Aperçu des codes sécurisés

Chez Secure Code Warrior , nous Secure Code Warrior constamment d'innover afin d'améliorer l'expérience client et d'apporter une valeur ajoutée grâce à notre plateforme.

Ce mois-ci, nous avons mis à jour l'expérience administrateur dans Courses, avec un temps de maintenance réduit pour les nouvelles fonctionnalités, et publié pour SAP : contenu ABAP.

Grâce à un affichage sous forme de tableau performant offrant la possibilité d'effectuer des actions groupées pour les langues et les catégories de vulnérabilités, les administrateurs peuvent désormais gérer plus facilement les cours et offrir ainsi une meilleure expérience à l'utilisateur final. À ce propos, vous pouvez désormais accéder à un simple bouton marche/arrêt pour les nouvelles fonctions.

Veuillez nous rejoindre et en apprendre davantage.

Grâce à notre nouvelle expérience dans la création de courses pouvez facilement créer et gérer courses.

Il est désormais possible de créer très facilement courses plusieurs parcours d'apprentissage et plusieurs langues grâce à des actions groupées. Au lieu de consacrer du temps à répéter le processus, vous pouvez vous concentrer davantage sur le contenu et la stratégie, ce qui rend votre développement plus efficace.

Les mises à jour relatives au processus de commande du cours sont actuellement disponibles.

Économisez du temps grâce à la conception de courses une vue tabulaire puissante et une fonction de recherche.

Les informations relatives aux cours pour toutes les langues et toutes les catégories de vulnérabilités sont désormais disponibles dans une seule vue, ce qui vous permet de créer plus rapidement des cours pour différentes équipes de développement.

Grâce au nouvel affichage sous forme de tableau, vous pouvez facilement obtenir une vue d'ensemble du contenu ou examiner les détails de plus près. Les cours sont désormais plus faciles à parcourir, car ils sont regroupés par langue et par catégories de points faibles, et des détails supplémentaires, tels que les types d'activités, le niveau de difficulté et bien plus encore, sont disponibles pour chaque niveau de groupe.

Cela peut également être fait dans les détails, vous pouvez vous concentrer sur la fonction de recherche ou utiliser un filtre. De plus, les données du tableau peuvent être exportées vers une autre application ou analysées plus en détail en exportant toutes les lignes ou les lignes filtrées dans un fichier CSV.

‍

Réalisez davantage avec moins de clics grâce aux actions groupées

Vous pouvez effectuer plusieurs modifications au cours à partir d'un seul endroit, plutôt que d'appliquer les modifications dans toutes les langues. Les actions groupées permettent aux administrateurs de gagner du temps et de se concentrer sur l'essentiel : créer une expérience de cours adaptée aux développeurs.

Parmi les nouvelles actions de masse, on peut citer :

• Veuillez ajouter un cours sur les points forts, par exemple le Top 10 de l'OWASP ou des catégories de vulnérabilités spécifiques pour tous les langages.
• Ajoutez des langues à un cours et le contenu se met à jour rapidement.
• Module pour la copie, le blocage ou le déblocage de lignes sélectionnées ou de toutes les lignes
• Langues ou modules du cours
• Veuillez configurer un message de bienvenue et un message de clôture pour toutes les langues.

‍

Évaluation à la fin du cours

Il est désormais possible d'ajuster l'évaluation à la fin du cours pour n'importe quelle langue et de la gérer à partir d'une seule vue.

Vous pouvez facilement créer des parcours de test personnalisés en fonction de la langue et du type de cours afin de mesurer et d'évaluer les compétences acquises à la fin du cours.

Accédez en priorité aux nouvelles fonctionnalités.

‍

Si vous souhaitez être informé à l'avance des nouvelles fonctionnalités et les tester avant leur mise à disposition générale, veuillez contacter votre responsable de la réussite client et patienter jusqu'à ce que notre équipe active ces fonctionnalités pour vous.

Vous pouvez désormais contrôler quand et quelle fonction vous souhaitez activer pour votre équipe, en passant simplement à l'onglet Administration. Aucun délai d'attente supplémentaire n'est nécessaire.

Veuillez vous rendre sur Administration > Plus > Accès anticipé afin de reconsidérer la situation.

Cette fonction est utilisée pour davantage de fonctionnalités, en particulier celles qui impliquent des changements significatifs dans l'expérience utilisateur, car elle vous permet de mieux contrôler votre expérience.

Vous souhaitez connaître les fonctionnalités disponibles dans la version Early Access ? Vous pouvez consulter certaines des options actuelles sur :

Une page d'accueil améliorée pour une expérience uniforme

Informations actuelles sur les cours :

1. Mode d'état dans l'aperçu
2. Actions de masse pour le contenu des cours
3. Message de bienvenue international
4. Améliorations des activités à la fin du cours

Les administrateurs d'entreprise ont actuellement accès aux options d'accès anticipé.

Sécurisez vos applications ABAP grâce à de nouveaux contenus de formation publiés.

Les développeurs qui programment en ABAP peuvent désormais participer à une formation divertissante et pertinente sur la sécurité du codage. Cette nouvelle formation aidera les développeurs à améliorer leurs compétences en matière de programmation sécurisée et à réduire les failles de sécurité dans le code ABAP.

Les tâches et missions Secure Code Warrior missions exercices pratiques) peuvent offrir un programme comprenant les éléments suivants :

1. Formation à un rythme adapté, à laquelle les développeurs peuvent participer selon leurs besoins.
2. Parcours d'apprentissage ciblés, adaptés à la conformité, au cadre de sécurité ou aux compétences du développeur.
3. Concours de programmation divertissants
4. Évaluations sécurisées des compétences en codage

Veuillez consulter ici pour en savoir plus sur le contenu de nos formations ABAP.

------

Vous souhaitez Secure Code Warrior , mais vous n'avez pas encore de compte ? Veuillez vous inscrire dès aujourd'hui pour obtenir un compte d'essai gratuit et commencer à l'utiliser.

Voici la dernière des nouvelles fonctionnalités de ce mois-ci. Nous vous invitons à suivre Secure Code Warrior Twitter pour rester informé des dernières versions et améliorations.

Lorsque les failles de sécurité des logiciels sont considérées comme secondaires ou comme un obstacle à l'innovation, les entreprises s'exposent à des violations de la protection des données, à une atteinte à leur réputation et à des responsabilités juridiques coûteuses. Les cyberattaques exploitent souvent des vulnérabilités dans le code qui auraient pu être évitées grâce à des pratiques de développement plus rigoureuses.

Le codage sécurisé répond à ces défis en intégrant des principes de sécurité à chaque étape du développement. Au lieu de mettre en œuvre des correctifs après la découverte de failles de sécurité, les développeurs écrivent du code avec une protection intégrée contre les menaces courantes telles que les attaques par injection et le cross-site scripting (XSS). Examinons de plus près comment le codage sécurisé peut aider votre entreprise à réduire les risques, à préserver la confiance des utilisateurs et à se conformer aux exigences réglementaires, tout en fournissant des logiciels fiables et de haute qualité.

Qu'est-ce qu'un codage sécurisé ?

Le codage sécurisé est le principe selon lequel les meilleures pratiques de sécurité sont suivies lors de l'écriture de logiciels afin de corriger les failles de sécurité potentielles. Au lieu de traiter la sécurité comme une phase de développement distincte, le codage sécurisé intègre des mesures de protection éprouvées dès le début. Cela garantit que les développeurs assument la responsabilité de la sécurité du code et disposent des compétences nécessaires pour l'appliquer efficacement.

Les normes reconnues en matière de codage sécurisé, développées par des organisations telles que l'Open Worldwide Application Security Project (OWASP) ou le département CERT du Software Engineering Institute, peuvent servir de référence aux développeurs qui souhaitent éviter les pièges courants exploités par les attaquants. Dans le paysage actuel de la cybersécurité, il est essentiel de s'appuyer en permanence sur des compétences pratiques de base en matière de codage sécurisé afin de mettre en œuvre ces stratégies en toute sécurité dans les flux de travail existants. Par exemple, la validation d'autant d'entrées utilisateur que possible permet de prévenir les attaques par injection SQL, tandis que le codage des sorties aide à bloquer les XSS. Ces méthodes de codage sécurisé, parmi d'autres, réduisent le risque de failles de sécurité et permettent d'obtenir des applications plus résistantes, capables de faire face aux cybermenaces en constante évolution.

Pourquoi le codage sécurisé est-il si important ?

Un codage sécurisé est essentiel car de nombreuses cyberattaques réussies exploitent des failles de sécurité qui auraient pu être évitées lors du développement. En accordant la priorité aux pratiques sécurisées dès le début, vous réduisez le risque d'introduire des failles de sécurité que les attaquants pourraient exploiter pour compromettre les données ou perturber les opérations. L'intégration de la sécurité à chaque étape du cycle de développement logiciel (SDLC) garantit que chaque fonctionnalité, mise à jour et intégration a été conçue dans un souci de protection.

La gestion proactive des risques pendant le développement est beaucoup plus rentable que leur résolution après le déploiement, qui peut nécessiter des correctifs d'urgence, des temps d'arrêt et des ressources pour répondre aux incidents. Cela améliore également la conformité aux réglementations en matière de protection des données et évite les amendes potentielles et les contestations judiciaires. Les pratiques de codage sécurisées renforcent également la confiance des consommateurs dans votre entreprise et font de la sécurité un élément essentiel de la réputation de votre marque.

Failles de sécurité fréquentes dans le code

Le codage sécurisé vise à prévenir les failles de sécurité les plus courantes et les plus dangereuses exploitées par les attaquants, ainsi que les nouveaux vecteurs de menaces, tels que ceux qui apparaissent lors de l'utilisation d'outils de codage basés sur l'intelligence artificielle. Vous trouverez ici un aperçu de certaines failles de sécurité courantes, des dommages qu'elles peuvent causer et de la manière dont un codage sécurisé peut contribuer à les réduire.

