Aperçu des codes sécurisés

Responsables de la sécurité des applications, directeurs informatiques, experts en cybersécurité — au cours de ma carrière dans le développement de logiciels et la sécurité, j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, qui ont travaillé dans des entreprises de tous types à travers le monde.

Quelle que soit la diversité de votre situation, l'expérience de votre équipe ou le temps qui passe dans ce monde numérique en constante évolution, il existe un problème qui reste toujours le même : vous êtes rarement en mesure d'inciter votre équipe de développement à adopter une attitude positive envers la sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable casse-tête pour le secteur.

La sécurité logicielle revêt une importance trop capitale dans notre mode de pensée général pour que nous continuions dans cette voie. Nous devons nous efforcer de changer le débat et faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. À mon avis, l'un des meilleurs moyens d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, par exemple par le biais de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des postes dans lesquels la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, elle fait généralement partie des vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne serait jamais incité à s'intéresser à la programmation sécurisée). Très souvent, leur première expérience en matière de sécurité est un rapport d'audit ou de test de bogues qui interrompt soudainement une future publication et devient immédiatement une perturbation de leur pensée créative, avec la plus haute priorité. Ils entrent en conflit avec les responsables des rapports de sécurité, de sorte que « sécurité » devient dans leur esprit synonyme de « critique ».

Il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, certains de mes meilleurs souvenirs professionnels sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premiers jours de hacker à assister à des conférences où je pouvais non seulement tester mes compétences par rapport à celles de mes collègues (et, pour être honnête, m'en vanter un peu), mais aussi prendre beaucoup de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient autant que moi développer des logiciels.

BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre en pratique nos compétences dans le cadre d'une compétition amicale. Bien que je n'admettrais jamais avoir participé à de telles activités, certains ont même démontré leurs compétences en matière de piratage informatique en accédant aux téléphones d'autres participants et en affichant leurs informations sur les écrans de présentation, à la vue de tous. C'est devenu un jeu consistant à trouver, exploiter et corriger ces erreurs afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me tenir devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves qui, tout en jouant, a appris le brute-forcing des mots de passe et le codage Base64.

La gamification est également utilisée pour enseigner la programmation. Des établissements d'enseignement du monde entier utilisent cette approche pour enseigner la programmation à de très jeunes enfants, même jusqu'à un âge avancé. Des enfants âgés de quatre ans participent désormais régulièrement à des initiatives pendant les vacances, telles que CodeCamp, et il existe toute une série de programmes en ligne exceptionnels qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté le formidable outil de codage sans écran Cubetto pour ma fille de quatre ans.

Malgré tout le plaisir et les progrès réalisés, il existe toutefois une lacune. Personne n'a envisagé la possibilité d'utiliser la gamification pour enseigner aux développeurs à écrire du code sécurisé.

Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner à la sécurité son caractère inspirant et vraiment motiver les développeurs à s'engager et à commencer à jouer.

Gamification : la voie simple vers l'avenir.

J'ai un profond désir de former les développeurs et de leur transmettre des connaissances en matière de sécurité, et c'est précisément cette passion qui m'a poussé à Secure Code Warrior . La sécurité des logiciels est extrêmement importante et peut être vraiment passionnante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches les plus banales plus divertissantes et inciter les gens à continuer à jouer, à gagner et à progresser — il suffit de voir comment fonctionne Pokémon Go ! J'ai même réussi à faire sortir la personne la plus paresseuse de son canapé pour aller à la recherche de créatures imaginaires, ou encore FitBit qui incite de nombreuses personnes à atteindre leur objectif quotidien de pas... Un sentiment de déception très réel apparaît lorsque ces objectifs ne sont pas atteints, lorsque les séries ne sont pas terminées et que les badges ne sont pas gagnés.

Revenons à la formation à la sécurité. Nous avons démontré auprès de nombreux clients que la gamification est essentielle pour véritablement transformer la culture de la sécurité au sein de leurs organisations. Nous établissons des ponts entre les équipes AppSec et les équipes de développement et les aidons de manière générale à développer des logiciels répondant à des normes plus élevées.

À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément convivial, compétitif et captivant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir régulièrement pour accumuler plus de points, battre les meilleurs scores, gagner en précision et défier leurs coéquipiers.

Nous savons déjà qu'un entraînement efficace se présente généralement comme suit :

• Les développeurs peuvent travailler dans du code réel et dans leurs propres langages/frameworks.
• Les défis sont courts et couvrent toutes les failles de sécurité courantes.
• Les défis sont constamment élargis et mis à jour, permettant ainsi aux développeurs de continuer à développer leurs compétences au fil du temps.
• Les défis présentent différents niveaux de complexité et sont donc intéressants tant pour les développeurs expérimentés que pour les moins expérimentés.
• Les développeurs et leurs responsables peuvent suivre les progrès réalisés, y compris les défis qu'ils ont surmontés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur niveau général de précision.

L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme ludique lors de son déploiement. Il a fourni à ses développeurs des équipements d'équipe thématiques, a offert des prix exceptionnels aux gagnants et a fait de leur tournoi une journée mémorable. Depuis lors, ils organisent des compétitions internationales et toute leur équipe continue à s'entraîner sérieusement.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est pionnier dans l'introduction de formations ludiques pour lutter contre les codes de mauvaise qualité. Il s'agit d'une approche véritablement innovante qui bouleverse les formations traditionnelles (ou ennuyeuses). Découvrez ce que notre client a réalisé avec son tournoi de niveau supérieur. Êtes-vous prêt à améliorer votre équipe avec nous ?

Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de renforcer les compétences des développeurs en matière de sécurité et d'interagir avec eux, par exemple par le biais de la gamification.

Le 3 septembre, plusieurs membres de l'équipe et moi-même avons participé à une remarquable conférence sur les prix de la sécurité, organisée par CSO Australie. L'une des premières du genre en Australie, la cérémonie de remise des prix 2019 pour les femmes dans le domaine de la sécurité a été un moment fort qui a réuni certains des experts en sécurité les plus respectés du secteur. Elle a permis de célébrer la contribution des femmes à la cybersécurité et a constitué une plateforme indispensable pour mettre en avant le talent et les innovations exceptionnels de femmes qui, bien que travaillant avec brio, ne sont souvent pas sous les feux de la rampe.

