurs. Cet ajout fournit un retour d'information contextuel en temps réel et est actuellement disponible dans plus de 9 langues et frameworks. Coding Labs agit comme un entraîneur personnel, facilitant un apprentissage plus rapide et l'amélioration des compétences, et permettant aux développeurs de passer plus rapidement de "l'apprentissage" à "l'action". 

Secure Code Warrior a continué d'enrichir sa bibliothèque de contenu de pointe en y ajoutant deux nouveaux langages de programmation : Dart:Flutter et TeraformGCP. D'autres améliorations comprennent l'incorporation de lignes directrices dans courses et l'intégration de SCW Jira, offrant aux développeurs des informations plus approfondies et des conseils de remédiation détaillés dans leurs flux de travail. L'introduction de Multi-company Tournaments aide à encourager une compétition amicale entre les développeurs de diverses entreprises et filiales, garantissant une culture de codage sécurisée et évolutive. En outre, le déploiement de SCIM permet aux propriétaires de programmes et aux administrateurs d'entreprises de gérer les licences Secure Code Warrior de manière programmatique, garantissant ainsi la précision et la conformité à grande échelle.

Curieux d'en savoir plus sur nos dernières innovations en matière de produits ? Contactez votre Customer Success Manager ou visitez notre bibliothèque de ressources pour assister à l'un des nombreux webinaires d'approfondissement disponibles. 

‍

‍

Partenariats stratégiques et intégrations

Une collaboration notable a vu le jour avec Synopsys Developer Security Training, powered by Secure Code Warrior. Cette intégration offre une stratégie en boucle fermée pour prévenir les risques de sécurité sur le poste de travail du développeur, en accélérant la résolution des problèmes tout au long du cycle de vie du développement logiciel (SDLC) et des pipelines CI/CD. Ce partenariat vise à établir une approche globale du développement sécurisé, avec des réductions de risques quantifiables.

Pour en savoir plus sur ce partenariat , cliquez ici. 

‍

Devlympics 2023

Les Devlympics, un événement annuel mondial tournament organisé par Secure Code Warrior, ont vu la participation de plus de 1 000 développeurs en 2023. L'événement a attiré l'attention des professionnels de la sécurité du monde entier et a suscité des réactions extrêmement positives :

• 94% ont apprécié de participer au site tournament.
• 90 % ont exprimé leur intérêt à participer à l'événement de l'année prochaine.
• 62 % ont attribué une note de 10/10 à la plateforme SCW et 91 % la recommanderaient à leurs pairs.
• Plus de 85% utiliseraient la plateforme SCW si leur organisation y avait accès à temps plein.

Lisez le rapport complet ici. Vous ne voulez pas manquer les Devlympics de l'année prochaine ? Notez dans votre calendrier les 15 et 16 octobre 2024 et enregistrez votre intérêt pour être tenu au courant. 

‍

Écoutez vos pairs

Au fil de nos partenariats avec nos clients, Secure Code Warrior s'est profondément ancré dans leur écosystème de sécurité et a eu un impact considérable sur la productivité de leurs développeurs et la réduction des risques. Cette année, nous avons écouté plusieurs clients et recueilli les principaux enseignements et points de vue de leurs experts en la matière afin de les partager avec nos collègues de la communauté élargie de la sécurité des applications.  

• Workday : Une réduction remarquable de 4662 problèmes de sécurité à zéro en environ 18 mois.
• Thales : Réduction globale des vulnérabilités sur deux ans, sans réintroduction au niveau du code source.
• Envestnet : Les développeurs ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs, en résolvant les problèmes à un taux de 4,5 par développeur.
• Netskope : Atteindre leurs objectifs de conformité sans la formation traditionnelle "check-the-box", avec des taux d'engagement plus élevés dans leur programme de codage sécurisé.
• Colgate-Palmolive : A placé les développeurs au cœur de sa stratégie de code sécurisé et a intégré Secure Code Warrior de manière transparente dans ses flux de travail à l'aide d'Okta.
• Sage : Création d'une communauté de champions de la sécurité de premier ordre et réduction de 82 % du temps moyen de correction des vulnérabilités.

Écoutez directement nos clients expliquer comment ils ont élaboré leurs programmes de code sécurisé, encouragé une culture de la sécurité et amélioré leur position en matière de sécurité. 

