Perspectives sur le code sécurisé

Une manière sûre d'améliorer la posture de sécurité de votre organisation consiste à former les développeurs aux meilleures pratiques en matière de codage sécurisé, dans un cadre comprenant des bases de référence et des repères conçus pour offrir aux développeurs les voies d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas une solution ponctuelle : il doit devenir un mode de vie, inscrit dans l'ADN d'une organisation. Les développeurs ne doivent pas seulement se déplacer vers la gauche ou commencer à gauche, ils doivent également rester à gauche.

Il ne suffit pas de proposer des formations. Les organisations doivent s'assurer que les développeurs ont pleinement assimilé leur formation et qu'ils suivent les meilleures pratiques dès le début du cycle de vie du développement logiciel (SDLC) dans le cadre de leurs routines quotidiennes. Il est nécessaire de suivre les performances des développeurs et de mesurer leurs progrès par rapport aux normes internes et aux références du secteur, en évaluant efficacement le retour sur investissement de la formation.

Code sécurisé : Warrior's Trust Score offre une visibilité sur les performances des développeurs individuels et agrège les données pour fournir une évaluation des performances globales de votre organisation. Il démontre l'efficacité des programmes d'amélioration des compétences tout en identifiant les domaines nécessitant des améliorations. En outre, il contribue à garantir le respect de l'ensemble des exigences réglementaires, qu'elles proviennent du règlement général sur la protection des données (RGPD), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou d'autres réglementations.

Notre recherche a démontré que la formation au code sécurisé est efficace. Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage extraits du travail réalisé par plus de 250 000 étudiants issus de plus de 600 organisations, révèle son efficacité dans la réduction des vulnérabilités et comment rendre l'initiative encore plus efficace.

La formation améliore la sécurité, si les développeurs la comprennent.

Pendant des années, l'application des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être une aspiration dans l'industrie du logiciel, un objectif ambitieux pour l'avenir, mais pas une priorité immédiate. Cependant, l'accélération constante du développement logiciel, associée à la multiplication des cybermenaces sophistiquées et destructrices, qui ciblent souvent les vulnérabilités des logiciels, a rendu le codage sécurisé indispensable. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) place le codage sécurisé au premier plan avec son initiative « Secure Design », qui est en train de devenir un mouvement international.

Notre recherche l'a démontré : le lien entre une approche sécurisée dès la conception et la réduction des vulnérabilités logicielles est évident. Nous avons analysé les données relatives à la réduction des vulnérabilités de 26 % de la clientèle de SCW et avons découvert que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 à 84 %. Cette fourchette s'explique par des variables telles que la taille des entreprises participantes (les plus petites entreprises comptant relativement peu de développeurs ont obtenu des résultats plus spectaculaires) et le fait qu'un groupe d'apprentissage se soit concentré sur un problème spécifique, auquel cas il a éliminé un pourcentage plus élevé de défauts.

Les résultats obtenus auprès des grandes entreprises ont été assez cohérents. Les entreprises comptant 7 000 développeurs ou plus peuvent s'attendre à une réduction des vulnérabilités comprise entre 47 et 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant en moyenne plus de 10 000 développeurs (qui n'a pas obtenu les meilleurs résultats sur la plateforme ni l'indice de référence le plus élevé) a enregistré une réduction de 53 % de ses vulnérabilités.

Bien entendu, la formation la plus efficace n'adopte pas une approche globale et unique pour tous. Elle doit être adaptée aux environnements de travail des développeurs et aux types de développement qu'ils réalisent.

Les entreprises devraient commencer par définir les compétences de base que les développeurs doivent posséder afin que l'écriture de code sécurisé leur soit aussi naturelle que l'écriture de code simple. Les programmes de perfectionnement doivent consister en une formation pratique et agile dans des situations réelles qui correspondent au type de travail qu'ils effectuent et aux langages qu'ils utilisent. En outre, ils doivent être suffisamment flexibles pour adapter les sessions de formation à leurs horaires de travail.