Je suis très fière de pouvoir annoncer que Fatemah Beydoun, vice-présidente de la réussite client (également connue sous le nom de Chief Awesome) chez Secure Code Warrior, a joué un rôle important dans cette journée. Elle a présenté son exposé intitulé « Mentorat pour l'avenir : comment nous pouvons tous mieux promouvoir les talents féminins dans le domaine de la cybersécurité » devant un public très réceptif. Bien que douze minutes ne suffisent pas pour illustrer son influence de longue date sur nous et sur l'ensemble du secteur de la cybersécurité, elle a connu des changements positifs importants (sans parler de ceux qu'elle a encouragés).

Une approche plus inclusive.

« Lorsque j'ai débuté ma carrière dans ce secteur », a déclaré Fatemah, « j'étais l'une des rares femmes dans les équipes où j'étais affectée. La plupart des opportunités de réseautage étaient également axées sur les hommes, ce qui rendait difficile pour moi de participer, de rencontrer les bonnes personnes et de démontrer ma valeur ajoutée pour l'entreprise. J'ai essayé de changer cette dynamique et, dans la mesure du possible, de créer un espace plus inclusif. Par exemple, j'ai souvent participé à des événements professionnels et j'ai remarqué que de nombreux stands d'entreprises faisaient appel à des mannequins pour attirer l'attention sur eux. En théorie, cela n'a rien de répréhensible, mais j'étais souvent ignorée, car je ne correspondais clairement pas au marché cible. Au début de ma carrière, j'étais responsable de l'organisation d'événements et je me suis promis que nous pourrions trouver des moyens plus inclusifs et plus divertissants d'attirer l'attention sur nos propres offres », a-t-elle déclaré.

Fatemah et moi collaborons depuis longtemps, et elle s'est toujours engagée en faveur de l'inclusion et de la diversité dans les entreprises où nous avons travaillé. Cela a toujours conduit à davantage d'opportunités pour les femmes au sein de l'équipe, à la reconnaissance de contributions importantes et à la constitution d'un groupe renforcé par la diversité des approches, des opinions et des parcours de vie.

« Évidemment, personne ne souhaite être la femme symbolique », a déclaré Fatemah. « Cependant, le problème peut être que certaines équipes de direction moins diversifiées ont tendance à confier la direction à des personnes qui leur ressemblent et auxquelles elles peuvent s'identifier sur le plan personnel. Ces mêmes dirigeants pourraient bénéficier des compétences et des capacités d'une femme, mais il leur est souvent difficile de s'en rendre compte. Lorsque les équipes de direction prennent conscience de la force que peut apporter la diversité (au-delà du genre), elles sont souvent disposées à s'engager dans cette voie et à promouvoir les femmes qui sont prêtes, disposées et capables de faire un excellent travail pour leur entreprise », a-t-elle déclaré.

Flexibilité au travail : des éléments essentiels pour la réussite.

Lors de la création de ma propre entreprise, j'ai rapidement compris que les meilleurs résultats sont obtenus lorsque les membres de l'équipe disposent d'une certaine liberté. La flexibilité est importante pour tous, mais les mesures visant à soutenir les familles actives peuvent contribuer de manière décisive à fidéliser les talents importants.

L'une des premières mesures mises en place ici a été la politique « Infant-At-Work », qui permettait aux nouvelles mères de reprendre le travail plus tôt, avec la flexibilité nécessaire pour respecter leurs rendez-vous et la possibilité d'amener leurs nourrissons au travail sans crainte d'être jugées.

« Je ne souhaitais pas choisir entre mon rôle de mère et ma carrière, et la possibilité d'amener mon jeune fils au travail a été une mesure positive qui m'a permis de me sentir soutenue et valorisée », a déclaré Fatemah. « Mes compétences ne disparaissent pas après la naissance, et en tant que membre fondatrice d'une start-up, on souhaite simplement se remettre au travail ! »

Elle a même discuté avec ABC News des avantages du travail flexible :

Disposez-vous d'une culture de mentorat florissante ?

Pour aider quelqu'un à se lancer dans une carrière prometteuse et à maintenir son élan, il est judicieux de lui attribuer un mentor. Dans de nombreux domaines de l'informatique, de la cybersécurité et des secteurs dominés par les hommes, il existe un déséquilibre important entre les femmes et les hommes aux postes de direction, ce qui peut constituer un défi.

Il est certes important que les femmes se voient occuper des postes de direction, mais les hommes peuvent également contribuer à cette évolution en encourageant les femmes compétentes au sein de leurs équipes et, dans la mesure du possible, en leur apportant leur soutien en tant que mentors.

« Les équipes de direction peuvent exercer une grande influence sur la diversification au sein d'une entreprise et veiller à ce que les femmes exceptionnelles obtiennent la reconnaissance et les opportunités de carrière qu'elles méritent au même titre que les autres. J'ai pu le constater en action avec Yvette Lejins, responsable de la cybersécurité chez Jetstar. Elle s'engage en faveur des femmes et, grâce à sa propre réussite et à son travail acharné, elle a pu aider d'autres femmes à acquérir la confiance nécessaire pour se battre pour atteindre les plus hauts échelons », a déclaré Fatemah.

Il semblerait que Secure Code Warrior célébrer l'arrivée de son 100e employé. Je suis fier de pouvoir affirmer que les femmes représentent plus de 50 % de l'effectif total de l'entreprise, et Fatemah est un modèle et une mentor exceptionnels pour tous.

Toutes les entreprises peuvent trouver une force considérable dans la diversification de leurs équipes. La diversité des opinions issues de différentes couches de la société peut être l'ingrédient secret qui transforme les bonnes idées en idées exceptionnelles. Comme toujours, l'union fait la force.

Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à tout, même à une explosion nucléaire. Bien que cette théorie ne soit vraie que dans une certaine mesure, leur constitution physique simple les rend extrêmement robustes par rapport à leur taille et difficiles à éradiquer dans la plupart des conditions.

J'ai réfléchi... Si les cafards avaient un équivalent dans le monde numérique, ce serait les vulnérabilités d'injection SQL (SQLi) dans le code. Il s'agit d'une faille de sécurité connue depuis plus de vingt ans, mais les entreprises continuent d'en être victimes. L'attaque coûteuse et très médiatisée contre Target était le résultat d'une injection SQL, tout comme un cas de piratage électoral dans l'Illinois, où les données de 200 000 électeurs ont été divulguées, ce qui a incité le FBI à recommander à tous les administrateurs informatiques de renforcer rapidement leurs pratiques de sécurité.