‍

Réponse rapide du SCW aux vulnérabilités en matière de cybersécurité

Secure Code WarriorLe programme de réponse rapide de la Commission européenne s'attaque aux vulnérabilités critiques qui sévissent actuellement dans le monde, telles que l'exploit zéro jour MOVEit, les vulnérabilités libcurl/curl à haut risque et mvcRequestMatcher Spring. Ces incidents soulignent l'importance des mesures de sécurité proactives et de la formation continue des équipes d'ingénieurs sur les vulnérabilités récentes. Apprenez-en plus sur ces vulnérabilités critiques ci-dessous. Chacune d'entre elles est accompagnée d'une mission gratuite à laquelle vous pouvez participer.

• Mission gratuite MOVEit Zero-day
• libcurl/ mission de vulnérabilité curl 
• mvcRequestMatcher Mission de Spring 

‍

Financement important et reconnaissance

Avec des bureaux à Sydney et Melbourne en Australie, à Boston aux États-Unis, en Belgique et en Islande, SCW est fier d'accueillir une communauté de développeurs représentant une grande variété d'industries et de régions. 

Le 13 juillet 2023, Secure Code Warrior a annoncé une réalisation révolutionnaire : la clôture de son cycle de financement de série C mené par Paladin Capital Group, qui lui a permis d'obtenir la somme impressionnante de 50 millions de dollars américains. Cela porte le financement total à plus de 100 millions de dollars US, soulignant la confiance et le soutien obtenus depuis la création de la société.

‍

Rejoignez la communauté grandissante 

Secure Code WarriorNous sommes fiers de célébrer nos succès en tant que leader de la formation et de la mise en œuvre du codage sécurisé, grâce à l'engagement de l'entreprise en faveur de l'innovation, des partenariats stratégiques et de la réussite des clients. 

Vous souhaitez en savoir plus ? Suivez-nous sur X et LinkedIn pour rester au courant de toutes les annonces. 

C'est tout pour l'instant, rendez-vous en 2024 !

Comment l'apprentissage agile avec Secure Code Warrior réduit les vulnérabilités

L'éducation à la sécurité doit évoluer 

L'un des défis auxquels sont confrontées les équipes de sécurité aujourd'hui est le manque de temps pour intégrer le codage sécurisé plus tôt dans le cycle de développement. Les responsables de la sécurité doivent également repenser la valeur que les développeurs retirent de l'expérience d'apprentissage du code sécurisé, la manière de rendre le programme plus attrayant et, surtout, plus efficace. La dernière chose que vous souhaitez, c'est que votre programme de formation à la sécurité soit perçu comme un obstacle à la productivité. L'objectif de la formation à la sécurité des développeurs devrait plutôt être construit sur des parcours attrayants, des intégrations avec des flux de travail et un contenu étendu qui aide les concepts à rester en place, ce qui entraîne une réduction des vulnérabilités introduites. 

En intégrant l'apprentissage du code sécurisé au flux de travail de vos développeurs et en réduisant la charge de travail, les développeurs peuvent voir leur capacité à coder de manière plus sécurisée et être plus productifs. Secure Code Warrior a examiné les données de plus de 75 000 développeurs utilisant notre plateforme et a constaté que l'apprentissage agile aide les développeurs à introduire 53 % de vulnérabilités en moins dans la base de code. 

Cela nécessite un changement d'approche afin que les développeurs s'intéressent au sujet par le biais d'un apprentissage plus pratique et d'intégrations avec leurs outils et leur environnement pour susciter un engagement plus profond et des moments de micro-apprentissage ayant un impact important. 

Selon Derek Fisher, leader dans le domaine de la sécurité des applications, "nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans n'importe quelle organisation. C'est généralement ce que j'appelle "la mort par Powerpoint", un tas de diapositives et peut-être une page assessment à la fin... c'est vraiment inefficace et cela prend beaucoup de temps. Nous avions des formations, mais elles étaient basées sur la conformité habituelle, avec quelques formations spécifiques à la sécurité basées sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très impliqués et qu'ils n'apprenaient pas grand-chose de ce matériel, et nous avons donc dû changer de stratégie".

Intégrez l'expérience d'apprentissage à vos flux de travail de développeur

Secure Code WarriorLa plateforme d'AppSec fournit du contenu en flux tendu juste à temps dans le flux de travail quotidien du développeur. Cette intégration avec les outils de sécurité est conçue pour éliminer le changement de contexte et permettre aux équipes AppSec d'élaborer des programmes plus prescriptifs et plus engageants. 

Grâce à ces intégrations de devtool et de sécurité, vous pouvez mesurer l'efficacité de votre programme d'apprentissage du code sécurisé en suivant les progrès des développeurs et en mesurant les temps de réponse aux tickets, ainsi qu'en observant la réduction des vulnérabilités au fil du temps grâce aux outils IAST/ DAST/SAST. 