Erreur lors de la désérialisation

Des erreurs de désérialisation peuvent survenir lorsqu'une application accepte et traite des données provenant de sources externes sans les valider correctement. La sérialisation convertit les objets dans un format pouvant être stocké ou transféré, tandis que la désérialisation reconstruit ces objets pour qu'ils puissent être utilisés. Une erreur de désérialisation peut avoir des conséquences graves et entraîner l'exécution de code arbitraire ou l'escalade des privilèges. Le codage sécurisé résout ce problème en garantissant que seules les données fiables et validées sont désérialisées et en évitant autant que possible la désérialisation native des entrées non fiables.

Attaques par injection

Les attaques par injection se produisent lorsqu'un attaquant fournit des entrées qui sont interprétées par l'application comme faisant partie d'une commande ou d'une requête. Le type le plus connu est l'injection SQL, dans laquelle des instructions SQL malveillantes sont insérées dans des requêtes afin d'accéder au contenu d'une base de données ou de le modifier. D'autres types d'attaques sont les injections de commande, dans lesquelles les attaquants exécutent des commandes arbitraires, et les injections LDAP (Lightweight Directory Access Protocol). Les conséquences des attaques par injection sont considérables et vont de l'accès non autorisé aux données et de leur suppression à la compromission totale du système. Les bases de données contenant des informations sensibles à caractère personnel, financier ou commercial sont les principales cibles. Un codage sécurisé permet d'éviter les failles de sécurité dues à l'injection en utilisant des requêtes paramétrées ou des instructions préparées, en masquant les données non fiables avant leur traitement et en imposant une validation stricte des entrées. Ces méthodes de codage sécurisé, parmi d'autres, peuvent empêcher les attaquants de modifier le comportement prévu de l'application.

Scripting intersite (XSS)

Le script intersite (XSS) est une forme d'attaque par injection qui cible les applications Web en insérant des scripts malveillants dans des pages consultées par d'autres utilisateurs. Cela se produit généralement lorsqu'une application inclut des entrées utilisateur non validées dans sa sortie. Lorsque le navigateur d'un autre utilisateur affiche la page, le script malveillant s'exécute et peut voler des cookies, enregistrer les frappes au clavier ou rediriger l'utilisateur vers des sites Web malveillants.

Les conséquences d'une attaque XSS peuvent inclure le détournement de session et l'usurpation d'identité. Pour les entreprises, cela peut nuire à la confiance des clients et entraîner des conséquences réglementaires si des données sensibles sont compromises. Le codage sécurisé traite le XSS en nettoyant et en codant toutes les entrées saisies par l'utilisateur avant leur affichage. Pour ce faire, il utilise des frameworks qui masquent automatiquement les sorties et met en œuvre une politique de sécurité du contenu (CSP) afin de limiter les scripts pouvant être exécutés.

Contrôle d'accès

Des failles de sécurité dans le contrôle d'accès surviennent lorsque les règles régissant ce que les utilisateurs peuvent voir ou faire ne sont pas correctement définies ou appliquées. Un contrôle d'accès défaillant permet aux attaquants de contourner les restrictions de rôle utilisateur prévues et de lire des données potentiellement confidentielles, de modifier des enregistrements ou d'effectuer des actions réservées aux utilisateurs privilégiés.

Les problèmes liés au contrôle d'accès représentent un défi majeur, et les outils de codage IA, en particulier, ont rencontré des difficultés pour contrer efficacement cette catégorie de vulnérabilités, soulignant la nécessité des compétences et de la sensibilisation des développeurs. Les conséquences d'un contrôle d'accès défaillant sont considérables. Par exemple, si un pirate informatique parvient à accéder à des fonctions réservées aux administrateurs, il pourrait désactiver les paramètres de sécurité, extraire des informations privées ou usurper l'identité d'autres utilisateurs.

Des pratiques de codage sécurisées permettent de contrer ces risques en imposant des contrôles d'autorisation côté serveur pour chaque requête, en suivant le principe du moindre privilège et en évitant de se fier exclusivement à des mesures de sécurité floues (telles que le masquage des liens). De plus, la mise en œuvre de tests de contrôle d'accès rigoureux contribue à garantir l'efficacité à long terme de ces mesures de protection.

Falsification des requêtes inter-pages (CSRF)

Les attaques CSRF (Cross-Site Request Forgery) incitent un utilisateur à effectuer une action non désirée sur un autre site web sur lequel il est authentifié. Il peut s'agir d'un transfert de fonds, d'une modification d'adresse e-mail ou d'une modification des paramètres du compte. L'attaque fonctionne car le navigateur joint automatiquement des jetons d'authentification valides, tels que des cookies, à la requête falsifiée.

Le codage sécurisé protège contre les attaques CSRF en implémentant des jetons anti-CSRF uniques pour chaque session utilisateur et en les validant à chaque requête qui modifie le statut. Les mesures de protection supplémentaires comprennent l'exigence d'une nouvelle authentification pour les actions critiques et la configuration de l'attribut SameSite pour les cookies afin d'empêcher leur envoi lors de requêtes inter-sites. En intégrant ces mesures de protection dans le cycle de développement, vous pouvez augmenter la probabilité que votre système ne traite que des actions légitimes et intentionnelles.

Authentification non sécurisée

Une authentification non sécurisée se produit lorsque le processus de vérification de l'identité d'un utilisateur est faible, prévisible ou autrement défectueux. Cela peut être dû à de mauvaises politiques en matière de mots de passe, à un stockage non sécurisé des informations de connexion ou à l'absence d'authentification multifactorielle (MFA). Les attaquants peuvent exploiter ces vulnérabilités à l'aide de diverses méthodes, notamment les attaques par force brute, le credential stuffing ou l'interception de données de connexion non cryptées pendant leur transfert. Une authentification non sécurisée a des conséquences graves, car elle peut donner aux attaquants un accès direct aux comptes utilisateurs, aux contrôles administratifs et aux données confidentielles. Une fois qu'ils ont pénétré dans le système, ils peuvent continuer à le compromettre ou s'emparer d'informations précieuses.

Le codage sécurisé remédie à cette vulnérabilité en imposant des exigences strictes en matière de mot de passe, en hachant et en salant les informations d'identification stockées, en utilisant des protocoles sécurisés tels que HTTPS pour toutes les opérations d'authentification et en intégrant l'authentification multifactorielle (MFA) afin de fournir un niveau de vérification supplémentaire. Les développeurs doivent également concevoir des mécanismes de connexion afin de limiter les tentatives infructueuses et de détecter rapidement les activités suspectes, de sorte que les systèmes d'authentification constituent une ligne de défense solide et non une vulnérabilité.

6 pratiques de codage sécurisées à respecter

Créer des logiciels sécurisés ne se limite pas à connaître les menaces existantes. Cela nécessite d'apprendre et d'intégrer les meilleures pratiques et modèles de codage sécurisé. Les techniques suivantes proposent des mesures concrètes que les développeurs peuvent prendre pour faire de la sécurité une partie intégrante de chaque projet.

1. Veuillez mettre en œuvre le contrôle d'accès des utilisateurs.

Comme mentionné précédemment, le contrôle d'accès utilisateur implique la définition et l'application d'autorisations pour chaque rôle utilisateur dans votre système. Un contrôle d'accès rigoureux empêche les utilisateurs non autorisés de consulter des données confidentielles, de modifier des enregistrements ou d'effectuer des actions administratives. Il limite également les dommages en cas de compromission d'un compte utilisateur, car un attaquant ne dispose que des autorisations de ce compte.

Un contrôle efficace des accès utilisateurs nécessite une authentification robuste pour vérifier l'identité, suivie de contrôles d'autorisation afin de confirmer que l'utilisateur authentifié est autorisé à effectuer l'action demandée. Il est recommandé de réviser régulièrement vos procédures de contrôle d'accès afin de les aligner sur le principe du moindre privilège et d'accorder aux utilisateurs l'accès minimum nécessaire à leur travail. Le contrôle d'accès repose également sur une surveillance régulière afin de maintenir à jour les politiques et les utilisateurs du système, ainsi que sur des audits qui détectent rapidement toute activité inhabituelle.

2. Vérifier et nettoyer les données

Lors de la validation et du nettoyage des données, toutes les entrées entrantes sont vérifiées avant leur traitement afin de s'assurer qu'elles correspondent aux formats, types et modèles attendus. Les données sont ensuite nettoyées afin de supprimer tout contenu potentiellement dangereux. Ces procédures doivent s'appliquer aux données entrantes provenant de toute source externe, car même les sources fiables peuvent être compromises. Par conséquent, toute entrée doit être considérée comme non fiable jusqu'à ce qu'elle ait été vérifiée. En intégrant la validation et la désinfection dans le processus de développement, vous garantissez que votre application est protégée contre les menaces courantes telles que les attaques par injection.

3. Veuillez rédiger dans un langage contemporain.

La programmation sécurisée ne se limite pas à la manière dont vous écrivez le code. Il s'agit également de choisir des outils et des environnements qui facilitent la prévention des failles de sécurité dès le départ. Bien que la transition complète vers un langage moderne ne soit souvent pas une option réaliste ou efficace pour de nombreuses entreprises, la sécurité des logiciels peut être améliorée, au moins en partie, par l'utilisation d'un langage de programmation moderne et de la dernière version de tous les langages sélectionnés. Les langages et les frameworks modernes offrent généralement une meilleure sécurité de la mémoire, un contrôle de type plus strict et une protection intégrée contre les failles de sécurité courantes. Des langages tels que Rust et Go, par exemple, ont été développés en tenant compte de la sécurité et contribuent à prévenir des problèmes tels que les dépassements de tampon, auxquels les langages plus anciens pourraient être plus vulnérables.

Les langages établis tels que Java ou Python peuvent être difficiles à moderniser et à sécuriser, mais en restant à jour avec les dernières versions, vous bénéficiez des dernières fonctionnalités de sécurité et des améliorations de performances. De nombreuses mises à jour corrigent les vulnérabilités connues, suppriment les fonctionnalités non sécurisées et offrent des paramètres par défaut plus sûrs.