Le rapport Imperva Hacker Intelligence Initiative a révélé qu'entre 2005 et 2011, les attaques SQLi ont été utilisées dans 83 % de toutes les violations de données signalées. Aujourd'hui, les vulnérabilités d'injection restent la plus grande menace dans le classement OWASP Top 10. Elles sont relativement simples, mais elles persistent.

Il semble surprenant que la même faille de sécurité apparaisse encore dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? La réalité est que la sécurité de nos logiciels présente un potentiel d'amélioration considérable.

Le rapport de Veracode sur l'état de la sécurité des logiciels, basé sur 400 000 analyses d'applications en 2017, a révélé une statistique préoccupante : seulement 30 % des applications ont respecté les directives OWASP Top 10. Ce problème est récurrent depuis cinq ans. Près d'une application nouvellement analysée sur trois présentait des injections SQL. Cela démontre qu'il s'agit d'un problème très répandu. Nous ne tirons pas les leçons de nos erreurs, et les RSSI semblent avoir beaucoup de mal à trouver suffisamment de talents dans le domaine de la sécurité. En règle générale, le ratio entre les spécialistes de la sécurité des applications et les développeurs est insuffisant, à savoir 1 pour 100.

Pourquoi la sécurité des logiciels est-elle vitale ?

Il n'est pas secret que les talents spécialisés dans la sécurité sont rares, mais nous devons également veiller à ce que les développeurs ne corrigent pas immédiatement les problèmes lorsqu'ils surviennent et qu'ils soient manifestement mal équipés pour éviter d'introduire des failles de sécurité. Le même rapport Veracode révèle que seules 14,4 % des vulnérabilités de sécurité détectées lors du développement ont fait l'objet de mesures correctives documentées. En d'autres termes, la plupart des vulnérabilités de sécurité ont été signalées sans qu'aucune mesure corrective ne soit prise. Moins d'un tiers des vulnérabilités de sécurité ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités de sécurité n'ont jamais été corrigées pendant la période de développement.

Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai constaté que de nombreuses entreprises sont tellement frustrées par le nombre de failles de sécurité détectées qui ne peuvent être corrigées (en plus du problème des fausses alertes) qu'elles ont décidé de cesser de les rechercher, en espérant que tout se passera bien.

Pourquoi les experts en sécurité des applications permettent-ils cela ?

Ne vous méprenez pas : les collaborateurs AppSec sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences clés qui fait d'eux une ressource si précieuse pour l'équipe. Cependant, ils sont souvent affectés par plusieurs facteurs.

Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question importante varie d'une organisation à l'autre, mais en général, le développeur est tellement submergé par les sprints rigoureux pour fournir des fonctionnalités qu'il n'a tout simplement pas le temps de corriger ces problèmes, ni les outils appropriés pour l'aider. Les experts en sécurité des applications peuvent être capables d'identifier les failles de sécurité, mais ils n'ont souvent pas les compétences et/ou l'accès nécessaires pour les corriger sur place.

Nous devons également être conscients que chaque problème nécessite un processus au cours duquel une solution doit être trouvée, mise en œuvre, puis testée. Même pour le plus petit problème détecté dans le code, le temps nécessaire pour le résoudre, sans parler des ressources requises, est considérable. Il existe plus de 700 failles de sécurité qui peuvent être introduites dans un logiciel, et il est tout simplement impossible pour une seule personne de se protéger contre toutes. C'est pourquoi la plupart des entreprises se contentent de suivre le Top 10 de l'OWASP. Pendant ce temps, les développeurs créent constamment de nouvelles fonctionnalités et, en retour, introduisent sans cesse des failles de sécurité dans le code qu'ils écrivent.

Quelle est la solution ?

Le fait est que nous ne fournissons pas à nos développeurs les outils et les formations nécessaires pour favoriser une programmation sécurisée et efficace. Il n'existe aucune réglementation obligeant les entreprises à s'assurer que les développeurs disposent des connaissances adéquates en matière de sécurité, et il est regrettable de constater que la plupart des universités et des stages ne préparent pas non plus les jeunes développeurs à programmer de manière sécurisée.

Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.

Nous devons consacrer du temps à enseigner aux développeurs comment écrire du code sécurisé. Cependant, dans le monde actuel, où le développement logiciel évolue rapidement et où les bons développeurs et experts en sécurité sont rares, cela ne semble jamais être une priorité. Il est temps de changer la donne.

Une récente manchette du Forum économique mondial affirmait : « Sans sécurité, il ne peut y avoir d'économie numérique », arguant dans les contenus associés que la sécurité était un élément central de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de développer de nouveaux produits et services. La sécurité ne joue pas seulement un rôle défensif, elle offre également aux entreprises un avantage stratégique en termes de croissance. »

L'amélioration des compétences et des résultats en matière de programmation sécurisée offrira aux entreprises un niveau de cybersécurité performant et les aidera à créer un code plus efficace et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, mais ils doivent être encouragés et équipés de manière pratique pour constituer la première ligne de défense contre les cyberattaques. Les développeurs peuvent être les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, créatives dans la résolution des problèmes et généralement désireuses de développer leurs compétences. Tirez parti de leurs atouts en leur offrant la formation spécialisée qu'ils méritent et engagez-vous à respecter des normes de sécurité logicielle plus strictes. Veuillez consulter notre livre blanc pour en savoir plus.

Si quelqu'un souhaite piloter un avion, il doit suivre une procédure très stricte qui garantit une formation, une expérience pratique, des examens médicaux, des connaissances en matière de sécurité et des tests avant de pouvoir voler. Personne n'oserait imaginer que quelqu'un puisse voler sans cette préparation complète et cette validation de ses compétences, mais c'est exactement ce qui se passe chaque jour dans le domaine de la programmation.

Dans la culture populaire, il existe de nombreuses références à des IA et des robots rebelles, ainsi qu'à des appareils qui se retournent contre leurs maîtres humains. Ces références sont fortement imprégnées de science-fiction et de fantaisie, mais à mesure que l'Internet des objets et les appareils connectés prennent de plus en plus d'importance dans nos foyers, il convient également d'aborder la question de la cybersécurité et de la sécurité. Les logiciels sont omniprésents dans notre environnement, et il est facile d'oublier à quel point nous dépendons des lignes de code pour accomplir toutes ces tâches intelligentes qui nous apportent tant d'innovation et de confort. À l'instar des logiciels basés sur le Web, des API et des appareils mobiles, les codes vulnérables des systèmes embarqués peuvent être exploités s'ils sont découverts par un attaquant.