Voici trois façons dont Secure Code Warrior peut s'intégrer à vos outils et flux de travail pour vous aider à réduire les vulnérabilités jusqu'à 53 %. 

1. Rationalisez votre approche 

Intégrez Secure Code Warrior à vos outils d'analyse et de test d'intrusion. Cela vous permet de corréler automatiquement des vulnérabilités spécifiques et d'exposer les développeurs à un contenu d'apprentissage fiable nécessaire pour remédier à la situation. Secure Code Warrior est intégré à Synopsys, Snyk, Bugcrowd, Fortify, Contrast et bien d'autres pour vous aider à maintenir votre programme centré sur le laser. 

2. Améliorer la productivité

Permettez aux équipes de développement d'apprendre par la pratique grâce à des défis, des laboratoires de codage et des directives intégrés à Jira, Gitlab, GitHub et Azure Boards. L'apprentissage se fait en quelques minutes, et non en quelques heures, sans entraver la productivité des développeurs ni perturber leur flux. 

2. Développez votre programme 

Réduisez la charge administrative d'un programme de sécurité grâce aux fonctionnalités SCORM et SCIM conçues pour l'entreprise. Intégrez facilement Secure Code Warrior à votre LMS et gérez automatiquement le provisionnement des utilisateurs. Activez le SSO avec l'intégration Okta. 

Réduire de 53 % les vulnérabilités à un stade précoce du cycle de développement durable. 

Il est possible de remédier aux vulnérabilités beaucoup plus tôt dans le cycle de développement durable en se concentrant sur l'écriture d'un code plus sûr dès le départ, car il est alors beaucoup moins coûteux de les corriger. En s'attaquant à la source de nombreuses vulnérabilités, à savoir le code non sécurisé livré en production par les développeurs, la réduction des vulnérabilités introduites peut contribuer à alléger votre dette technologique et à renforcer la sécurité. 

La réduction significative des vulnérabilités grâce à la formation des développeurs ne se fait pas par le biais d'une formation statique et ennuyeuse qui perturbe le flux des développeurs. En intégrant à vos outils la formation dispensée par l'outil agile Plateforme D'apprentissage le plus flexible du marché, vos investissements existants en matière de sécurité et d'outils de développement gagnent en valeur, ce qui peut se traduire par une réduction substantielle de 53 % des vulnérabilités. 

Apprenez d'autres conseils de la part de Secure Code Warrior 

Dans notre prochain billet, nous verrons comment vous pouvez mettre en place un programme très engageant qui ramène tout à la réduction des risques, ce qui vous permettra de vous concentrer sur l'impact matériel d'un programme de codage sécurisé réussi.

Secure Code Warrior est là pour vous aider à coder de manière sécurisée tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Découvrez comment une formation pratique à la sécurité peut réduire les vulnérabilités de 53 %. 

Le défi auquel sont confrontées les équipes de développement aujourd'hui 

Les développeurs sont soumis à une pression énorme pour construire plus rapidement et accélérer les cycles de production plus que jamais. Cela conduit à l'introduction d'un volume plus important de code dans les organisations, dont certains proviennent de sources ouvertes, de l'intelligence artificielle ou d'autres tierces parties. Bien que cela puisse contribuer à accélérer la productivité, cela augmente également le risque d'introduire du code non sécurisé dans la base de code.

Malgré la pression croissante pour livrer plus rapidement, une équipe de développement de logiciels retravaille environ 26 % de son code avant la publication. Cela signifie qu'un développeur peut consacrer jusqu'à 13,5 heures par semaine à la seule dette technique. Cela représente plus de 700 heures par an passées à réparer les erreurs du passé. Ces heures de productivité perdue peuvent ralentir les cycles de développement et, pire encore, introduire de nouveaux risques dans le code par le biais de raccourcis et de sources tierces. Il est donc difficile de trouver un équilibre entre la pression exercée pour publier le code rapidement et la sécurité. 

Selon l'étude de Secure Code Warrior, 67 % des développeurs admettent que leur code contient des vulnérabilités, et chaque nouvelle ligne de code écrite chaque jour introduit de plus en plus de vulnérabilités. Il existe une meilleure façon d'aborder ce problème : intégrer la sécurité dès le départ. Dans ce blog, nous allons explorer comment les développeurs peuvent être la première ligne de défense en sécurisant le code et en réduisant jusqu'à 53% des vulnérabilités dans leur code grâce à l'apprentissage agile. 