Pour les développeurs, l'ensemble des compétences requises ne se limite pas à l'écriture de code. Ils doivent être en mesure de vérifier les logiciels créés par des assistants d'intelligence artificielle et des tiers, tels que les référentiels open source. Les développeurs ont largement utilisé les modèles d'IA génératifs et, dans l'ensemble, ont salué leurs avantages, car ils les aident à créer plus de code plus rapidement. Cependant, bien que 76 % des personnes interrogées dans le cadre de l'enquête Snyk aient déclaré que le code généré par l'IA était plus sûr que celui produit par des humains, 56,4 % ont tout de même indiqué que l'IA introduisait parfois ou fréquemment des erreurs. Le même sondage a révélé que 80 % des développeurs n'appliquent pas les politiques de sécurité liées au code IA, ce qui suggère que les problèmes liés au code IA ne sont pas traités.

Grâce à une approche de conception sécurisée, les développeurs (qui travaillent en collaboration avec les équipes de sécurité, plutôt que séparément) aborderont ces problèmes dès les premières étapes du cycle de vie du développement logiciel (SDLC), en identifiant et en corrigeant les failles avant que le code ne soit mis en production.

Le score de confiance mesure la performance individuelle et celle de l'entreprise.

Il est également essentiel que la formation soit continue. Les entreprises doivent adopter une culture qui privilégie la sécurité et qui s'applique à tous les niveaux, des plus hauts échelons de l'entreprise aux niveaux les plus bas. Elle doit être axée sur l'amélioration continue et la mise en œuvre des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer ; la cybersécurité ne devrait pas être en reste. Pour les organisations qui produisent des logiciels, la base repose sur des développeurs formés à la sécurité.

C'est pourquoi démontrer que la formation a été efficacement mise en place est aussi important que la formation elle-même. Trust Score offre non seulement une visibilité sur les performances des développeurs à l'échelle individuelle et de l'organisation dans son ensemble, mais permet également aux organisations d'analyser en détail les données de performance afin de se concentrer sur des langages, des équipes de développeurs ou des catégories de logiciels spécifiques. Les données relatives aux résultats de performance individuels et agrégés aident également à identifier les domaines dans lesquels la formation doit être améliorée, par exemple si elle n'a pas l'effet escompté sur les performances quotidiennes des développeurs.

Trust Score a permis aux organisations d'évaluer les performances des développeurs et de confirmer qu'ils ont acquis (et utilisent) les compétences nécessaires en matière de sécurité, garantissant ainsi qu'ils ont obtenu la licence pour programmer. Il permet aux organisations d'accorder en toute confiance aux développeurs qualifiés l'accès à leurs données les plus confidentielles et à leurs projets logiciels les plus importants, tout en refusant l'accès à ceux qui utilisent les outils et ne sont pas encore prêts à les utiliser.

Témoignage d'une culture de sécurité en pleine évolution

La cybersécurité n'est plus seulement un problème de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité de l'actif le plus précieux de nombreuses organisations : leurs données. Une violation grave affecte les opérations, la réputation et, potentiellement, la viabilité d'une organisation. L'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui ont mis en place des réglementations de plus en plus strictes et se sont montrés disposés à engager des poursuites judiciaires contre les RSSI et, éventuellement, d'autres membres de la haute direction, allant même jusqu'à porter des accusations criminelles, comme dans les affaires Uber et SolarWinds.

L'adoption d'une culture de la sécurité à l'échelle de l'entreprise est essentielle dans le contexte actuel. Et comme une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément fondamental de cette culture. Une formation spécifique et l'amélioration des compétences dans le cadre d'une mentalité culturelle, associées à la démonstration que la formation a contribué à changer la culture, peuvent aider les organisations à renforcer leurs positions en matière de sécurité.

Les programmes de sécurité mis en place par les développeurs sont précieux. La preuve en est le score de confiance.

Una entrada de blog anterior describía el «operador bitwise vs booleano» de Java Gotcha.

• Java Gotchas: operador bit a bit frente a operador booleano

Hemos añadido una variante de esto, y algunos otros problemas de Java, a un pequeño y divertido cuestionario llamado «Desafía al sensei».

• scw.typeform.com/to/rgw7q7oe

Si has leído la entrada de blog anterior, estarás en una buena posición para responder al menos a una de las preguntas.

Pero es posible que tus amigos no, así que si el cuestionario te parece divertido, puedes compartirlo con ellos y ver si obtienen tan buenos puntajes como tú.