4. Veuillez vous entraîner à dissimuler le code.

Le brouillage de code rend plus difficile pour les attaquants de comprendre, de rétroconcevoir ou de manipuler votre code source ou votre code compilé. Bien qu'il ne remplace pas les autres mesures de sécurité, il offre une couche de protection supplémentaire en dissimulant la logique et les routines sensibles de l'application aux regards indiscrets. Le brouillage peut inclure des techniques telles que le renommage des variables et des fonctions en identifiants dénués de sens ou la restructuration du code de manière à le rendre plus difficile à suivre.

L'objectif est d'augmenter les coûts et les efforts nécessaires à un attaquant pour trouver et exploiter des failles de sécurité. Dans le cadre d'un codage sécurisé, l'obfuscation s'associe à d'autres pratiques de sécurité robustes afin de rendre votre application moins attrayante pour les attaquants.

5. Veuillez scanner et surveiller votre code.

Les pratiques de codage sécurisées comprennent également l'analyse et la surveillance actives de votre code. Les outils de test statique de sécurité des applications (SAST) analysent votre code source avant son déploiement à la recherche de vulnérabilités connues, tandis que les outils de test dynamique de sécurité des applications (DAST) testent les applications en cours d'exécution en temps réel à la recherche de vulnérabilités exploitables. En combinant ces deux approches, vous pouvez détecter les problèmes de manière précoce et continue.

Outre l'analyse pendant le développement, il est essentiel de mettre en place une surveillance continue pendant la production. Cela comprend la configuration d'alertes en cas d'activités inhabituelles, la journalisation des événements de sécurité et l'utilisation d'outils RASP (Runtime Application Self Protection) pour détecter et contrer les attaques en temps réel. Des analyses et une surveillance régulières vous permettent de garder une vue d'ensemble et de corriger rapidement les failles de sécurité qui apparaissent pendant le développement, avant qu'elles ne causent des dommages importants.

6. Veuillez documenter et mettre en œuvre des normes de codage sécurisées.

La documentation des normes de codage sécurisées consiste à établir des directives claires qui définissent la manière dont votre équipe rédige un code sécurisé, facile à maintenir et compatible. Ces normes doivent couvrir des sujets tels que la validation des entrées, la gestion des erreurs, les pratiques de cryptage et la gestion des sessions, ainsi que la correction des failles de sécurité courantes spécifiques à votre pile technologique.

La mise en place de ces normes garantit que tous les développeurs, des ingénieurs débutants aux architectes expérimentés, respectent les mêmes principes de sécurité. Associées à des formations et à des mises à jour régulières, ces normes constituent une ressource dynamique qui garantit que votre processus de développement répond aux dernières exigences en matière de sécurité.

Normes et cadres de codage sécurisés

Si vous avez besoin d'aide pour créer vos propres normes de codage, les directives populaires suivantes peuvent vous être utiles. Elles couvrent un ensemble de pratiques permettant de corriger les failles de sécurité courantes et peuvent vous aider à clarifier la manière dont vous pouvez aligner vos efforts de codage sur les meilleures pratiques du secteur.

Pratiques de codage sécurisées OWASP

OWASP est l'une des sources les plus connues pour les développeurs qui souhaitent intégrer la sécurité dans leur code du début à la fin. Elle produit des ressources importantes en matière de codage sécurisé, telles que le guide du développeur OWASP et le Top 10 OWASP. L'approche d'OWASP est extrêmement pratique et propose des listes de contrôle et des conseils de programmation que les développeurs peuvent appliquer pendant le développement.

Le respect des directives OWASP profite aux équipes, car elles créent une base commune pour un codage sécurisé dans tous les projets. L'OWASP étant régulièrement mis à jour pour tenir compte des nouveaux vecteurs de menaces et des nouvelles techniques d'attaque, les entreprises peuvent l'utiliser pour garder une longueur d'avance sur les nouveaux risques. En intégrant les principes de l'OWASP dans votre flux de travail, vous améliorez la qualité du code, réduisez les failles de sécurité et vous conformez aux directives généralement reconnues dans le secteur.

Cadre du NIST pour le développement sécurisé de logiciels

Le National Institute of Standards and Technology (NIST) publie également des directives complètes sur le codage sécurisé et des cadres de cybersécurité plus complets. Outre la fourniture d'informations sur les pratiques de développement logiciel hautement sécurisées, le cadre SSDF (Secure Software Development Framework) du NIST propose un vocabulaire commun qui améliore la communication sur des sujets importants entre les équipes de votre entreprise. Il se concentre davantage sur les résultats que sur des techniques spécifiques et convient donc mieux comme complément à d'autres normes telles que l'OWASP ou les normes de codage SEI CERT.

Normes de codage SEI CERT

Développées par le département CERT du Software Engineering Institute (SEI), les normes de codage SEI CERT se concentrent sur la prévention des failles de sécurité dans certains langages de programmation, notamment C, C++, Java et Perl. Chaque norme spécifique à un langage contient des règles de codage sécurisées, des explications détaillées et des exemples de code conforme et non conforme. Étant donné que les normes de codage CERT tiennent compte des nuances et des particularités de certains langages de programmation, elles sont extrêmement précieuses et applicables pour les développeurs qui travaillent dans ces environnements.

Cycle de vie du développement de la sécurité Microsoft

Le cycle de vie du développement sécurisé (SDL) de Microsoft est un ensemble de pratiques visant à intégrer la sécurité dans le processus de développement logiciel. Il comprend des recommandations sur 10 thèmes importants, notamment la modélisation des menaces, la formation à la sécurité pour les développeurs et la sécurisation de la chaîne logistique logicielle. Microsoft utilise lui-même cette approche, ce qui permet aux entreprises de bénéficier d'un processus éprouvé dans lequel les développeurs, les testeurs et les équipes de sécurité travaillent en coordination.

ISO/IEC 27001

La norme ISO/IEC 27001 est principalement connue comme norme pour les systèmes de gestion de la sécurité de l'information (SGSI), mais elle a également un impact significatif sur le codage sécurisé. Bien qu'elle se concentre sur la mise en place d'un SGSI à l'échelle de l'entreprise, elle inclut des principes de codage sécurisé. Ces recommandations fournissent des lignes directrices de haut niveau que les entreprises peuvent suivre pour mettre en œuvre des pratiques de codage sécurisées.

Règles de sécurité KI

Les outils de codage IA sont plus pratiques que jamais, mais ils peuvent causer plus de tort que de bien s'ils ne permettent pas d'obtenir un code sûr et précis. Les règles de sécurité IA de Secure Code Warriors, les premières du genre, fournissent des conseils sur les meilleures pratiques en matière de codage sécurisé pouvant être utilisées avec des outils IA tels que GitHub Copilot, Cline, Cursor et Windsurf. Ces règles permettent à vos assistants de codage IA de rester à jour et fournissent des lignes directrices qui minimisent le risque de code non sécurisé.

Découvrez dès le début comment créer un code sécurisé.

Le codage sécurisé est plus qu'une simple exigence technique, c'est un avantage commercial décisif. Si votre équipe écrit du code sécurisé dès le départ, vous évitez les failles de sécurité coûteuses, réduisez le risque de violations de données et fournissez des logiciels auxquels vos clients peuvent faire confiance. Cependant, la maîtrise des pratiques de codage sécurisé peut s'avérer particulièrement difficile sans formation structurée. Les développeurs ont besoin d'exercices pratiques, de connaissances actualisées sur les menaces émergentes et de la possibilité d'appliquer avec assurance les principes de sécurité dans chaque ligne de code.

Secure Code Warrior certifié ISO 27001 et conforme SOC 2. Cette plateforme d'apprentissage agile offre à votre équipe exactement ce dont elle a besoin. Grâce à des formations sur les meilleures pratiques de sécurité spécifiques au langage, des défis de programmation réalistes et des contenus adaptés à une multitude de rôles, la sécurité passe d'une réflexion après coup à une composante naturelle du processus de développement. Les développeurs acquièrent les compétences nécessaires pour détecter et corriger les failles de sécurité à un stade précoce, se conformer aux normes de l'industrie et assumer l'entière responsabilité de la sécurité du code tout au long du cycle de développement logiciel. Il n'est pas surprenant que les entreprises qui Secure Code Warrior réduisent les vulnérabilités logicielles de 53 %, réalisent des économies pouvant atteindre 14 millions de dollars et constatent que 92 % de leurs développeurs ont besoin d'une formation supplémentaire.

Si vous souhaitez découvrir comment votre équipe peut écrire un code plus sécurisé et plus robuste dès le premier jour, veuillez réserver dès aujourd'hui une Secure Code Warrior.

Chez Secure Code Warrior , nous Secure Code Warrior constamment d'innover afin de fournir aux développeurs et aux entreprises les compétences nécessaires pour relever les défis en constante évolution liés à la sécurité. Nous y parvenons grâce à notre plateforme d'apprentissage agile dédiée à la programmation sécurisée, qui permet aux développeurs d'apprendre à leur rythme, en s'appuyant sur les informations les plus complètes et les plus fiables actuellement disponibles dans le secteur en matière de vulnérabilités de sécurité.

Au cours du dernier trimestre, Secure Code Warrior a introduit Secure Code Warrior fonctionnalités permettant aux administrateurs d'entreprise d'étendre les tournois à plusieurs marques et organisations et de gérer plus facilement leurs utilisateurs grâce au déploiement SCIM. Nous sommes également heureux de vous annoncer que de nouvelles directives de codage, des rapports sur les performances et de nouveaux workflows de programme sont désormais disponibles en version préliminaire dans Jira.

Veuillez nous rejoindre pour en savoir plus.

Extension de la largeur et de la profondeur de la plateforme SCW

L'enrichissement continu de Secure Code Warrior de nouveaux contenus contribue à garantir que nos modules restent pertinents, à jour et adaptés à ce que vous devez savoir dans le paysage actuel de la cybersécurité. Avec une couverture et une profondeur inégalées dans le secteur, couvrant plus de 60 langages, il est facile de créer et de faire évoluer un programme d'apprentissage agile pour les développeurs dans une multitude de langages et de frameworks.