Empêcher les vulnérabilités d'être introduites 

Secure Code Warrior travaille avec plus de 600 entreprises différentes pour les aider à sécuriser leur code. Nos chercheurs ont examiné les données de 30 % de notre base d'utilisateurs - près de 75 000 développeurs - et ont noté que les développeurs qui apprennent et appliquent des pratiques de codage sécurisées avec Secure Code Warrior introduisent 53 % de vulnérabilités en moins dans leur organisation que leurs homologues. Lorsque les développeurs cessent de créer de nouvelles vulnérabilités, ils gagnent des heures et des heures de productivité. Ce temps peut être consacré à la réduction de la dette technique, ou même à la livraison de nouvelles solutions et fonctionnalités innovantes. Les possibilités deviennent infinies lorsque l'introduction de vulnérabilités appartient au passé et peut entraîner un certain nombre d'améliorations de l'efficacité du cycle de vie du développement logiciel. 

Comment les développeurs peuvent-ils bénéficier de l'apprentissage agile ?  

Secure Code Warrior a intégré les principes agiles dans la conception de son site Plateforme D'apprentissage afin d'encourager les développeurs à apprendre le codage sécurisé par la pratique. Pour ce faire, les formations à la sécurité, autrefois longues et ennuyeuses, sont divisées en petites séances d'apprentissage interactives et attrayantes. 

Secure Code Warrior est le seul site agile Plateforme D'apprentissage qui combine plusieurs formats d'apprentissage par micro-ondes afin que les développeurs puissent apprendre, tester et appliquer leurs connaissances rapidement, dans le contexte du travail réel qu'ils effectuent déjà - dans la langue de leur choix.

Grâce à des programmes personnalisables, des activités d'apprentissage pratiques à fort impact et des intégrations d'outils de développement, Secure Code Warrior est le moyen le plus efficace d'apprendre aux développeurs à identifier et à corriger les vulnérabilités dès le début du SDLC, et d'empêcher que des vulnérabilités ne soient introduites dès le départ.

Pourquoi Secure Code Warrior

Secure Code Warrior donne à vos développeurs les compétences nécessaires pour écrire du code sécurisé. Notre site Plateforme D'apprentissage est la solution de codage sécurisé la plus efficace car elle utilise des méthodes d'apprentissage agiles pour que les développeurs apprennent, appliquent et retiennent les principes de sécurité des logiciels. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de formation à la sécurité agile afin d'apprendre le code avec une méthodologie agile, de fournir rapidement des logiciels sécurisés et de créer une culture de la sécurité axée sur les développeurs. Vous souhaitez en savoir plus ? Demandez une démonstration.

Il y a peu, les communautés de la sécurité et du développement ont été averties par un avis du développeur principal du projet curl, Daniel Stenberg, qui a publié une malheureuse missive indiquant qu'une nouvelle version de curl - distribuée le 11 octobre - avait été publiée pour corriger deux vulnérabilités de sécurité à fort impact, dont l'une qu'il décrit comme "probablement la pire faille de sécurité de curl depuis longtemps".

Un postmortem sur le blog de Stenberg indique que les versions concernées de la bibliothèque curl sont susceptibles de présenter une vulnérabilité de débordement de mémoire tampon basée sur un tas, liée à un problème hérité du protocole proxy SOCKS5 utilisé depuis 2002.

Avec son utilisation en tant qu'outil de ligne de commande remontant à 1998, curl est largement considéré comme un pilier fondamental de l'internet. Avec une histoire aussi riche et une utilisation aussi répandue, il s'agit d'une dépendance qui, si elle s'avère vulnérable, pourrait avoir des conséquences permanentes sur la cybersécurité en général.

Cet incident présente des similitudes avec l'attaque dévastatrice Log4Shell dans Log4j, une autre dépendance vulnérable qui est toujours exploitée près de deux ans plus tard.
‍
>>> Testez vos connaissances dès maintenant avec notre mission curl!‍

La vulnérabilité : Débordement de mémoire tampon

L'exploitation est détaillée sous CVE-2023-38545, et concerne les versions curl 7.69.0 à 8.3.0 incluse. Le bogue principal est une vulnérabilité de débordement de tampon basée sur le tas, les rapports initiaux notant qu'une exploitation réussie pourrait conduire à une attaque d'exécution de code à distance (RCE) plus dévastatrice. Bien qu'il s'agisse d'un flux de travail possible pour un acteur de la menace, il s'agit d'un cas d'utilisation rare plutôt que d'une évidence.