Il est certes peu probable qu'une armée de micro-ondes asservisse l'humanité (bien que Tesla-Bot soit quelque peu préoccupant), mais des cyberattaques malveillantes restent possibles. Certaines de nos voitures, avions et appareils médicaux dépendent également de codes informatiques embarqués complexes pour exécuter des tâches importantes. La perspective que ces objets soient compromis est non seulement alarmante, mais aussi potentiellement mortelle.

Comme pour tout autre type de logiciel, les développeurs sont parmi les premiers à manipuler le code dès le début de la phase de création. Et comme pour tout autre type de logiciel, cela peut constituer un terrain propice à l'apparition de failles de sécurité insidieuses et fréquentes, qui pourraient passer inaperçues avant la mise sur le marché du produit.

Les développeurs ne sont pas des experts en sécurité, et une entreprise ne devrait pas s'attendre à ce qu'ils jouent ce rôle, mais ils peuvent être équipés d'un arsenal beaucoup plus puissant pour lutter contre les types de menaces qui les concernent. Les systèmes embarqués, généralement écrits en C et C++, seront de plus en plus utilisés à mesure que nos exigences techniques évolueront. Il est donc essentiel que les développeurs suivent des formations spécialisées en matière de sécurité concernant les outils utilisés dans cet environnement.

Friteuses à air chaud qui explosent, véhicules malveillants... Sommes-nous des proies faciles ?

Bien qu'il existe certaines normes et réglementations relatives au développement sécurisé dans son ensemble, nous devons réaliser des progrès beaucoup plus précis et significatifs en matière de sécurité logicielle afin de nous protéger. Il peut sembler exagéré d'envisager un problème pouvant être causé par le piratage d'une friteuse à air chaud, mais cela s'est produit sous la forme d'une attaque par exécution de code à distance (permettant à l'auteur de la menace d'augmenter la température à un niveau dangereux), ainsi que de failles de sécurité conduisant à la prise de contrôle de véhicules.

Les véhicules sont particulièrement complexes, car ils embarquent plusieurs systèmes embarqués, chacun étant responsable de microfonctions, des essuie-glaces automatiques aux fonctions du moteur et des freins. Le véhicule connecté est relié à un nombre croissant de technologies de communication telles que le Wi-Fi, le Bluetooth et le GPS, et constitue une infrastructure numérique complexe exposée à de nombreux vecteurs d'attaque. D'ici 2023, on estime que 76,3 millions de véhicules connectés circuleront sur les routes du monde entier, ce qui représente un ensemble de bases de défense qui garantissent une sécurité réelle.

MISRA est une organisation importante qui lutte activement contre les menaces pesant sur les systèmes embarqués et qui a élaboré des directives visant à faciliter la sécurité, la portabilité et la fiabilité des codes liés aux systèmes embarqués. Ces directives constituent un élément essentiel des normes que chaque entreprise doit s'efforcer de respecter dans le cadre de ses projets liés aux systèmes embarqués.

Cependant, pour créer et exécuter un code conforme à cette norme d'excellence, il est nécessaire de disposer d'ingénieurs en systèmes embarqués qui maîtrisent les outils, sans oublier les outils de sécurité.

Pourquoi l'amélioration de la sécurité des systèmes embarqués est-elle si spécifique ?

Les langages de programmation C et C++ sont considérés comme anciens selon les normes actuelles, mais ils sont toujours largement utilisés. Ils constituent le cœur fonctionnel de la base de code des systèmes embarqués, et le C/C++ embarqué connaît une nouvelle vie dans le monde des appareils connectés.

Bien que ces langages aient des origines assez anciennes et présentent un comportement similaire en matière de sécurité par rapport à des problèmes courants tels que les erreurs d'injection et les dépassements de tampon, les développeurs doivent acquérir une expérience pratique du code qui imite les environnements dans lesquels ils travaillent afin de corriger efficacement les failles de sécurité dans les systèmes embarqués. Une formation générique en C sur les pratiques générales de sécurité ne sera tout simplement pas aussi efficace et mémorable que si l'on consacrait davantage de temps et d'attention au travail dans un contexte C embarqué.

Avec une douzaine, voire plus d'une centaine de systèmes embarqués dans un véhicule moderne, il est essentiel que les développeurs soient formés directement dans l'IDE sur les points auxquels ils doivent prêter attention et sur la manière de résoudre les problèmes.

La protection des systèmes intégrés au rez-de-chaussée relève de la responsabilité de tous.

Dans de nombreuses organisations, la priorité est donnée à la rapidité de développement plutôt qu'à la sécurité, du moins en ce qui concerne la responsabilité des développeurs. Ceux-ci sont rarement évalués sur leur capacité à créer un code sécurisé, mais le développement rapide de fonctionnalités exceptionnelles est considéré comme la norme. La demande en logiciels ne fera qu'augmenter, mais cette culture nous a préparés à un combat difficile contre les failles de sécurité et les cyberattaques qui en découlent.

Si les développeurs ne sont pas formés, ce n'est pas de leur faute, et c'est une lacune que quelqu'un de l'équipe AppSec doit combler en recommandant à l'ensemble de la communauté des développeurs des programmes de formation continue adaptés, accessibles (sans oublier évaluables). Dès le début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et chacun, en particulier les développeurs, doit savoir ce dont il a besoin pour apporter sa contribution.

Gestion pratique des problèmes de sécurité des systèmes embarqués

Les dépassements de tampon, les erreurs d'injection et les erreurs dans la logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Lorsqu'ils sont profondément enfouis dans un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut constituer un problème de sécurité.

Les débordements de tampon sont particulièrement fréquents. Si vous souhaitez en savoir plus sur la manière dont ils ont contribué à compromettre la friteuse à air chaud dont nous avons parlé précédemment (permettant l'exécution de code à distance), veuillez consulter ce rapport sur CVE-2020-28592.

Il est maintenant temps de mettre en pratique une vulnérabilité de type débordement de tampon dans du code C/C++ embarqué réel. Relevez ce défi pour voir si vous pouvez localiser, identifier et corriger les mauvaises pratiques de codage qui ont conduit à cette erreur insidieuse :

Wie hast du dich geschlagen? Besuchen www.securecodewarrior.com für präzise und effektive Schulungen zur Sicherheit eingebetteter Systeme.

Cet article a été initialement publié le DevOps.com. Il a été mis à jour et modifié.

Tout comme « blockchain », « big data » et « disruption numérique », le terme « DevOps » est un autre mot à la mode qui circule actuellement dans les services informatiques des grandes entreprises.