Ya que no queremos simplemente hacerte un cuestionario. Queremos intentar usar esto para ayudar a educar y codificar el conocimiento. Por eso, hemos creado un repositorio de Github que tiene ejemplos de código ejecutables para el problema y la solución.

• github.com/SecureCodeWarrior/Challenge-The-Sensei

Este es un Sensei repositorio habilitado.

Cuando clonas el repositorio y lo cargas en IntelliJ, suponiendo que tienes el Secure Code Warrior Sensei Instalado el complemento IntelliJ, verá automáticamente que tienes una carpeta .sensei y cargará las recetas de Sensei.

Cuando navegues por el código en el IDE, verás que IntelliJ te indica que el error existe en el código, y esto debería facilitar la comprensión del código:

• Pase el ratón sobre el código resaltado y verá un mensaje que le informará sobre el error
• Usa la tecla Mostrar acción contextual: alt+enter (Windows) opción+enter (macOS) y es posible que tengamos disponible una solución rápida que pueda corregir el código.

Se han agregado recetas de Sensei para:

• Operadores bit a bit
• Dirección IP dividida
• Afirmar pedido

Vamos a añadir más recetas y más texto explicativo para cubrir el resto del código en el futuro... pero no dejes que eso te impida echar un vistazo al código y detectar el error tú mismo.

Y recuerda probar el cuestionario y»Desafía al sensei«

Récemment, une équipe de chercheurs en sécurité a annoncé avoir découvert une faille vieille de quinze ans dans la fonctionnalité d'extraction de fichiers tar de Python. Cette vulnérabilité a été révélée pour la première fois en 2007 et référencée sous le nom CVE2007-4559. Une note a été ajoutée à la documentation officielle de Python, mais la faille elle-même n'a pas été corrigée.

Cette vulnérabilité pourrait affecter des milliers de projets logiciels, mais de nombreuses personnes ne sont pas familiarisées avec la situation ni avec la manière de la gérer. C'est pourquoi, ici, chez Secure Code Warrior, nous vous offrons la possibilité de simuler vous-même l'exploitation de cette vulnérabilité afin d'en constater l'impact par vous-même et d'acquérir une expérience pratique du fonctionnement de cette erreur persistante, afin de mieux protéger votre application.

Veuillez essayer la simulation Mission dès maintenant.

La vulnérabilité : parcours de la route pendant l'extraction du fichier tar

Le parcours de chemins ou de répertoires se produit lorsque des entrées utilisateur non désinfectées sont utilisées pour construire un chemin d'accès à un fichier, ce qui permet à un attaquant d'accéder aux fichiers et de les écraser, voire d'exécuter du code arbitraire.

La vulnérabilité est présente dans le module Python tar. Un fichier tar (fichier bande) est un fichier unique, appelé archive. Il regroupe plusieurs fichiers avec leurs métadonnées et est généralement reconnaissable à son extension .tar.gz ou .tgz. Chaque élément du fichier peut être représenté par un objet TAR Info, qui contient des métadonnées telles que le nom du fichier, l'heure de modification, la propriété, etc.

Le risque découle de la possibilité que les fichiers soient à nouveau extraits.

Lorsqu'il est extrait, chaque membre a besoin d'un chemin d'accès où écrire. Cet emplacement est créé en joignant le chemin d'accès de base au nom du fichier :

Une fois ce chemin créé, il est transféré vers fichier tar.extract ou fichier tar.extractall fonctions pour effectuer l'extraction :

Le problème ici est l'absence de désinfection du nom du fichier. Un attaquant pourrait modifier le nom des fichiers pour y inclure des caractères parcourant les chemins d'accès, tels que point-point/barre oblique (../), ce qui ferait sortir le fichier du répertoire auquel il était destiné et écraserait des fichiers arbitraires. À terme, cela pourrait conduire à l'exécution de code à distance, ce qui est susceptible d'être exploité.

La vulnérabilité apparaît dans d'autres scénarios, si vous savez comment l'identifier. Outre la gestion des fichiers tar par Python, la vulnérabilité existe également dans l'extraction des fichiers zip. Vous la connaissez peut-être sous un autre nom, tel que la vulnérabilité zip slip, qui s'est manifestée dans d'autres langages que Python.

Lien vers la mission 

Comment pouvez-vous réduire le risque ?