Le seul point positif permettant d'atténuer certains risques est que la communication malveillante doit passer par un proxy SOCKS5, ce qui est un déploiement relativement rare.

Comparable à l'exploit curl, jetons un coup d'œil à cette explication sur le débordement de tampon :

Lorsque l'on demande à curl d'utiliser un proxy SOCKS5, il transmet le nom d'hôte et le proxy le résout. Cependant, si le nom d'hôte dépasse la limite de 255 octets, curl résoudra le nom d'hôte localement (comme le montre l'extrait de code ci-dessous : source).

En cas de lenteur de l'échange entre le client et le mandataire, il est possible que le nom d'hôte long soit copié dans la mémoire tampon au lieu de l'adresse résolue (plus courte). La portion de mémoire allouée ne permet qu'une valeur de 255 octets, donc si elle reçoit une valeur qui dépasse cette limite, les données déborderont des limites de la mémoire tampon.

>>> Essayez-le par vous-même dans cette mission jouable!

Le débordement de mémoire tampon est un vecteur d'attaque puissant, qui peut être présent dans de nombreux langages de programmation anciens. Dans ce cas particulier, l'exploitation a ouvert la voie à une attaque plus sérieuse et plus dommageable sous la forme d'un RCE dans certains contextes, bien que cette voie reste peu courante et peu probable.

Comment pouvez-vous atténuer le risque de dépassement de tampon ?

À ce stade, la priorité absolue est d'appliquer les correctifs à toutes les instances vulnérables, en rappelant que l'utilisation de curl est tellement répandue qu'il n'est pas nécessairement évident ou annoncé que les composants de votre système incluent la dépendance en cours d'utilisation. Dans ce cas, un audit et des correctifs ultérieurs sont nécessaires. 

En général, les failles de débordement de mémoire peuvent être atténuées par l'utilisation d'un langage à mémoire sécurisée comme Rust. Cependant, comme c'est le cas avec un projet tentaculaire comme curl, il n'est pas pratique de le porter à un autre langage ou de le réécrire sur un coup de tête. Comme le note Stenberg en évoquant la possibilité d'utiliser et de prendre en charge davantage de dépendances écrites dans des langages à mémoire sécurisée - ou l'alternative consistant à remplacer progressivement certaines parties de curl - "... le développement se fait... actuellement à une vitesse presque glaciale et montre avec une clarté douloureuse les défis à relever. curl restera écrit en C dans un avenir prévisible". Ce n'est pas une mince affaire, et les implications en matière de sécurité sont immenses.

Des erreurs de sécurité peuvent se produire et se produiront, et il n'est pas toujours possible de compter sur les scanners et les tests pour détecter tous les vecteurs d'attaque possibles. C'est pourquoi notre meilleure arme dans la lutte contre ces bogues est un engagement à une sensibilisation permanente à la sécurité et au renforcement des compétences.
‍

Vous souhaitez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques ?

Essayez notre Heap Overflow gratuitement.

Si vous souhaitez obtenir plus de conseils gratuits en matière de codage, consultez les sites suivants Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Ici, à Secure Code Warrior, nous innovons constamment pour aider les développeurs et les organisations à acquérir les bonnes compétences pour relever les défis de sécurité en constante évolution d'aujourd'hui. Nous y parvenons grâce à notre site agile Plateforme D'apprentissage pour le codage sécurisé qui permet aux développeurs d'apprendre comme ils le souhaitent, avec le contenu sur les vulnérabilités le plus complet et le plus fiable du secteur aujourd'hui.  

Au cours du trimestre écoulé, Secure Code Warrior a mis en œuvre de nouvelles méthodes permettant aux administrateurs d'entreprise d'étendre tournaments à plusieurs marques et entités, tout en gérant plus simplement leurs utilisateurs par le biais du provisionnement SCIM. Nous sommes également ravis d'annoncer que de nouvelles directives de codage sont disponibles dans Jira, ainsi que des rapports d'aperçu des performances et de nouveaux flux de travail de programme disponibles en avant-première. 

Plongeons dans l'histoire pour en savoir plus !

Élargir la portée et la profondeur de la plateforme SCW 

Secure Code WarriorL'expansion continue de notre contenu nous aide à maintenir nos modules pertinents, opportuns et adaptés à ce que vous devez savoir dans le paysage de la cybersécurité d'aujourd'hui. Avec une largeur et une profondeur de plus de 60 langues, il est facile de construire et d'étendre un programme d'apprentissage agile pour les développeurs dans un grand nombre de langues et de cadres. 