Beaucoup ont reconnu (à juste titre) la nécessité de cycles de développement logiciel plus rapides, d'un processus plus précis, étroitement aligné sur les objectifs commerciaux et permettant un flux de travail et une collaboration plus clairs entre les équipes de développement et d'exploitation. Le DevOps est essentiellement un développement « agile » qui a atteint sa maturité et est prêt à répondre aux exigences en constante évolution et en rapide développement de l'entreprise moderne. Pour les experts en sécurité, il s'agit d'une initiative remarquable : nous pouvons intégrer la sécurité beaucoup plus tôt dans le processus, ce qui réduit les coûts liés à la correction des erreurs et évite des catastrophes potentielles à l'avenir.

Le problème est que seules quelques entreprises réussissent véritablement leur mise en œuvre DevOps. Sans un soutien, un suivi et une compréhension adéquats à l'échelle de l'entreprise, cela peut rapidement devenir un gouffre financier... Vous savez, l'un de ces projets dont on ne parle pas.

Alors, quel est le problème ? Il s'agit d'une discussion intéressante, et il existe plusieurs façons d'aborder le DevOps qui, selon moi, permettront un déroulement beaucoup plus fluide. Un programme efficace va au-delà de quelques nouveaux outils sophistiqués, de titres et de réunions d'équipe. Cela ne sera pas toujours facile, mais prendre le temps de corriger une stratégie défaillante (ou de la mettre en œuvre correctement dès le départ) sera beaucoup moins pénible à long terme. En fin de compte, cela permettra d'obtenir des logiciels de meilleure qualité et plus sûrs.

Permettez-nous de vous expliquer cela en détail :

Veuillez détacher les cordons du tablier « Agile ».

Il existe une certaine idée fausse selon laquelle une entreprise doit choisir entre Agile et DevOps et s'engager dans l'une ou l'autre voie sans jamais revenir en arrière.

Le fait est que le processus de développement fonctionne mieux lorsque les deux sont considérés et mis en œuvre comme un tout. DevOps n' est pas une réinvention du développement agile, mais plutôt une extension de celui-ci. Les rouages ont tendance à se gripper lorsque l'on s'attend à ce que le processus soit exactement comme Agile ou complètement différent d'Agile.

Agile soutient le principe des équipes interfonctionnelles, rassemble dès le début les concepteurs, les testeurs et les développeurs, et s'engage à maintenir des voies de communication ouvertes tout au long du projet. L'objectif est de mettre fin à la fourniture isolée et de réduire les doublons. Ces deux aspects constituent également des avantages du processus DevOps. Cependant, DevOps va encore plus loin et intègre les systèmes, la sécurité et les opérations afin d'offrir un savoir-faire solide et cohérent, dont l'objectif ultime est de fournir au client un logiciel complet et fonctionnel.

Au cours des défis inévitables liés à la transition vers un processus davantage axé sur DevOps, le risque d'un développement isolé peut réapparaître. Souvent, l'équipe Agile initiale peut collaborer, tandis que les extensions de sécurité et d'exploitation continuent de trouver leur place dans le système. Personne n'est tout à fait certain de la manière de les intégrer, de ce qu'elles devraient accomplir et des objectifs généraux qu'elles poursuivent.

DevOps ne peut fonctionner sans objectifs clairement définis, une intégration interfonctionnelle et une communication directe avec toutes les parties prenantes. Il y aura bien sûr une phase d'adaptation qui nécessitera une gestion minutieuse du changement, mais mettre tout le monde au même niveau grâce aux améliorations apportées par la fonctionnalité DevOps représente déjà la moitié du chemin.

De plus en plus (heureusement), DevOps accorde également de l'importance aux procédures de sécurité éprouvées dans le cadre du processus, démystifie cette étape et comble le fossé entre l'équipe de sécurité et toutes les autres. Comme je l'ai déjà mentionné, il nous reste encore un long chemin à parcourir pour permettre aux développeurs de programmer de manière sécurisée dès le début, mais la mise en œuvre réussie des méthodes DevOps constitue une excellente base sur laquelle les compétences en matière de sécurité peuvent être développées au sein de l'équipe de développement.

L'automatisation n'est pas la solution à tout (et elle n'est pas la plus sûre).

Une autre caractéristique de la méthodologie DevOps est, dans une certaine mesure, l'automatisation du processus de développement logiciel. Les principes d'intégration continue et de déploiement continu (CI/CD) sont les piliers de ce concept et, comme vous pouvez probablement l'imaginer, ils dépendent fortement des outils.

Les outils sont remarquables, c'est indéniable. Ils peuvent accélérer le processus de déploiement logiciel de manière sans précédent et faciliter la gestion du référentiel de code ainsi que des éléments de test, de maintenance et de stockage.

Les robots pourraient certes nous priver de tous nos emplois et nous emprisonner un jour, mais ils n'en sont certainement pas encore là. La forte dépendance aux outils et à l'automatisation laisse une grande marge d'erreur. Les analyses et les tests peuvent ne pas tout détecter, le code peut rester non vérifié, ce qui entraîne par la suite d'énormes problèmes de qualité (sans parler des problèmes de sécurité). Il suffit d'une seule porte dérobée à un pirate pour exploiter les données, et le fait de renoncer à la composante humaine dans le contrôle de la qualité et de la sécurité peut avoir des conséquences désastreuses.

Le juste milieu consiste à garantir un équilibre entre les personnes et les outils. Les outils doivent servir d'assistants à une équipe en qui vous avez confiance pour atteindre les objectifs du projet. Vous devez :

• Veuillez prévoir suffisamment de temps pour permettre aux collaborateurs de se familiariser avec la chaîne d'outils DevOps sélectionnée.
• Concentrez-vous sur une collaboration efficace (et sur la manière dont les outils peuvent y contribuer).
• Comblez toutes les lacunes du processus, qu'elles soient liées aux compétences, aux connaissances ou aux outils.

En résumé, il est préférable de ne pas se contenter de mettre à niveau et d'espérer que tout se passe bien.

DevOps n'est pas un simple mot à la mode, c'est une culture. Développez-vous la vôtre ?

La gestion du changement est, dans le meilleur des cas, difficile. La crainte de l'inconnu peut empêcher même les membres les plus brillants d'une équipe d'élargir leurs compétences et d'élargir leurs horizons.