Bien que cette vulnérabilité soit connue depuis plusieurs années, les responsables de Python considèrent que la fonctionnalité d'extraction fonctionne comme prévu. Dans ce cas, certains pourraient affirmer qu'il s'agit d'une fonctionnalité et non d'une erreur. Malheureusement, les développeurs ne peuvent pas toujours éviter d'extraire des fichiers tar ou zip provenant d'une source inconnue. Dans le cadre des pratiques de développement sécurisé, c'est à eux qu'il incombe de désinfecter les informations non fiables afin d'empêcher les vulnérabilités de s'écarter des chemins.

Souhaitez-vous obtenir davantage d'informations sur la manière d'écrire du code sécurisé et de réduire les risques avec Python ?

Veuillez essayer gratuitement notre défi Python.

Si vous souhaitez obtenir davantage de conseils gratuits en matière de codage, veuillez consulter le Code Safe Trainer afin de vous tenir informé des pratiques de codage sécurisées.

‍

‍

Le secteur de la cybersécurité est à nouveau en état d'alerte maximale après la découverte d'une compromission insidieuse dans la chaîne d'approvisionnement logicielle. La vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils incluse dans les principales distributions Linux, est enregistrée sous le code CVE-2024-3094 et se résume à une porte dérobée délibérément insérée par un mainteneur bénévole du système qui lui faisait autrefois confiance. Permettant dans certains cas l'exécution de code à distance (RCE) si elle est correctement exploitée, elle représente un problème très grave, car elle peut causer de sérieux dommages aux processus de création de logiciels établis.

Heureusement, un autre mainteneur a découvert cette menace avant que le code malveillant ne soit intégré dans les versions stables de Linux, mais cela reste un problème pour ceux qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations sont invitées à appliquer le correctif en priorité. Si cette découverte n'avait pas été faite à temps, le profil de risque en aurait fait l'une des attaques de la chaîne d'approvisionnement les plus dévastatrices de l'histoire, surpassant peut-être même SolarWinds.

La dépendance à l'égard des bénévoles de la communauté pour la maintenance des systèmes critiques est largement documentée, mais rarement discutée jusqu'à ce que des questions à fort impact, telles que cet incident, soient mises en lumière. Si leur travail inlassable est essentiel au maintien des logiciels open source, cela met en évidence la nécessité pour les développeurs d'accorder une attention particulière aux compétences et à la sensibilisation en matière de sécurité, sans oublier de renforcer les contrôles d'accès aux référentiels logiciels.

Qu'est-ce que la porte dérobée de XZ Utils et comment peut-on la contrer ?

Le 29 mars, Red Hat a publié une alerte de sécurité urgente pour informer les utilisateurs de Fedora Linux 40 et Fedora Rawhide que les dernières versions des bibliothèques et outils de compression « XZ » contiennent un code malveillant qui semble avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été injecté fera probablement l'objet d'une étude approfondie à l'avenir, mais il s'agit d'un exercice d'ingénierie sociale sophistiqué, patient et de plusieurs années de la part de l'auteur de la menace, un attaquant pseudonyme appelé « Jia Tan ». Cette personne a passé d'innombrables heures à gagner la confiance d'autres mainteneurs, en apportant des contributions légitimes au projet et à la communauté XZ Utils pendant plus de deux ans, et a finalement obtenu le statut de « mainteneur de confiance » après que plusieurs comptes fictifs aient érodé la confiance envers le propriétaire bénévole du projet, Lasse Collin :

‍

‍

Ce scénario inhabituel illustre parfaitement comment une personne hautement qualifiée sur le plan technique peut être victime de tactiques habituellement réservées à des personnes moins informées, ce qui démontre la nécessité d'une formation précise et axée sur les fonctions pour sensibiliser à la sécurité. C'est uniquement grâce à la curiosité et à la vivacité d'esprit d'Andrés Freund, ingénieur logiciel chez Microsoft et responsable de la maintenance de PostgreSQL, que la porte dérobée a été découverte et que les versions ont été annulées, mettant ainsi fin à ce qui aurait pu être l'attaque la plus dévastatrice de la chaîne d'approvisionnement de ces derniers temps.

La porte dérobée elle-même est officiellement répertoriée comme une vulnérabilité de la plus haute gravité dans le registre du NIST. On pensait initialement qu'elle permettait de contourner l'authentification SSH, mais une enquête ultérieure a révélé qu'elle permettait l'exécution à distance de code non authentifié sur les systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, openSUSE microOS, openSUSE Tumbleweed et certaines versions de Debian.