Maintenant disponible : Directives de codage dans Jira

L'ajout de directives à notre intégration Jira offre aux développeurs un apprentissage contextuel sur le thème de la défense de la sécurité. Les directives sont plus détaillées que les vidéos, se concentrent sur un langage ou un cadre spécifique et fournissent des extraits de code qui permettent aux développeurs de résoudre un problème encore plus rapidement. Les développeurs peuvent désormais non seulement accéder à des vidéos et à des défis, mais également consulter les directives de codage directement dans un ticket Jira afin d'obtenir des conseils détaillés pour résoudre les problèmes.

Maintenant disponible : nouveau contenu frontal pour les développeurs

Les développeurs front-end ont également besoin d'activer le code sécurisé. C'est pourquoi nous avons publié des failles de sécurité front-end supplémentaires dans les missions et les solutions complètes. Les développeurs front-end pourront également accéder à des missions spécifiques au front-end via des cours.

Ces mises à jour visent à couvrir de manière exhaustive les failles de sécurité spécifiques au front-end, des failles courantes telles que le XSS basé sur DOM aux failles moins fréquentes telles que l'injection CSS. Des solutions complètes étape par étape offrent aux développeurs front-end des conseils fiables sur la manière dont les failles de sécurité sont exploitées. Les développeurs avancés peuvent également démontrer leurs compétences dans le cadre de missions front-end lors de tournois.

De nouvelles opportunités intéressantes pour développer votre culture de la sécurité

Maintenant disponible : Tournois d'entreprise

‍

Des tournois à l'échelle de l'entreprise peuvent être organisés afin de favoriser une compétition amicale entre les développeurs de plusieurs unités commerciales, filiales, partenaires et autres entreprises. Cela permet de garantir qu'une culture de programmation sécurisée puisse être étendue à l'ensemble de l'entreprise et à ses différentes marques.

Êtes-vous intéressé par la participation au tournoi multisociétés ultime ? Veuillez vous inscrire aux 3e Devolympics annuels, le tournoi mondial SCW organisé à l'occasion du Mois de la sensibilisation à la cybersécurité. Si vous êtes déjà client, vous pouvez vous inscrire via la plateforme.

Simplification de l'expérience des administrateurs et des développeurs

Maintenant disponible : filtrage des cours

La possibilité d'appliquer des filtres supplémentaires sur la page de gestion des cours facilite considérablement la tâche des administrateurs qui souhaitent filtrer les cours sur lesquels ils souhaitent travailler. Les cours peuvent être filtrés selon différents critères tels que le statut, la date de fin et les équipes inscrites.

Disponible dès maintenant : gérez vos licences SCW avec SCIM

Les responsables de programmes et les administrateurs d'entreprise peuvent désormais gérer les développeurs à grande échelle de manière programmatique, avec l'assurance que les contrôles d'accès sont toujours à jour.

Le déploiement SCIM utilise votre fournisseur d'identité pour Secure Code Warrior l'accès à Secure Code Warrior . L'automatisation de ces tâches garantit la précision, la sécurité et la conformité, ce qui permet de gagner du temps et d'économiser des ressources lors du déploiement des utilisateurs. Actuellement, SCW ne prend en charge le déploiement SCIM qu'au niveau des utilisateurs et pas encore pour les groupes SCIM.

Disponible en avant-première : Programmer des flux de travail

 La configuration d'un programme de formation évolutif et attrayant pour un code sécurisé est désormais plus simple que jamais, car la plateforme a été considérablement améliorée en termes de convivialité. Des programmes ont été développés afin d'offrir aux apprenants des instructions plus complètes grâce à la séquence de cours et d'examens dans des programmes à plusieurs niveaux. Des flux de travail automatisés sont désormais disponibles pour les clients qui ont activé l'aperçu sur la plateforme. Les flux de travail garantissent que les développeurs savent par où commencer, peuvent passer aux étapes suivantes et progresser facilement à travers les différents niveaux d'un programme d'apprentissage du code sécurisé. De plus, les administrateurs d'entreprise peuvent consacrer moins de temps à la configuration et à la gestion de leur programme et encourager les développeurs à terminer leur prochaine activité d'apprentissage.

Avez-vous besoin de conseils pour promouvoir l'apprentissage du codage sécurisé au sein de votre entreprise ? Veuillez consulter notre guide sur la manière de structurer votre programme afin d'atteindre vos objectifs en matière de sécurité.

Rapports et aperçus du programme

Disponible dans l'aperçu : aperçu des prestations

En tant qu'administrateur d'entreprise, il est essentiel de surveiller les activités au sein de votre organisation afin de comprendre l'engagement des développeurs et de mesurer le succès de votre programme de formation au codage sécurisé. Nous avons développé une interface de rapports améliorée qui garantit que les administrateurs d'entreprise tirent les enseignements les plus exploitables de leurs rapports.

Le rapport de performance fournit un aperçu de la réussite aux cours de développement et aux évaluations, ainsi que de la précision moyenne au fil du temps. Le rapport fournit également une comparaison pertinente avec le secteur, qui vous permet de déterminer les performances de votre programme par rapport aux résultats d'évaluation habituels dans le secteur pour l'évaluation que vous avez sélectionnée.

Ce rapport simple mais néanmoins pertinent marque le début des conclusions et des indicateurs clés de Secure Code Warrior prévus pour 2024.

Vous souhaitez Secure Code Warrior , mais vous n'avez pas encore de compte ? Veuillez réserver une démonstration dès aujourd'hui pour en savoir plus.

Les nouvelles fonctionnalités de ce trimestre sont désormais disponibles. Nous vous invitons à suivre Secure Code Warrior LinkedIn et X (anciennement Twitter) pour rester informé des dernières mises à jour et améliorations.

‍

‍

Le monde évolue rapidement, indépendamment de l'entreprise ou du produit, les choses deviennent de plus en plus numériques et dépendantes des logiciels. Les développeurs publient du code plus rapidement que jamais, mais 75 % du code est toujours vérifié par les équipes AppSec et signalé pour des failles de sécurité courantes et facilement évitables.

Il existe un risque considérable à ne pas considérer le code sécurisé et la sécurité comme des éléments prioritaires du processus de développement logiciel. En effet, le coût moyen mondial des violations de données a augmenté l'année dernière pour atteindre 4,35 millions de dollars (rapport IBM sur le coût d'une violation de données 2022). Les développeurs ont besoin de formations attrayantes et innovantes pour se tenir au courant des nouvelles menaces et s'adapter à un changement de culture afin de modifier la mentalité axée sur la sécurité qui prévaut dans la collaboration avec l'équipe de sécurité.

Chez Secure Code Warrior , nous Secure Code Warrior constamment d'innover afin de fournir aux développeurs et aux entreprises les compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui. Nous y parvenons grâce à des programmes de formation extrêmement attrayants, flexibles et faciles à gérer.

Au cours du dernier trimestre, nous nous sommes concentrés sur le développement de nouvelles méthodes d'apprentissage avec Coding Labs (nouvellement disponible en version préliminaire), l'intégration d'un LMS SCORM et la création d'expériences utilisateur plus accessibles et plus complètes, tout en simplifiant l'expérience administrative afin de gagner du temps.

Veuillez nous rejoindre pour en savoir plus.

Nous vous présentons : Coding Labs — L'apprentissage à un niveau supérieur

Dans une récente enquêtesectorielle (Rapport sur l'état de la sécurité orientée développeurs 2022), 40 % des développeurs ont déclaré que leur formation n'était pas suffisamment axée sur la pratique. Coding Labs aide les développeurs à améliorer leurs compétences en programmation sécurisée grâce à des formations pratiques avec de la programmation réelle et des commentaires intuitifs. Tout cela dans un IDE intégré au navigateur, familier et puissant, qui facilite plus que jamais le passage de l'apprentissage à la pratique.

Au lieu d'être confrontés à des instructions « correctes ou incorrectes » peu claires et frustrantes, les développeurs peuvent être assurés d'apprendre correctement et d'améliorer leur compréhension grâce à des commentaires en temps réel et contextuels. Coding Labs aide les développeurs à éviter les failles de sécurité et à améliorer la sécurité de leur entreprise.

Dans le cadre de la plateforme SCW, cette nouvelle expérience offre une nouvelle perspective pour soutenir les développeurs. Les responsables peuvent élaborer un programme de formation qui met les développeurs sur la voie du succès. Il propose des contenus d'apprentissage faciles à comprendre et compacts, qui s'adressent aux développeurs exactement là où ils en sont. Encadrez vos employés grâce à des formations guidées et facilement accessibles afin de les préparer à des expériences plus exigeantes et plus pratiques, telles que les laboratoires de codage. Les responsables peuvent être assurés que les développeurs trouveront la formation plus attrayante, plus facile à retenir et, au final, applicable à la base de code afin de réduire les vulnérabilités et d'éviter les révisions.

Coding Labs est désormais disponible en version préliminaire. Si vous êtes client SCW, veuillez contacter votre responsable de compte pour obtenir plus d'informations sur l'accès.

Vous n'êtes pas client SCW, mais souhaitez être informé de la disponibilité des Coding Labs ? Veuillez remplir le formulaire ici.

Nous vous invitons à visiter SCW pour en savoir plus sur nos innovations produits et assister à une démonstration de Coding Labs. Veuillez vous inscrire au webinaire ici.

Intégrez une formation sécurisée au codage dans votre LMS SCORM préféré.

Les administrateurs SCW pourront bientôt gérer plus facilement leur programme de formation aux codes de sécurité avec leurs autres plateformes de formation, sans effort de développement manuel. Cela leur permettra de gagner du temps et les aidera à se concentrer sur des moyens plus efficaces d'améliorer leurs programmes de formation.

Si vous n'êtes pas familier avec ce terme, SCORM signifie Sharable Content Object Reference Model (modèle de référence pour les objets de contenu partageables). Il s'agit d'une norme internationale pour les cours en ligne. Si votre cours est publié au format SCORM, vous pouvez être certain qu'il sera reconnu par presque tous les systèmes de gestion de l'apprentissage (LMS).

Grâce à la nouvelle intégration SCORM LMS, vous pouvez :

• Intégrez les formations Secure Code directement dans votre LMS préféré afin de gérer les participants et les tâches en un seul endroit.
• Suivez les progrès et la finalisation de votre organisation.