Vous voyez, le simple fait de dire « Passons au DevOps » et d'amener l'équipe opérationnelle à déplacer ses bureaux ne suffira pas à mettre en œuvre comme par magie un processus efficace. Beaucoup seront déconcertés et les membres de longue date de l'équipe se sentiront contrariés. Il est essentiel de communiquer clairement les attentes, tout comme il est important de « suivre son propre chemin ». DevOps est autant un mouvement culturel qu'une méthodologie de développement, et une équipe doit adopter et mettre en pratique une approche collaborative et interfonctionnelle.

À quoi ressemble une excellente culture DevOps ?

• Les individus sont encouragés à apporter leur expertise dans un processus, et pas seulement les cadres supérieurs.
• Communication ouverte, honnête et respectueuse entre les équipes
• Chaque personne assume la responsabilité de l'objectif global de qualité et de sécurité des bâtiments dans le processus de développement.
• Tous sont d'accord sur la définition de DevOps dans l'entreprise, la feuille de route et le comment/quoi/pourquoi du rôle de chaque personne.

Depuis de nombreuses années, j'insiste sur l'importance de développer une culture de sécurité positive au sein des équipes de développement, et DevOps ne fait pas exception.

Les outils adéquats, les connaissances appropriées et le soutien nécessaire sont indispensables pour mettre en œuvre des procédures de sécurité éprouvées, observer une diminution des failles de sécurité détectées et sensibiliser l'équipe à l'importance de la protection de nos données. Avec DevOps, vous devez créer les bases culturelles nécessaires à un changement positif : assurez-vous que chacun comprenne son rôle, sa valeur et ses attentes, ainsi que les objectifs généraux du projet et les différentes étapes du processus.

Avez-vous maîtrisé cela ? Excellent. Passons maintenant à autre chose, examinons de plus près l'aspect sécurité et faisons de DevSecOps le plan ultime pour l'excellence logicielle.

Ennuyeux, ennuyeux, ennuyeux ! C'est l'une des principales réponses que vous obtiendrez de la part des développeurs lorsque vous évoquerez la formation au code sécurisé. Chez Secure Code Warrior , nous Secure Code Warrior qu'il existe une meilleure approche. C'est pourquoi nous avons collaboré avec Evans Data Corp. afin d'étudier l'attitude des développeurs vis-à-vis de la programmation sécurisée, des pratiques de code sécurisé et des procédures de sécurité (téléchargez votre exemplaire du livre blanc). ici).

Dans l'article à paraître prochainement intitulé « Transition de la réaction à la prévention : l'évolution de la sécurité des applications », les développeurs ont été interrogés sur leurs principaux défis dans le cadre de la formation actuelle sur le code sécurisé, et leurs réponses ont été très instructives.

Formation qui freine les développeurs

40 % des développeurs interrogés estimaient que la programmation sécurisée était enseignée dans un contexte théorique. 40 % supplémentaires considéraient que la formation était trop théorique, sans rapport avec leur travail et insuffisamment axée sur la pratique. 30 % ont indiqué un manque de formations dans le langage et le cadre dans lesquels ils travaillent quotidiennement. C'est grave, car cela nous montre que les formations actuelles sur le code de sécurité ne sont pas pertinentes dans leur contexte et n'ont aucun rapport significatif avec ce que font les développeurs au quotidien.

Pour de nombreux développeurs, le plus grand défi consiste à rester vigilant lors d'activités stressantes qui ne sont ni efficaces ni inspirantes, tout en accordant la priorité à la sécurité.

La formation en milieu isolé empêche les développeurs d'établir des liens cognitifs entre le laboratoire et le monde réel.

Trois éléments que les développeurs attendent d'une formation sur la sécurité du code :

1. La grande majorité des développeurs expriment le souhait de bénéficier de formations plus axées sur la pratique et plus pertinentes pour leur travail quotidien.
2. 65 % des développeurs indiquent qu'il est nécessaire d'augmenter les formations sur les vulnérabilités spécifiques aux langages et le Top 10 de l'OWASP.
3. 75 % des développeurs interrogés préfèrent une formation structurée sur le lieu de travail.

Formations qui favorisent le développement des développeurs

En matière de formation sur le lieu de travail, les développeurs apportent un certain niveau d'expérience et de connaissances. Cela souligne la nécessité d'un apprentissage « structuré ». Il s'agit de formations structurées, ou « échafaudées », qui s'appuient sur les connaissances déjà acquises par le développeur. La formation structurée active et améliore toutes les expériences antérieures, tout en développant continuellement de nouvelles compétences par petites étapes. Cela en fait un outil idéal pour l'apprentissage sur le lieu de travail.

Transmettre des compétences durables

En matière de formation à la sécurité pour les développeurs, nous savons que ces derniers préfèrent la méthode d'apprentissage par la pratique à l'apprentissage statique basé sur la théorie. Dans cette optique, il est essentiel d'apprendre à programmer de manière sécurisée dans un environnement hyper-pertinent et contextuel. En tant que champion du changement dans le domaine du codage sécurisé, Secure Code Warrior propose des formations pratiques et Secure Code Warrior dans les langages de programmation et les frameworks pertinents, en reproduisant les défis auxquels les développeurs sont confrontés dans le monde réel. Le contenu pédagogique comprend plus de 5 500 défis et missions couvrant 147 types de vulnérabilités différentes, dont les plus importantes telles que l'OWASP Top 10, l'OWASP Mobile Top 10, l'OWASP API Security Top 10 et le CWE/SANS Top 25.

Si vous souhaitez découvrir les répercussions potentielles sur vos équipes et leur capacité à fournir plus rapidement un code sécurisé, veuillez réserver une démonstration dès maintenant. dès maintenant.

Partout dans le monde, les entreprises évoluent. Étant donné l'importance accordée au commerce numérique, on peut affirmer à juste titre que la plupart des entreprises sont en réalité des éditeurs de logiciels. Les grandes entreprises disposent d'équipes de développement importantes, chargées de développer et de fournir en permanence des fonctionnalités dans un environnement DevOps agile. Cette mise à disposition de fonctionnalités doit suivre le rythme de l'innovation et les attentes des clients, ce qui explique pourquoi la sécurité est trop souvent considérée comme un obstacle plutôt que comme une nécessité. Cependant, notre dépendance vis-à-vis des logiciels étant à son plus haut niveau (et, par conséquent, notre exposition aux violations et aux risques potentiels en matière de cybersécurité), ce scénario ne peut pas perdurer.

Les équipes de sécurité ne s'agrandissent pas, et même si elles le pouvaient, les compétences spécialisées sont rares. Un ratio de 1 pour 100, voire plus, n'est tout simplement pas suffisant ; les experts en sécurité internes ne peuvent être considérés comme la seule solution pour lutter contre le problème des cybermenaces.