Maintenant disponible : Directives de codage dans Jira 

L'ajout de lignes directrices à notre intégration Jira offre aux développeurs un apprentissage contextuel qui couvre l'atténuation de la sécurité. Les directives sont plus approfondies que les vidéos, se concentrent sur un langage ou un cadre spécifique et proposent des extraits de code pour aider les développeurs à résoudre un problème encore plus rapidement. En plus d'accéder aux vidéos et aux défis, les développeurs peuvent désormais lire les directives de codage directement dans un problème Jira pour accéder à des conseils de remédiation approfondis.

Disponible dès maintenant : Nouveau contenu pour les développeurs frontaux 

Les développeurs frontaux ont eux aussi besoin d'un code sécurisé ! C'est pourquoi nous avons publié des vulnérabilités frontales supplémentaires sur Missions et Walkthroughs. Les développeurs frontaux pourront également accéder à Missions à partir de Courses. 

Ces mises à jour s'efforcent de couvrir de manière exhaustive les vulnérabilités spécifiques au front-end, qu'il s'agisse de vulnérabilités courantes telles que le XSS basé sur DOM ou de vulnérabilités moins fréquemment rencontrées telles que l'injection CSS. Les Walkthroughs étape par étape fournissent aux développeurs frontaux des conseils fiables sur la façon dont les vulnérabilités sont exploitées, tandis que les développeurs plus avancés peuvent également tester leurs compétences en matière de front-end Missions dans Tournaments. 

De nouveaux moyens passionnants pour développer votre culture de la sécurité 

Disponible dès maintenant : Multi-entreprises Tournaments 

‍

Le site Tournaments peut être créé pour permettre une compétition amicale entre les développeurs de plusieurs entités commerciales, de filiales, de partenaires et d'autres entreprises. Cela permet de s'assurer qu'une culture de codage sécurisée peut s'étendre à l'ensemble d'une organisation et à ses différentes marques.  

Vous souhaitez participer à l'ultime événement multi-entreprises Tournament? Inscrivez-vous aux 3e Devlympics annuels - le site mondial tournament de SCW pour le mois de la sensibilisation à la cybersécurité ! Si vous êtes déjà client, vous pouvez vous inscrire via la plateforme. 

Simplifier l'expérience des administrateurs et des développeurs

Maintenant disponible : Filtrage des cours 

La possibilité d'appliquer des filtres supplémentaires sur la page de gestion des cours permet aux administrateurs de filtrer plus facilement les cours sur lesquels ils souhaitent travailler. Courses peut être filtré par plusieurs attributs tels que le statut, la date de fin et les équipes inscrites.

Disponible dès maintenant : Gérez vos licences SCW avec SCIM 

Désormais, les responsables de programmes et les administrateurs d'entreprises peuvent gérer les développeurs de manière programmatique à grande échelle et avoir la certitude que les contrôles d'accès sont toujours à jour.

Le provisionnement SCIM utilise votre fournisseur d'identité pour synchroniser l'accès à Secure Code Warrior. L'automatisation de ces tâches garantit l'exactitude, la sécurité et la conformité afin d'économiser du temps et des ressources lors du provisionnement des utilisateurs. Actuellement, le SCW prend en charge le provisionnement SCIM au niveau de l'utilisateur uniquement et pas encore pour les groupes SCIM.

Disponible en avant-première : Flux de travail des programmes

 La configuration d'un programme de formation au code sécurisé évolutif et attrayant est désormais plus facile que jamais grâce à des améliorations clés de la convivialité de la plateforme. Les programmes ont été créés pour mieux guider les apprenants grâce à l'enchaînement des sites courses et des évaluations dans des programmes à plusieurs niveaux. Les flux de travail automatisés des programmes sont désormais disponibles pour les clients qui ont activé la prévisualisation dans la plateforme. Les flux de travail des programmes garantissent que les développeurs savent par où commencer, qu'ils peuvent naviguer jusqu'à la prochaine étape et passer facilement d'un niveau à l'autre dans un programme d'apprentissage du code sécurisé. Cela permet également aux administrateurs de l'entreprise de passer moins de temps à mettre en place, à gérer leur programme et à inciter les développeurs à terminer leur prochaine activité d'apprentissage. 

Vous avez besoin de conseils pour lancer l'apprentissage du code sécurisé au sein de votre organisation ? Lisez notre manuel sur la façon de structurer votre programme pour atteindre vos objectifs de sécurité. 