‍

Veuillez vous assurer que votre programme SCW est directement intégré dans le flux de travail de vos développeurs préférés afin d'améliorer l'expérience utilisateur. Les paquets SCORM peuvent être téléchargés pour les cours et les examens et offrent une intégration LMS transparente avec les plateformes courantes telles que SAP SuccessFactors, Workday, Cornerstone et bien d'autres encore.

L'intégration LMS SCORM sera disponible pour les clients en octobre sous forme de version préliminaire. Veuillez contacter votre responsable de compte pour en savoir plus.

Extension de la largeur et de la profondeur de la plateforme SCW

L'enrichissement continu de Secure Code Warrior de nouveaux contenus contribue à garantir que nos modules restent pertinents, à jour et adaptés à ce que vous devez savoir dans le paysage actuel de la cybersécurité. Avec une couverture et une profondeur inégalées dans le secteur, couvrant plus de 55 langages, il est facile de créer et de faire évoluer un programme permettant de former les développeurs à une grande variété de langages et de frameworks.

Applications ABAP sécurisées avec de nouveaux contenus de formation publiés

Dans la continuité de notre publication au printemps, nous avons le plaisir de vous présenter de nouvelles possibilités de formation pour les développeurs qui programment en ABAP, avec 6 nouvelles solutions complètes et 14 missions.

Accès à une éducation flexible et diversifiée avec de nouveaux défis et contenus

Secure Code Warrior de publier régulièrement des contenus adaptés à différents niveaux de connaissances, tout en veillant à ce que nos modules de formation restent pertinents et stimulants. Au cours de ce trimestre, SCW a publié davantage de contenus pour les langages de programmation populaires, tels que :

• 33 défis RPG supplémentaires, une demande très demandée par les clients
• La capacité de créer des tournois dans les jeux de rôle
• 10 défis Python-Django supplémentaires

Tous les nouveaux contenus sont désormais disponibles dans les pools de défis et peuvent être joués sur la plateforme.

Simplification de l'expérience administrative et utilisateur

La configuration d'un programme de formation évolutif et attrayant pour un code sécurisé est désormais plus simple que jamais, car la plateforme a été considérablement améliorée en termes de convivialité.

Veuillez modifier un cours publié.

Restez à la pointe des nouvelles possibilités de modification des programmes existants afin de répondre aux exigences en constante évolution de votre organisation et de votre programme de formation. La gestion des versions des cours permet aux administrateurs de modifier leurs cours existants sans avoir à en créer de nouveaux. Il s'agissait de l'une des fonctionnalités les plus demandées par nos clients.

Les mises à jour comprennent :

• Ajouter de nouvelles langues à un cours publié
• Ajouter/mettre à jour/supprimer des modules et des contenus d'activité dans le cours
• Ajouter/mettre à jour/supprimer des activités à la fin du cours
• La plateforme enregistre une version principale d'un cours afin de créer une version de base.

Accédez aux cours depuis l'écran d'accueil.

En ajoutant un bouton « Continuer » sur la nouvelle page d'accueil, une liste de cartes d'activité s'affiche, permettant aux utilisateurs de reprendre rapidement les modules précédemment lancés. Les utilisateurs peuvent désormais également voir une fenêtre sur l'écran d'accueil dans laquelle ils peuvent consulter tous les modules non encore terminés.

De cette manière, les utilisateurs peuvent reprendre efficacement là où ils se sont arrêtés lorsqu'ils doivent interrompre un cours ou un examen, sans perdre leurs progrès.

‍

Ces deux fonctionnalités sont disponibles pour les comptes ayant activé l'accès anticipé à la plateforme. Pour toute question concernant l'accès, veuillez contacter votre gestionnaire de compte.

Conception inclusive et accessible

Chez Secure Code Warrior , nous Secure Code Warrior que le langage et le design ont le pouvoir de créer des liens et d'améliorer la compréhension en connectant différents groupes d'utilisateurs dans le cadre de notre mission visant à promouvoir un codage sécurisé. Notre objectif est de créer une expérience inclusive et accessible, et nous sommes ravis de continuer à progresser dans le domaine du design accessible.

Le chinois traditionnel est désormais disponible.

Avec l'ajout du chinois traditionnel parmi les langues disponibles sur la plateforme, nous continuons à développer une communauté mondiale de développeurs qui ont accès aux outils nécessaires pour devenir des experts en sécurité.

Vous pouvez accéder aux langues via le menu déroulant dans les paramètres. Le chinois traditionnel est également disponible avec des sous-titres vidéo dans notre section Ressources.

Nous vous invitons à participer au webinaire ProductTalk le 5 octobre 2022.

Souhaitez-vous en savoir plus ? Nous vous invitons à participer à notre webinaire ProductTalk le 5 octobre 2022 afin de découvrir les dernières mises à jour et les nouvelles fonctionnalités présentées par les membres de nos équipes produit, et d'en apprendre davantage sur l'évolution du paysage de la sécurité, guidé par les développeurs.

Veuillez vous inscrire au webinaire ici.

Vous souhaitez Secure Code Warrior , mais vous n'avez pas encore de compte ? Veuillez vous inscrire pour un compte d'essai gratuit dès aujourd'hui pour commencer.

Voilà, les nouvelles fonctionnalités de ce trimestre sont terminées ! Suivez Secure Code Warrior Twitter pour recevoir des mises à jour sur les dernières versions et améliorations.

Un code non sécurisé a coûté des millions à l'entreprise — qu'est-ce qui empêche la mise en place de pratiques de codage sécurisées ?

Dans un monde où presque tout dépend des logiciels, il est essentiel de veiller à la sécurité du code. L'appel du marché et la rentabilité financière sont importants. Cependant, de nombreuses préoccupations existent concernant la sécurité du codage, et de nombreux obstacles empêchent leur mise en œuvre complète et efficace. Plus que jamais, une nouvelle méthode de travail est nécessaire. En 2020, Evans Data Corp. a donc chargé Secure Code Warrior mener des recherches primaires* sur l'attitude des développeurs et de leurs responsables à l'égard de la programmation sécurisée, des pratiques de codage sécurisées et des procédures de sécurité (télécharger le livre blanc). ici).

Actuellement, l'entreprise éprouve des difficultés à mettre en œuvre des pratiques de codage sécurisées. Les développeurs et les responsables considèrent les failles de sécurité et la responsabilité du code comme une responsabilité particulière.

Il est évident qu'une meilleure formation et un programme favorisant les pratiques de codage sécurisées sont nécessaires. Ce besoin est clair, si l'on considère les préoccupations des développeurs et de leurs responsables en matière de codage sécurisé. Nos recherches* ont montré que ces deux groupes partagent les mêmes préoccupations fondamentales. Cependant, en raison de leurs rôles différents, ils divergent sur la question de savoir quelles sont les préoccupations les plus urgentes.

Le principal défi pour les développeurs est la « saisie de code, qui reproduit les failles de sécurité antérieures ». Les développeurs sont jugés sur la qualité de leur code, ce qui n'est pas surprenant. Aucun développeur ne souhaite être à l'origine d'un code non sécurisé, ni d'un code qui doit être révisé et qui ralentit l'équipe.

Le deuxième problème le plus important pour les développeurs est la gestion des erreurs causées par les collaborateurs. Le respect des conditions et la responsabilité du code figurent également en tête de liste. De plus, le fait que l'apprentissage du code sécurisé soit un défi a constitué une autre exigence d'un nouveau processus de formation au code sécurisé.

Le responsable observe la situation d'un point de vue global plutôt que détaillé.

En tant que responsable d'équipe et chef d'équipe, ses principaux collaborateurs sont responsables du code. Si une équipe produit du code, la responsabilité incombe au responsable.

Le code, qui reproduit les anciennes failles de sécurité, arrive en deuxième position. Le fait que le processus d'apprentissage soit un défi arrive en troisième position. Comme la formation au codage sécurisé actuelle n'est pas efficace, les responsables constatent qu'une nouvelle approche est nécessaire .

Obstacles à la mise en place de pratiques de codage sécurisées

Alors que nous gérons les obstacles liés à la mise en place de pratiques de codage sécurisées au sein de nos organisations, deux éléments ressortent clairement : la communication et la formation.

45 % ont mentionné un manque de communication entre les parties prenantes et la direction comme un obstacle majeur. 42 % ont déploré le manque de compétences en programmation chez les nouveaux employés. Parallèlement , 40 % ont indiqué que le temps et les ressources consacrés à la formation étaient insuffisants.

Il existe des obstacles liés aux processus et au personnel qui entravent la mise en place réussie de pratiques de codage sécurisées dans toutes les entreprises.

Cependant, malgré ces difficultés persistantes, il est toujours possible de réaliser des progrès. Le manque de connaissances en programmation sécurisée avec de nouveaux paramètres et une formation et des ressources insuffisantes sont des obstacles courants.

Les développeurs sont en première ligne lorsqu'il s'agit de combler les failles de sécurité. Cependant, bénéficiez-vous du soutien, des outils et de la formation nécessaires dans le cadre de votre accord de sécurité ?

En raison de vos préoccupations, la réponse courte est « non ».

En réalité, une formation adéquate ne devrait pas être perçue comme un cours magistral.

Secure Code Warrior, une approche guidée par l'humain, le développement dans le domaine du codage sécurisé, le développeur actif dans ses fonctions dans le domaine du codage sécurisé. Notre plateforme d'apprentissage éprouvée offre aux équipes de développement et de sécurité un apprentissage contextuel et hautement pertinent dans le cadre de leurs processus de travail préférés. Cela leur permet non seulement de détecter les failles de sécurité, mais aussi d'empêcher qu'elles ne se produisent.

Cette formation axée sur la pratique constitue une opportunité de perfectionnement professionnel — une étape importante dans la carrière. L'avantage pour les développeurs est qu'ils peuvent sérieusement combler leurs lacunes en matière de sécurité et collaborer avec le reste de l'équipe afin de créer un code plus standardisé.

Si vous souhaitez en savoir plus et découvrir les répercussions potentielles sur la capacité de vos équipes à « commencer par la gauche » et à livrer plus rapidement un code sécurisé sans compromettre la sécurité, veuillez réserver une démonstration dès maintenant.