Notre webinaire, présenté par Stephen Allor, directeur de Secure Code Warrior Amérique), et Russ Wolfe, doyen de la cybersécurité chez Capital One, examine en détail les défis actuels auxquels sont confrontés les DevOps et ce que font les institutions financières telles que Capital One pour impliquer et former leurs équipes de développement au codage sécurisé, promouvoir efficacement une culture de sécurité positive et réussir leur « transition vers la gauche ».

Vous découvrirez :

• Si vous êtes victime du « trou noir » de la connaissance en matière de sécurité
• Pourquoi la sécurité était plus solide il y a plusieurs décennies qu'aujourd'hui
• L'approche traditionnelle de la sécurité des applications comme simple case à cocher en matière de conformité et pourquoi cela est, au mieux, superficiel
• La raison pour laquelle les évaluations de qualité des applications doivent inclure la sécurité dans leurs critères de référence ; une application non sécurisée ne peut être considérée comme de haute qualité, indépendamment de sa conception ou de ses fonctionnalités.
• Pourquoi le secteur de la sécurité logicielle n'a pas intégré cette notion dans la mentalité et la culture d'un développeur moyen (et pourquoi cela doit changer)
• Comment l'absence de compétences communes en matière de codage sécurisé conduit à la réapparition constante des mêmes failles de sécurité
• Pourquoi les outils de scan des applications ne détectent pas toutes les failles de sécurité et pourquoi il est plus judicieux de les éviter en faisant appel à des techniciens/développeurs en sécurité suffisamment formés.
• Le problème des failles de sécurité croissantes dans les logiciels et leurs causes
• Pourquoi l'approche, et non l'étudiant, doit changer pour qu'une véritable réduction des risques puisse avoir lieu
• Pourquoi la plupart des formations en matière de sécurité ne tiennent pas compte des points forts des développeurs et du type de formation dont ils ont besoin pour se démarquer
• Les raisons pour lesquelles le développement logiciel, la conformité et les attentes en matière de construction sont à la traîne par rapport à d'autres domaines de la technologie, et comment nous jouons un rôle de pionnier dans la recherche de solutions.
• Comment Russ Wolfe et son équipe de Capital One ont développé un programme de certification autour de formations ludiques et divertissantes qui motivent les développeurs à apprendre avec du code source réel et à atteindre des normes en matière de bonnes pratiques de sécurité.
• Comment ce programme de certification encourage la participation, la conservation des informations et l'apprentissage continu
• Comment les incitations aident les développeurs à se former rapidement et conformément aux principales directives de sécurité
• Comment les évaluations contribuent à identifier les experts en sécurité et à promouvoir l'engagement en matière de formation.

Nous vous invitons à visionner notre webinaire à la demande pour découvrir les avantages d'une approche proactive et fournir aux développeurs les outils et les connaissances nécessaires pour coder de manière sécurisée dès le début, en mettant l'accent sur les pratiques de sécurité positives.

Découvrez comment des institutions financières telles que Capital One motivent et forment leurs équipes de développement à la programmation sécurisée, favorisent efficacement une culture de la sécurité positive et réussissent leur transition vers la gauche.

Die wachsende Zahl von Cybersicherheitsangriffen sowie deren zunehmende Raffinesse haben zu Veränderungen in allen Sektoren und Branchen auf der ganzen Welt geführt. Jeder versucht, „nach links zu wechseln“ und so früh wie möglich Sicherheit in all seine Prozesse und Verfahren zu integrieren. Die Situation hat sogar zu völlig neuen Bewegungen geführt, die darauf abzielen, die Cyberabwehr zu verbessern wie DevSecOps, bei dem Sicherheit in die eigentliche Struktur der Entwicklung neuer Software und Anwendungen integriert ist.

Viele dieser Veränderungen fallen der Entwickler-Community zu Füßen. Da sie es sind, die neue Software und Anwendungen entwickeln, schreiben und programmieren, scheint es eine gute Idee zu sein, sie zu bitten, sicherere Codierungspraktiken einzuführen. Schließlich können Sie nicht weiter nach links wechseln, als wenn neue Anwendungen zum ersten Mal erstellt werden.

Aber wie steht die Entwickler-Community zu dieser Verantwortung? Was denken Entwickler heute über ihre neue Rolle als Sicherheitsexperten, nachdem sie traditionell fast ausschließlich danach bewertet wurden, wie schnell sie programmieren konnten? Und haben sie das Gefühl, dass das Management ihrer Unternehmen diese Bemühungen mit qualitativ hochwertigen Schulungen, besseren Belohnungen und der Anerkennung unterstützt, die sie für die Übernahme dieser wichtigen neuen Verantwortung verdienen?

Im zweiten Jahr haben wir in Zusammenarbeit mit Evans Data Corp. eine umfassende Umfrage unter der globalen Entwickler-Community durchgeführt, die sich mit den Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren wahrgenommenen Auswirkungen und Relevanz im Softwareentwicklungszyklus (SDLC) befasst. Die Ergebnisse waren in vielerlei Hinsicht ziemlich überraschend.

Umfrage zum Stand der entwicklerorientierten Sicherheit 2022

Die Secure Code Warrior State of Developer-Driven Security Survey wurde im Dezember 2021 von Evans Data Corp durchgeführt. 1.200 aktiven Softwareentwicklern, die im asiatisch-pazifischen Raum, in Europa und Nordamerika arbeiten, wurden Fragen zu Softwarecodierung, Sicherheitsbewusstsein, Schulung, Support, Motivation und anderen Themen gestellt. Die Umfrage wurde auf Englisch durchgeführt und bei Bedarf übersetzt, um eine genaue globale Perspektive zu erhalten. Zu den Umfrageteilnehmern gehörten sowohl Entwickler, die neue Anwendungen entwickeln, als auch Manager aus der Entwickler-Community.

Einige überraschende Ergebnisse

Ein detailliertes Whitepaper (Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit) und ein Bericht (The State of Developer-Driven Security, 2022), die sich mit allen Aspekten der Umfrage befassen, werden am Montag, den 11. April veröffentlicht. Das Whitepaper enthält unsere Analyse der Ergebnisse und Bedenken der Community in Bezug auf sichere Codierungspraktiken sowie Empfehlungen für Unternehmen, Entwicklerteams bei der Verbesserung der Softwaresicherheit zu unterstützen.