Rapports et informations sur les programmes

Disponible en avant-première : Aperçu des performances 

En tant qu'administrateur d'entreprise, la nécessité de surveiller l'activité au sein de votre organisation est cruciale pour comprendre la participation des développeurs et mesurer le succès de votre programme d'apprentissage du code sécurisé. Nous avons conçu une interface de reporting améliorée qui garantit que les administrateurs d'entreprise tirent les informations les plus exploitables de leurs rapports.

La vue d'ensemble des performances donne un aperçu des cours de développeur et de l'achèvement du site assessment , ainsi que de la précision moyenne au fil du temps. Le rapport génère également un benchmark de l'industrie qui permet de comparer votre programme au score moyen de votre industrie assessment pour votre sélection assessment. 

Ce rapport simple, mais puissant, marque le début de la série d'analyses et de mesures prévues pour 2024 sur le site Secure Code Warrior. 

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Réservez une démonstration pour en savoir plus dès aujourd'hui. 

Voilà pour les nouvelles fonctionnalités de ce trimestre ! Suivez Secure Code Warrior sur LinkedIn et X (anciennement Twitter) pour obtenir des informations sur les dernières versions et améliorations.

‍

‍

Les cyberattaques contre la chaîne d'approvisionnement des logiciels sont de plus en plus fréquentes, suscitant une vague de changements législatifs au niveau du gouvernement américain, tandis que les entreprises s'efforcent d'atténuer leur profil de risque étendu et d'améliorer rapidement la qualité de leurs logiciels. Rien que cette année, trois vulnérabilités de type "zero-day" ont été liées à des services de partage de fichiers, la plus importante et la plus destructrice étant l'exploit de masse MOVEit.

Mené par le groupe de ransomware CL0P, l'incident MOVEit domine l'actualité de la cybersécurité depuis un certain temps, avec plus de 1 000 organisations touchées. Ce nombre devrait continuer à augmenter, ce qui en fait l'une des attaques les plus puissantes contre la chaîne d'approvisionnement en logiciels depuis Solarwinds en 2021.

Le catalyseur de cette violation généralisée a été un groupe de vulnérabilités d'injection SQL, qui ont reçu un score de gravité de 9,8 sur 10 de la part de MITRE. L'injection SQL est la bête noire des professionnels de la sécurité depuis la fin des années 90 et, bien qu'elle soit assez simple à corriger, elle continue à se frayer un chemin dans les logiciels modernes et à offrir aux acteurs de la menace un tapis rouge vers les données sensibles. 

Le scénario MOVEit est un peu différent de ce que de nombreux développeurs et professionnels de l'AppSec ont pu connaître auparavant, et vous pouvez tester vos compétences de tueur de SQLi dans une simulation en direct ici :

>>> PLAY THE MOVEit MISSION (Jouez la mission MOVEit)

La vulnérabilité : Injection SQL

Comment l'injection SQL a-t-elle été utilisée pour exploiter l'application de transfert de fichiers MOVEit de Progress Software ?

Le groupe de ransomware CL0P a réussi à exploiter la vulnérabilité CVE-2023-34362 d'injection SQL, ce qui lui a permis d'accéder sans restriction et sans autorisation à la base de données de MOVEit. À partir de là, ils ont pu installer LEMURLOOT, un shell web qui leur a permis d'exécuter plusieurs processus critiques à haut risque, tels que la récupération des paramètres du système, l'énumération de la base de données SQL, la récupération de fichiers à partir du système de transfert MOVEit et la création d'un nouveau compte avec des privilèges d'administration complets.

Il va sans dire que ce vecteur d'attaque peut être le résultat d'une erreur relativement simple - que l'on pourrait mettre sur le compte de l'utilisation perpétuelle de mauvais modèles de codage - mais son potentiel à causer des problèmes continus au niveau de l'entreprise est immense. 

Comparable à l'exploit MOVEit, jetons un coup d'œil à cet explicatif SQLi, qui simule la méthode d'injection et d'exécution d'un code SQL malveillant :
‍

Chaîne de requête et variable :
‍

string emailAddress ="contact@scw.com";

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";

aboutira à la requête suivante :
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'" ;
‍

... et avec une entrée malveillante :
‍

string emailAddress = "contact@scw.com' ; DELETE FROM Invoices WHERE Id = 2;--" ;

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";
‍

il deviendra :
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com' ; DELETE FROM Invoices WHERE Id = 2;--'" ;
‍

Comment cela se présente-t-il en vol ?

Notez qu'en raison de la concaténation de chaînes, l'entrée est interprétée comme une syntaxe SQL. Tout d'abord, un guillemet simple est ajouté pour s'assurer que l'instruction SELECT est une syntaxe SQL valide. Ensuite, un point-virgule est ajouté pour terminer la première instruction. 