*Résultats de la réaction à la prévention : l'évolution de la sécurité des applications. Secure Code Warrior Evans Data Corp. 2020

BSIMM 8 est disponible. C'est remarquable. Il s'agit de la seule étude à grande échelle sur les pratiques de sécurité mises en œuvre par les grandes entreprises pour développer des logiciels sécurisés.

L'étude est menée par des experts en sécurité des applications sous la direction de Gary McGraw afin de garantir que les données collectées sont cohérentes et exactes et donnent un aperçu des activités quotidiennes de 300 000 développeurs. Dans ma dernière présentation, je me réfère aux chiffres du BSIMM, dans lesquels je mentionne qu'il y a en moyenne 2 experts en sécurité des applications pour 100 développeurs.

Cependant, cela n'a plus été le cas depuis BSIMM4. BSIMM8 indique que ce chiffre est encore plus bas et s'élève désormais à 1,6 pour 100 développeurs. Il ne sera tout simplement pas possible de recruter davantage d'experts en sécurité des applications en raison du manque de talents. Plus que jamais, nous devons fournir aux développeurs les outils et la formation nécessaires pour écrire un code sécurisé, pratique, facilement accessible et évolutif pour les entreprises.

Le rapport montre également que l'activité la plus courante dans la pratique de la formation consiste, dans 67 % des cas, à proposer une formation de sensibilisation à tous les employés. J'ai commencé à cartographier ce que nous faisons chez Secure Code Warrior SCW) dans le cadre de nos pratiques de formation et j'ai constaté que notre solution couvre les 12 activités de la pratique de formation, du niveau 1 (ce que font la plupart des entreprises) au niveau 3 (ce que très peu d'entreprises font).

Une solution unique pouvant être appliquée à l'ensemble d'un cabinet ! Parmi les 12 pratiques de formation, les plus pertinentes pour la Secure Code Warrior sont les suivantes :

• Étape 1 : Proposer une formation de sensibilisation
• Étape 1 : Proposez des formations personnalisées à la demande.
• Niveau 2 : Améliorer les satellites par la formation (indicateurs SCW)
• Niveau 3 : Reconnaissance des progrès réalisés dans le cadre du programme d'études (badges SCW)
• Étape 3 : Mise en place de formations pour les fournisseurs ou les collaborateurs externes (évaluations SCW)
• Étape 3 : Organisez des événements externes consacrés à la sécurité des logiciels (mode tournoi SCW).
• Étape 3 : Identifiez le satellite par l'entraînement (métriques SCW)

Êtes-vous certain que votre solution actuelle tient compte de ces pratiques ?

Début novembre, l'université de Cambridge a publié ses recherches intitulées « Trojan-Source ». Ces recherches se concentraient sur la manière dont les portes dérobées peuvent être dissimulées à l'aide de caractères de formatage directionnels dans le code source et les commentaires. Ceux-ci peuvent être utilisés pour créer du code dont la logique est interprétée différemment par le compilateur et par un réviseur de code humain.

Cette faille de sécurité est nouvelle, bien que l'Unicode ait déjà été utilisé de manière abusive par le passé, par exemple en dissimulant l'extension réelle d'un fichier en inversant la direction de la dernière partie du nom du fichier. Des recherches récentes ont montré que de nombreux compilateurs ignorent les caractères Unicode dans le code source sans avertissement, tandis que les éditeurs de texte, y compris les éditeurs de code, peuvent contourner les lignes contenant des commentaires et le code qui en dépend. Il peut donc arriver que l'éditeur affiche le code et les commentaires différemment et dans un ordre différent de celui dans lequel le compilateur les analyse, voire que le code et les commentaires soient intervertis.

Veuillez continuer votre lecture pour en savoir plus. Si vous souhaitez vous impliquer et essayer le piratage simulé de Trojan Source, nous vous invitons à consulter notre mission publique et gratuite afin de l'expérimenter par vous-même.

Texte bidirectionnel

L'une de ces attaques de type « Trojan Source » utilise l'algorithme Unicode Bidi (bidirectionnel), qui traite la composition de texte avec un ordre d'affichage différent, comme l'anglais (de gauche à droite) et l'arabe (de droite à gauche). Les caractères de formatage directionnel peuvent être utilisés pour réorganiser le regroupement et afficher l'ordre des caractères.

Le tableau ci-dessus contient certains des caractères de remplacement bidirectionnels pertinents pour l'attaque. Prenons par exemple

RLI e d o c PDI

L'abréviation RLI signifie « isoler de droite à gauche ». Elle isole le texte de son contexte (délimité par PDI, Pop-Directional-Isolieren) et le lit de droite à gauche. Le résultat est le suivant :

c o d e

Cependant, les compilateurs et les interpréteurs ne traitent généralement pas les caractères de contrôle de formatage, y compris les remplacements bidirectionnels, avant d'analyser le code source. S'ils ignorent simplement les caractères de formatage directionnels, ils analysent :

e d o c

Du vin nouveau dans des bouteilles neuves ?

Bien entendu, ce n'est pas une nouveauté. Par le passé, des caractères de formatage directionnel étaient insérés dans les noms de fichiers afin de dissimuler leur nature malveillante. Une pièce jointe à un e-mail affichée sous le nom « myspecialexe.doc » pourrait sembler tout à fait innocente s'il n'y avait pas le caractère RLO (remplacement de droite à gauche) indiquant le nom réel « myspecialcod.exe ».

L'attaque par code source troyen insère des caractères de formatage directionnels dans les commentaires et les chaînes de caractères du code source, car ceux-ci ne génèrent pas d'erreurs de syntaxe ou de compilation. Ces caractères de contrôle modifient l'ordre d'affichage de la logique du code, de sorte que le compilateur lit quelque chose de complètement différent de ce qu'un être humain lit.

Par exemple, un fichier contenant les octets suivants dans cet ordre :

sera réorganisé comme suit selon les caractères de formatage directionnels

Le code est ainsi rendu comme suit lorsque les caractères de formatage directionnel ne sont pas explicitement appelés :

Le RLO transforme la parenthèse fermante en parenthèse ouvrante et inversement dans la dernière ligne. Le résultat de l'exécution de ce code serait : « Vous êtes un administrateur ». La vérification administrative a été commentée, mais les caractères de contrôle donnent l'impression qu'elle était toujours présente.

(Source : https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx)

Quel impact cela pourrait-il avoir sur vous ?

De nombreux langages sont vulnérables à cette attaque : C, C++, C#, JavaScript, Java, Rust, Go et Python, et on suppose qu'il en existe d'autres. Il est possible que le développeur moyen désapprouve la présence de caractères de formatage directionnel dans le code source, mais un débutant pourrait tout aussi bien hausser les épaules et ne pas s'en préoccuper. De plus, la visualisation de ces caractères dépend fortement de l'IDE, de sorte qu'il n'est jamais garanti qu'ils seront reconnus.

Cependant, comment cette faille de sécurité a-t-elle pu s'introduire dans le code source ? Tout d'abord, cela peut se produire lorsque du code source provenant de sources non fiables est utilisé, dans lequel des contributions de code malveillantes sont passées inaperçues. Deuxièmement, cela peut se produire par simple copier-coller de code provenant d'Internet, ce que la plupart d'entre nous, développeurs, avons déjà fait. La plupart des entreprises s'appuient sur des composants logiciels provenant de plusieurs fournisseurs. Cela soulève la question suivante : dans quelle mesure pouvons-nous faire pleinement confiance à ce code et nous y fier ? Comment pouvons-nous rechercher du code source contenant des portes dérobées cachées ?

À qui appartient ce problème ?

D'une part, les compilateurs et les pipelines de compilation devraient interdire les lignes de code source comportant plus d'une direction, sauf si une direction est strictement limitée aux chaînes de caractères et aux commentaires. Veuillez noter qu'un caractère de formatage directionnel dans une chaîne de caractères ou un commentaire peut prolonger un changement de direction jusqu'à la fin de la ligne s'il n'est pas affiché. En général, les éditeurs de code devraient explicitement afficher et mettre en évidence les caractères Unicode suspects tels que les homoglyphes et les caractères de formatage directionnel. Depuis novembre, GitHub ajoute un symbole d'avertissement et un message à chaque ligne de code contenant du texte Unicode bidirectionnel, bien qu'il ne mette pas en évidence l'emplacement de ces caractères dans la ligne. Cela peut toujours permettre à des changements de direction malveillants de se glisser parmi des changements de direction inoffensifs.

Il est impératif de sensibiliser les développeurs et les réviseurs de code à cette question. C'est pourquoi nous avons créé une solution complète qui illustre cette vulnérabilité. Actuellement, cette solution complète est disponible pour Java, C#, Python, GO et PHP.

Si vous souhaitez en savoir plus, nous vous invitons à essayer notre simulation (missions publiques) de Trojan Source et à consulter la recherche sur les sources troyennes.

Simulation en Java

Simulation en C#

Simulation en PHP

Simulation en GO

Simulation en Python

Qu'est-ce que l'analyse statique ?

L'analyse statique est l'analyse automatisée du code source sans exécuter l'application.

Si l'analyse est effectuée pendant l'exécution du programme, elle est appelée analyse dynamique.

L'analyse statique est fréquemment utilisée pour identifier les éléments suivants :

• Failles de sécurité.
• Problèmes de performance.
• Non-respect des normes.
• Utilisation de constructions de programmation obsolètes.

Comment fonctionne un outil d'analyse statique ?

Le concept fondamental commun à tous les outils d'analyse statique consiste à parcourir le code source afin d'identifier certains modèles de codage auxquels une alerte ou une information est associée.

Cela peut être aussi simple que « Les classes de test JUnit 5 ne doivent pas nécessairement être « publiques ». Ou quelque chose de plus complexe à identifier, comme « Entrée de chaîne non fiable utilisée dans une instruction d'exécution SQL ».

Les outils d'analyse statique diffèrent dans la manière dont ils implémentent cette fonctionnalité.

• Technologie d'analyse du code source pour la création d'un arbre syntaxique abstrait (AST),
• Comparaison de texte avec des expressions régulières,
• Une combinaison des éléments susmentionnés.