Einige dieser Herausforderungen werden wahrscheinlich Fragen für jeden aufwerfen, der mit Entwicklern in ihren Organisationen arbeitet, sowie für diejenigen, die selbst in der Entwickler-Community tätig sind — das haben sie sicherlich für uns getan.

Beispielsweise gaben nur 14% der Befragten die Anwendungssicherheit heute als oberste Priorität an. Stattdessen konzentrierten sie sich weiterhin auf traditionellere Kennzahlen wie die Anwendungsleistung und die Priorisierung von Funktionen und Funktionen.

Sicherheit hatte eine so niedrige Priorität, dass 67% der befragten Entwickler zugaben, routinemäßig bekannte Sicherheitslücken und Exploits in ihrem Code zu hinterlassen. Das taten sie entweder aufgrund knapper Fristen, bei denen Funktionalität Vorrang vor Sicherheit hatte, oder weil sie einfach nicht über die erforderliche Schulung oder das erforderliche Wissen zur Behebung von Sicherheitsproblemen verfügten.

In vielen Fällen gaben Entwickler an, dass ihre Organisationen nicht definieren, was sicheren Code ausmacht, und dass sie keine angemessene Schulung oder Unterstützung anbieten, um diese Situation zu ändern.

Trotz einiger negativer Ergebnisse war jedoch auch klar, dass sich die Einstellungen ändern. Eine große Mehrheit der Entwickler (66%) ging davon aus, dass Sicherheit in den nächsten 12 bis 18 Monaten zu einer höheren Priorität werden würde, während 82% der Personalmanager, die an der Umfrage teilnahmen, Interesse daran bekundeten, Entwickler einzustellen, die sich mit Sicherheit auskennen, und nicht.

Aus den Umfrageergebnissen geht zwar hervor, dass die Entwickler-Community und die Organisationen, mit denen sie zusammenarbeiten, vor enormen Veränderungen stehen, aber glücklicherweise nehmen auch die Pläne für die nahe und langfristige Zukunft schnell Gestalt an.

Seien Sie gespannt auf das Whitepaper und den Bericht mit den vollständigen Umfrageergebnissen sowie Expertenkommentaren zu den Herausforderungen im Zusammenhang mit aktuellen sicheren Codierungspraktiken und den Möglichkeiten, die Unternehmen nutzen können, um die Sicherheitsfähigkeiten von Entwicklern — und letztlich die Softwaresicherheit — zu verbessern.

Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.

‍

Au cours des dernières années, de nombreux éléments ont été sacrifiés au profit d'une mise sur le marché rapide, notamment la sécurité des réseaux, des téraoctets de données clients sensibles et la réputation inestimable des marques. La forte pression exercée pour accélérer la publication de nouvelles fonctionnalités a conduit à la création d'équipes complexes et dispersées qui se concentrent sur un développement rapide et ont peu de conscience des failles de sécurité qu'elles pourraient créer ou des risques considérables qu'elles encourent. Plus que jamais, une nouvelle façon de travailler s'impose. En 2020, Secure Code Warrior a Secure Code Warrior chargé Evans Data Corp. de mener des recherches primaires* sur l'attitude des développeurs et de leurs responsables à l'égard de la programmation sécurisée, des pratiques de codage sécurisées et des procédures de sécurité (téléchargez votre exemplaire du livre blanc ici). ici).

Indicateurs de performance pour la réussite d'un projet — où se situe la sécurité ?

Les développeurs et les responsables considèrent qu'un code sécurisé est important, mais pas autant que d'autres facteurs. Lorsque nous avons interrogé les développeurs et les responsables sur les priorités les plus importantes dans le processus de développement logiciel :

• 76 % de performance pour les applications désignées
• 62 % ont sélectionné les caractéristiques et les fonctionnalités.
• Et un peu plus de 50 % du code de sécurité sélectionné
  

Par rapport à d'autres indicateurs de performance pour la réussite d'un projet, le codage sécurisé occupe actuellement la troisième place.

À l'heure actuelle, et cela n'est peut-être pas surprenant, les développeurs évaluent le succès d'un projet à l'aide d'indicateurs de performance qui n'évaluent le code qu'une fois le projet terminé.

En réponse à la question de savoir comment cela pourrait évoluer à l'avenir, le tableau s'inverse. La manière dont les entreprises considèrent la sécurité comme un indicateur de performance évolue. La programmation sécurisée gagne en importance.

À la question concernant les priorités les plus importantes pour la mesure future de la réussite des projets, 79 % des personnes interrogées s'accordent à dire que la sécurité du codage gagnera en importance. Il est frappant de constater qu'un pourcentage plus élevé de personnes interrogées estime que l'importance de la sécurité augmentera davantage à l'avenir que celle de tout autre indicateur de performance. La sensibilisation au codage sécurisé s'accroît, tout comme la tendance à un « virage à gauche ». Il est dans la nature des choses que la pratique du codage sécurisé implique que la sécurité soit prise en compte beaucoup plus tôt dans le cycle de vie du développement logiciel (SDLC). Cela signifie intégrer activement la sécurité dès le début, lors de l'écriture du logiciel, plutôt que de la laisser pour plus tard.

Les directeurs informatiques s'efforçant de rendre leurs entreprises plus agiles, les fonctions de codage sécurisées deviendront un outil d'innovation essentiel. Les directeurs informatiques et les responsables de la sécurité des systèmes d'information devraient réfléchir attentivement à la question de savoir si leurs équipes de développement constituent la première ligne de risque ou la première ligne de défense.

Cette prise de conscience a des implications importantes sur la manière dont les entreprises forment leurs développeurs. Les équipes doivent se familiariser avec les vulnérabilités récemment identifiées et apprendre dans leurs propres langages/cadres. En résumé, elles doivent comprendre comment localiser, identifier et corriger les vulnérabilités connues dans le code dans le contexte dans lequel elles travaillent quotidiennement.

En tant que champion du changement dans le domaine du codage sécurisé, Secure Code Warrior adopte Secure Code Warrior approche humaine qui implique activement les développeurs dans l'apprentissage et le développement de leurs compétences en matière de codage sécurisé. Si vous souhaitez découvrir l'impact potentiel sur la capacité de vos équipes à commencer par la gauche et à livrer plus rapidement un code sécurisé sans compromettre la sécurité, veuillez réserver une démonstration dès maintenant.

‍

Passage de la réaction à la prévention : l'évolution de la sécurité des applications. Secure Code Warrior Evans Data Corp. 2020