Une fois que cela est en place, une instruction DELETE valide est ajoutée, suivie de deux traits d'union pour commenter les caractères de fin (le guillemet simple). Une instruction UPDATE pourrait tout aussi bien être ajoutée, par exemple, si le code SQL malveillant consistait à mettre à jour les rôles ou les mots de passe des utilisateurs.
‍

Essayez-le vous-même dans cette mission jouable :
‍

>>> JOUER LA MISSION MOVEit
‍

Bien que relativement simple, SQLi reste un vecteur d'attaque puissant et bien trop courant. Dans le cas de MOVEit, cet exploit a permis l'installation d'une porte dérobée préjudiciable et d'un groupe d'autres attaques de gravité similaire.

Comment réduire le risque d'injection SQL ?

Les entreprises qui utilisent MOVEit dans le cadre de leurs activités doivent impérativement suivre les conseils de Progress Software en matière de remédiation. Cela inclut, sans s'y limiter, l'application des correctifs de sécurité en tant que priorité de niveau d'urgence.

Pour l'injection SQL en général, consultez notre guide complet.

Vous voulez en savoir plus sur la façon d'écrire du code sécurisé et de réduire les risques ? Essayez gratuitement notre défi d'injection SQL.

Si vous souhaitez obtenir d'autres conseils de codage gratuits, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Tout juste après l'annonce de notre financement de série C, j'ai le plaisir de vous annoncer une nouvelle étape dans le parcours de notre entreprise. Synopsys, leader de l'industrie de la sécurité, a accueilli un nouveau produit passionnant dans sa gamme de produits : Synopsys Developer Security Training, powered by Secure Code Warrior. Vous pouvez lire le communiqué de presse complet ici.

Cette extension de leur portefeuille de solutions de sécurité des applications, leader sur le marché, représente un pas positif dans la bonne direction pour les programmes de sécurité des entreprises, leur permettant d'adopter les méthodologies DevSecOps les plus performantes - en particulier celles relatives à la responsabilité partagée en matière de sécurité. En d'autres termes, cette intégration augmentera la base mondiale de développeurs compétents en matière de sécurité, et c'est une excellente occasion pour chaque organisation de soutenir la réduction des vulnérabilités au niveau du code grâce à l'habilitation des développeurs à un codage sécurisé. 

Aux États-Unis, la CISA a publié cette année ses lignes directrices sur la sécurité par conception et par défaut, dans lesquelles elle recommande que la responsabilité finale des résultats en matière de cybersécurité incombe au fournisseur plutôt qu'à l'utilisateur final. Pour de nombreux éditeurs de logiciels, cela nécessitera une révision importante de leurs pratiques de sécurité internes, faute de quoi ils s'exposeront à de lourdes amendes. Cela deviendra rapidement un élément non négociable dans le monde entier, et toute excuse liée à une pénurie de compétences en cybersécurité ne tiendra pas : nous avons besoin de développeurs sensibilisés à la sécurité pour jouer leur rôle vital dans la création de logiciels plus sûrs, et nous avons besoin d'eux maintenant.

Des solutions d'apprentissage agiles, flexibles et personnalisables sont un antidote puissant aux mauvais modèles de codage, en plus de l'expérience négative que de nombreux développeurs ont eue avec les initiatives AppSec jusqu'à présent. Il faut les convaincre, les accommoder et leur offrir des parcours d'apprentissage qui s'intègrent à leur flux de travail afin de leur fournir les bonnes informations au bon moment. L'intégration de Synopsys à notre plateforme est une solution viable, leader sur le marché, à ce problème et peut fondamentalement changer la relation des développeurs avec la sécurité pour le meilleur.

La cybercriminalité devrait coûter aux entreprises du monde entier environ 10 500 milliards de dollars par an d'ici à 2025, soit une augmentation constante par rapport aux 3 000 milliards de dollars de 2015. Cybersecurity Ventures indique également que la cybercriminalité représente le "plus grand transfert de richesse économique de l'histoire". Il ne s'agit pas d'un exercice ; en tant qu'industrie collective, nous devons commencer à donner la priorité à l'éducation au codage sécurisé pour chaque personne qui écrit du code, et établir une nouvelle référence pour la sécurité en tant que mesure de la qualité des logiciels. Grâce à la gamme complète d'outils de Synopsys, qui comprend désormais une formation agile pratique pour les développeurs, engageante et hyper pertinente, il n'y a jamais eu de meilleur moment pour passer de manière significative à des programmes de sécurité préventive dirigés par les développeurs.