La comparaison d'expressions régulières sur du texte est très flexible, il est facile d'écrire des règles de comparaison, mais cela peut souvent conduire à de nombreux résultats faussement positifs, et les règles de comparaison ne connaissent pas le contexte du code environnant.

L'AST-Matching traite le code source comme du code de programme et non comme de simples fichiers remplis de texte. Cela permet une comparaison plus spécifique et contextuelle et peut réduire le nombre de faux positifs signalés par rapport au code.

Analyse statique dans l'intégration continue

Les analyses statiques sont fréquemment effectuées au cours du processus d'intégration continue (CI) afin de générer un rapport sur les problèmes de conformité qui peut être examiné pour obtenir une vue d'ensemble objective de la base de code au fil du temps.

Certains utilisateurs se servent de l'analyse statique comme mesure objective de la qualité de leur code en configurant l'outil d'analyse statique de manière à ce que seules certaines parties du code soient évaluées et que seul un sous-ensemble de règles soit pris en compte.

L'objectivité est garantie par les règles utilisées, car celles-ci ne changent pas au fil du temps dans leur évaluation du code. Il est évident que la combinaison des règles utilisées et leur configuration relèvent d'une décision subjective, et différentes équipes choisissent d'utiliser des règles différentes à des moments différents.

Il est utile d'effectuer l'analyse statique dans CI, mais cela peut retarder le retour d'information au programmeur. Les programmeurs ne reçoivent pas de retour d'information pendant la programmation, mais plus tard, lorsque le code passe par l'outil d'analyse statique. Un autre effet secondaire de l'exécution de l'analyse statique dans CI est que les résultats sont plus faciles à ignorer.

Afin d'encourager les équipes à accorder davantage d'attention aux résultats de l'analyse statique, il est généralement possible de configurer une métrique de seuil dans le processus de compilation, de sorte que la compilation échoue si la métrique est dépassée, par exemple une série de règles déclenchées.

Analyse statique dans l'IDE

Afin d'obtenir un retour d'information plus rapide, il existe de nombreux plugins IDE qui exécutent les règles d'analyse statique dans l'IDE à la demande ou à intervalles réguliers lorsque le code est modifié.

Les violations des règles peuvent alors être affichées dans l'IDE pendant que le programmeur écrit le code. Afin de rendre plus difficile le non-respect des règles, les violations peuvent souvent être configurées de manière à être affichées dans l'éditeur sous forme de code souligné.

Personnellement, je trouve que c'est une méthode utile pour améliorer mon codage, en particulier lorsque je travaille avec une nouvelle bibliothèque couverte par l'outil d'analyse statique. Cependant, cela peut être « bruyant » en cas de faux positifs ou de règles qui ne vous intéressent pas. Ce problème peut toutefois être résolu en prenant la précaution supplémentaire de configurer l'outil d'analyse statique de manière à ignorer certaines règles.

Correction de code sur la base de règles d'analyse statique

Avec la plupart des outils d'analyse statique, la correction des règles incombe au programmeur, qui doit comprendre la cause de la violation de la règle et savoir comment y remédier.

Très peu d'outils d'analyse statique offrent également la possibilité de corriger les violations, car la correction dépend souvent de l'équipe, de la technologie utilisée et des styles de codage convenus.

Règles standard

Une confiance injustifiée dans la qualité des règles peut apparaître lorsque les outils d'analyse statique sont équipés de règles standard. Il est tentant de croire qu'ils couvrent tous les problèmes auxquels un programmeur pourrait être confronté et toutes les circonstances dans lesquelles la règle devrait s'appliquer. Parfois, les circonstances dans lesquelles une règle devrait s'appliquer sont subtiles et peuvent ne pas être faciles à reconnaître.

Il est à espérer que les programmeurs, grâce à l'utilisation d'un outil d'analyse statique et à un examen plus approfondi des règles et des infractions, développeront la capacité de reconnaître et d'éviter le problème dans le contexte de leur domaine spécifique.

Si des règles contextuelles sont requises pour le domaine, les outils d'analyse statique peuvent ne pas disposer de règles correspondant à votre domaine ou bibliothèque. De plus, ces outils peuvent souvent s'avérer complexes à configurer et à étendre.

Contretemps

Aucun de ces « désagréments » n'est insurmontable :

• faux positif
• Absence de corrections
• Configuration pour ignorer les règles
• Ajouter des règles contextuelles

Cependant, elles sont souvent utilisées comme prétextes pour éviter d'emblée l'utilisation d'outils d'analyse statique, ce qui est regrettable, car l'analyse statique peut être extrêmement utile pour :

• mettre en avant les meilleures approches pour les jeunes développeurs
• Recevez rapidement des commentaires sur les violations manifestes du code.
• Identifiez les problèmes complexes auxquels le programmeur n'a jamais été confronté.
• Confirmer que le programmeur a adopté une approche de codage appropriée (à condition qu'aucune violation ne soit signalée).

Outils d'analyse statique basés sur IDE

En tant que contributeur individuel à un projet, j'apprécie d'utiliser des outils d'analyse statique qui s'exécutent dans l'IDE, ce qui me permet d'obtenir rapidement des commentaires sur mon code.

Cela complète tout processus d'examen des demandes d'extraction et l'intégration CI dont un projet peut disposer.

Je m'efforce de trouver des outils qui me procurent un avantage et améliorent mon flux de travail individuel.

Lorsque les outils sont exécutés dans l'IDE, il peut être tentant de les considérer comme synonymes, car ils utilisent généralement la même interface graphique de base et la même approche de configuration.

Les outils peuvent présenter des fonctionnalités ou des ensembles de règles qui se recoupent, mais afin d'en tirer le meilleur parti, j'installe plusieurs outils pour exploiter leurs points forts.

Les outils IDE pour les analyses statiques que j'utilise activement lors du codage sont répertoriés ci-dessous :

• Les inspections IntelliJ intégrées — modèles de codage courants
• SpotBugs — erreurs fréquentes
• SonarLint — Modèles d'utilisation généraux
• CheckStyle - Modèles de style courants
• Sensei Secure Code Warrior Création de règles personnalisées

Je les utilise tous, car ils fonctionnent bien ensemble, se complètent et se renforcent mutuellement.

Inspections IntelliJ

Si vous utilisez IntelliJ, vous utilisez déjà ses inspections.

Il s'agit de règles d'analyse statique identifiées dans l'IDE. Certaines d'entre elles disposent également d'options QuickFix permettant de réécrire le code afin de résoudre le problème.

Les règles peuvent être activées ou désactivées, et vous pouvez sélectionner le niveau d'erreur avec lequel elles seront mises en évidence dans l'IDE.

Il existe de nombreuses inspections IntelliJ de qualité. Je le sais, car je les ai consultées pendant que je rédigeais cet article. J'utilise les inspections IntelliJ par défaut et je ne les ai pas configurées, mais pour tirer pleinement parti des inspections, il est recommandé de les examiner, d'identifier celles qui sont pertinentes pour votre style de codage et de configurer le niveau d'alerte de manière à les remarquer dans le code.

Ce qui est remarquable avec les inspections IntelliJ, c'est qu'elles sont incluses gratuitement dans l'IDE et qu'elles contribuent à développer la mémoire musculaire de :

• Identification des avertissements et des erreurs dans le code source pendant la rédaction du code
• Veuillez placer le curseur de la souris sur le code marqué pour découvrir les violations des règles.
• Veuillez utiliser Alt+Entrée pour appliquer une solution rapide au problème.

Détecter les erreurs

Détecter les bogues Le plugin IntelliJ utilise l'analyse statique pour vous signaler les erreurs dans votre code.

Les SpotBugs peuvent être configurés dans les paramètres IntelliJ afin que votre code soit analysé. Les règles effectivement utilisées se trouvent dans l'onglet Detector.

J'ai tendance à utiliser SpotBugs après avoir écrit et vérifié mon code. Ensuite, j'exécute l'option « Analyser les fichiers du projet, y compris les sources de test ».

Cela m'aide à identifier les erreurs, le code inutilisé et les optimisations évidentes. Cela m'oblige également à examiner certaines des violations signalées afin de m'aider à déterminer les mesures à prendre.

SpotBugs identifie les problèmes, mais ne propose pas de solutions rapides pour tenter de les résoudre.

SpotBugs est facile à configurer et je le considère comme un deuxième avis objectif et utile que je peux obtenir dans mon IDE.

Sonar Lint

Le plugin Sonar Lint.

SonarLint peut être configuré dans les paramètres IntelliJ afin de sélectionner les règles selon lesquelles le code sera validé.

Par défaut, SonarLint s'exécute en temps réel et signale les problèmes dans le code que vous êtes en train de modifier.

SonarLint ne fournit pas de solutions rapides, mais la documentation associée aux rapports d'infraction est généralement claire et bien documentée.

J'ai trouvé SonarLint utile par le passé pour me signaler les nouvelles fonctionnalités Java dont j'avais connaissance dans les versions récentes de Java.

Veuillez vérifier

Vérifier le style Le plugin propose un ensemble de règles de formatage et de qualité du code.

Le plugin CheckStyle est fourni dans le pack avec « Sun Checks » et « Google Checks ».

Les définitions de ces termes peuvent être facilement trouvées en ligne.

CheckStyle offre une valeur ajoutée optimale lorsqu'un projet a pris le temps de créer son propre ensemble de règles. Le plugin IDE peut alors être configuré pour utiliser cet ensemble de règles, et les programmeurs peuvent effectuer une analyse avant de transférer le code vers CI.

CheckStyle est fréquemment utilisé comme plugin de défaillance de compilation pour les processus CI lorsque le nombre d'infractions CheckStyle dépasse un certain seuil.

Sensei

Sensei utilise une analyse statique basée sur un arbre syntaxique abstrait (AST) pour comparer le code et créer des QuickFixes. Cela permet d'identifier de manière très précise le code présentant des problèmes.

L'AST permet aux QuickFixes associés à une recette de comprendre le code environnant, par exemple, lorsqu'une nouvelle classe est ajoutée au code, chaque importation pour cette classe n'est ajoutée qu'une seule fois au fichier source et non pour chaque remplacement.

Sensei conçu pour faciliter la création de règles de correspondance personnalisées qui pourraient ne pas exister dans d'autres outils ou qui seraient difficiles à configurer.

Au lieu de modifier un fichier de configuration, l'ensemble de la configuration peut être effectué dans l'interface graphique. Lors de la création de nouvelles recettes, l'interface graphique permet de déterminer facilement à quel code la recette correspond. De plus, lors de la définition des QuickFixes, l'état avant et après du code peut être immédiatement comparé. Cela facilite la création de recettes très contextuelles, c'est-à-dire spécifiques aux équipes, aux technologies et même aux programmeurs individuels.

J'utilise Sensei combinaison avec d'autres outils d'analyse statique. La plupart des outils d'analyse statique identifient les problèmes, mais ne les corrigent pas. Une utilisation fréquente de Sensei Sensei la recherche appropriée de l'autre outil dans Sensei et Sensei l'étendre avec une correction rapide. Cela présente l'avantage que la correction personnalisée appliquée est déjà conforme aux normes de codage de votre projet.

À intervalles réguliers, je crée Sensei qui sont déjà incluses dans le jeu IntelliJ Intensions, soit parce que le rapport Intension ne correspond pas tout à fait au contexte que j'ai créé, soit parce que le QuickFix fourni par IntelliJ ne correspond pas au modèle de code que je souhaite utiliser.

Je complète les outils existants au lieu de chercher à les remplacer complètement.

Sensei également s'avérer très utile lorsque vous identifiez une variante contextuelle d'une règle générale. Par exemple, si vous utilisez une bibliothèque SQL qui n'est pas prise en charge par l'outil d'analyse statique, mais que les règles SQL générales du moteur d'analyse statique restent applicables, Sensei vous permet de créer des variantes Sensei pour ces règles.

Sensei ne Sensei pas autant de recettes génériques que les outils d'analyse statique mentionnés. Sa force réside dans sa capacité à simplifier la création de nouvelles recettes, complétées par des QuickFixes configurés pour s'adapter à votre style de codage spécifique et à vos cas d'utilisation.

Remarque : nous travaillons actuellement sur la création d'une archive publique de recettes afin de couvrir les cas d'utilisation génériques. vous pouvez la consulter ici.

Résumé

J'ai tendance à sélectionner des outils qui fonctionnent ensemble, qui sont configurables et faciles à étendre afin de répondre à mon contexte spécifique. J'utilise depuis des années des outils d'analyse statique dans l'IDE pour identifier les problèmes et en apprendre davantage sur les langages de programmation et les bibliothèques que j'utilise.

J'utilise tous les outils mentionnés en combinaison :

• IntelliJ Intentions facilite l'identification immédiate des problèmes de code courants, souvent accompagnés de QuickFixes correspondants.
• SpotBugs identifie les erreurs simples que j'aurais pu manquer et m'avertit des problèmes de performance.
• SonarLint identifie des fonctions Java dont je n'avais pas connaissance et me recommande de modéliser davantage mon code.
• CheckStyle m'assiste dans le respect d'un style de codage convenu, qui est également appliqué pendant l'intégration continue.
• Sensei dans la création de QuickFixes pour étendre les scénarios courants identifiés à l'aide d'outils d'analyse statique et pour créer des recettes spécifiques à des projets ou à des technologies qui sont difficiles à configurer dans un autre outil.

---

Veuillez installer Sensei IntelliJ via « Préférences\ Plugins » (Mac) ou « Paramètres\ Plugins » (Windows), puis recherchez simplement «Sensei Code ».

Vous trouverez un référentiel contenant des exemples de code et des recettes pour les cas d'utilisation courants dans le compte GitHub de Secure Code Warrior projet «sensei ».

https://github.com/securecodewarrior/sensei-blog-examples

En savoir plus sur Sensei

Une méthode efficace pour améliorer la sécurité de votre entreprise consiste à former les développeurs aux meilleures pratiques en matière de programmation sécurisée. Ces méthodes sont fournies dans un cadre comprenant des références et des repères afin d'offrir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie ancré dans l'ADN d'une entreprise. Les développeurs doivent non seulement se tourner vers la gauche ou commencer par la gauche, mais aussi rester à gauche.

Il ne suffit pas de proposer des formations. Les entreprises doivent s'assurer que les développeurs ont suivi l'intégralité de leur formation et qu'ils appliquent les meilleures pratiques dès le début du cycle de développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Elles doivent suivre les performances des développeurs et mesurer leurs progrès à l'aune des normes internes et des normes du secteur. Cela vous permettra de mesurer efficacement le retour sur investissement généré par les investissements dans la formation.

Code Warriors sécurise la confiance en offrant un aperçu des performances individuelles des développeurs et en agrégeant les données afin de permettre une évaluation des performances globales de votre entreprise. Il démontre l'efficacité des programmes de formation continue tout en identifiant les domaines nécessitant des améliorations. De plus, il contribue à garantir la conformité aux nombreuses exigences réglementaires, qu'elles proviennent du Règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection des consommateurs (CCPA) ou d'autres réglementations.

Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.

Les formations améliorent la sécurité — lorsque les développeurs en bénéficient

Pendant de nombreuses années, il semblait particulièrement souhaitable dans le secteur des logiciels d'utiliser des méthodes de sécurité éprouvées dès le début du cycle de vie du développement logiciel (SDLC). Il serait formidable de les avoir un jour, mais ce n'est plus une priorité aujourd'hui. Cependant, l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices, souvent basées sur l'exploitation des vulnérabilités logicielles, ont rendu le codage sécurisé indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au centre de ses préoccupations avec son initiative « Secure by Design », qui est devenue un mouvement international.

Nos recherches l'ont démontré : le lien entre une approche « Secure by Design » et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des failles de sécurité de 26 % des clients SCW et avons constaté que les formations des développeurs ont permis de réduire le nombre de vulnérabilités logicielles de 22 à 84 %. Cette fourchette résulte de variables telles que la taille des entreprises concernées (les petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique. Dans ce cas, un pourcentage plus élevé d'erreurs a été corrigé.

Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction de 47 à 53 % des failles de sécurité grâce aux progrès réalisés par les développeurs dans le domaine de la sécurité. Par exemple, une entreprise statistiquement moyenne comptant plus de 10 000 développeurs, qui n'est ni en tête du classement ni parmi les meilleures en termes de référence, a enregistré une baisse de 53 % des failles de sécurité.

Bien entendu, la formation la plus efficace ne nécessite pas une approche globale qui convienne à tous. Elle doit être adaptée à l'environnement de travail des développeurs et au type de développement qu'ils effectuent.

Les entreprises devraient commencer par développer les compétences fondamentales dont les développeurs ont besoin pour rendre l'écriture de code sécurisé aussi naturelle que l'écriture de code simple. Les programmes de formation continue devraient comprendre des formations pratiques et agiles dans des scénarios réels qui correspondent à la nature de leur travail et aux langages qu'ils utilisent. De plus, ils devraient être suffisamment flexibles pour pouvoir être intégrés dans leur planning de travail.

Pour les développeurs, les compétences ne se limitent pas à l'écriture de code. Ils doivent être capables de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, par exemple des référentiels open source. Les développeurs ont largement utilisé les modèles d'IA générative et ont généralement salué leurs avantages, car ils leur permettent de créer plus de code plus rapidement. Bien que 76 % des personnes interrogées dans le cadre d'une enquête menée par Snyk aient déclaré que le code généré par l'IA était plus sûr que celui créé par des humains, 56,4 % ont tout de même indiqué que l'IA causait parfois ou souvent des erreurs. Le même sondage a révélé que 80 % des développeurs ignorent les directives de sécurité relatives au code IA, ce qui suggère que les problèmes de code dans le code IA ne sont pas corrigés.

Dans le cadre d'une approche Secure by Design, les développeurs, en collaboration avec les équipes de sécurité et non séparément de celles-ci, traiteront ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et identifieront et corrigeront les erreurs avant que le code ne soit mis en production.

Le Trust Score évalue la performance des individus et des entreprises.

Il est également essentiel que la formation soit continue. Les entreprises doivent instaurer une culture qui accorde la priorité à la sécurité, applicable à tous les niveaux, depuis la direction jusqu'aux échelons inférieurs. Elle doit se concentrer sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les entreprises qui produisent des logiciels, il est essentiel de disposer de développeurs formés à la sécurité.

Il est donc tout aussi important de démontrer que la formation a été mise en œuvre de manière efficace que la formation elle-même. Trust Score offre non seulement un aperçu des performances des développeurs individuels et de l'entreprise dans son ensemble, mais permet également aux entreprises d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données issues des résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple lorsqu'elle n'a pas l'effet souhaité sur les performances quotidiennes des développeurs.

Trust Score a permis aux entreprises d'évaluer les performances des développeurs et de vérifier s'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de s'assurer qu'ils ont obtenu leur licence de programmation. Il permet aux entreprises d'accorder en toute confiance à des développeurs qualifiés l'accès à leurs données les plus sensibles et à leurs projets logiciels critiques, tout en refusant cet accès à ceux qui utilisent les outils mais ne sont pas encore tout à fait prêts.

Preuve d'une évolution de la culture de la sécurité

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un problème commercial qui affecte l'intégrité du capital le plus précieux de nombreuses entreprises : leurs données. Une violation grave peut nuire aux opérations, à la réputation et éventuellement à la rentabilité d'une entreprise. L'importance de la cybersécurité n'a pas échappé aux autorités de régulation. Elles ont mis en place des réglementations de plus en plus strictes et se sont montrées disposées à poursuivre les RSSI et éventuellement d'autres membres de la direction, allant jusqu'à déposer des plaintes pénales, comme dans les affaires Uber et SolarWinds.

La mise en place d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans l'environnement actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de cette culture. Des formations ciblées et des qualifications supplémentaires, intégrées dans une approche culturelle, ainsi que la démonstration que les formations ont contribué à changer la culture d'entreprise, peuvent aider les entreprises à renforcer leurs mesures de sécurité.

Les programmes de sécurité axés sur les développeurs sont précieux. La preuve en est la confiance qu'ils inspirent.