Jia Tan semble avoir pris toutes les précautions possibles pour dissimuler le paquet malveillant qui, lorsqu'il est activé pour se construire seul pendant le processus de création, complique l'authentification dans SSHd via systemd. Comme Red Hat l'explique en détail, dans certaines circonstances, cette interférence pourrait permettre à un attaquant de contourner l'authentification SSHd et d'obtenir un accès à distance non autorisé à l'ensemble du système.

Microsoft, entre autres, a publié un guide complet sur l'analyse des systèmes à la recherche de cas d'exploitation et l'atténuation de leur effet. L'action immédiate recommandée par la CISA est que les développeurs et les utilisateurs concernés devraient passer à une version non compromise de XZ Utils, telle que XZ Utils 5.4.6 Stable.

Il est extrêmement difficile de prévenir ce type d'attaque, en particulier lorsque des composants open source sont utilisés dans les logiciels, car il existe très peu de garanties et de transparence en matière de sécurité de la chaîne d'approvisionnement. Nous avons déjà combattu les failles accidentelles dans la chaîne d'approvisionnement des logiciels, mais ce risque s'est accru et inclut désormais des failles de sécurité créées délibérément à des fins malveillantes pour compromettre la sécurité de l'open source.

La plupart des développeurs ne seront pas en mesure de contrer une attaque de cette nature, à moins d'avoir une forte conscience de la sécurité, de solides connaissances en la matière et une certaine dose de méfiance. Il s'agit presque d'un cas où il est nécessaire d'adopter la mentalité d'un acteur malveillant. Cependant, une considération principale doit toujours se concentrer sur les référentiels de code source que nous contrôlons en interne (c'est-à-dire non open source). Ils ne devraient être accessibles qu'aux personnes possédant des compétences pertinentes et vérifiées en matière de sécurité. Les professionnels de la sécurité des applications pourraient envisager une configuration similaire à celle des contrôles de sécurité au niveau des succursales, qui ne permet qu'aux développeurs experts en sécurité d'apporter des modifications à la dernière branche principale.

Les mainteneurs bénévoles sont des héros, mais il faudrait un effort collectif pour assurer la sécurité d'un logiciel.

Pour ceux qui ne sont pas familiarisés avec le domaine de l'ingénierie logicielle, l'idée qu'une communauté dynamique de bénévoles assure minutieusement la maintenance de systèmes critiques pendant leur temps libre peut sembler difficile à appréhender. Cependant, c'est la nature même du développement open source, et cela reste un domaine à risque critique pour les professionnels de la sécurité qui protègent la chaîne d'approvisionnement.

Les logiciels open source sont un élément essentiel de l'écosystème numérique de pratiquement toutes les entreprises, et ceux qui en assurent la maintenance (dont la plupart agissent de bonne foi) sont véritablement héroïques dans leur quête désintéressée du progrès technologique et de l'intégrité, mais il est absurde de les laisser fonctionner de manière isolée. À l'ère du DevSecops, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité auxquels ils sont susceptibles d'être confrontés dans leur travail quotidien. Les connaissances en matière de sécurité et les compétences pratiques ne devraient pas être négociables dans le processus de développement de logiciels, et il appartient aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.

Créez dès aujourd'hui une culture de sécurité prospère au sein de votre organisation grâce à des informations exhaustives. Cours Secure Code Warrior.

Alors que les failles de données et leurs coûts continuent d'augmenter, le volume de code produit dans notre monde est trop important pour que les experts en sécurité puissent le gérer seuls. Les entreprises ont besoin de développeurs possédant des compétences en codage sécurisé, et les développeurs savent qu'ils ont besoin de ces compétences pour progresser dans leur carrière. Cependant, la formation actuelle en matière de codage sécurisé ne répond pas à leurs attentes. Alors, que recherchent les développeurs en matière de formation au codage sécurisé ? Pour répondre à cette question, examinons quelques idées tirées d'une étude récente sur les attitudes des développeurs à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité, réalisée par Secure Code Warrior Evans Data Corp*. (Télécharger le document technique ici).

En ce qui concerne le type de formation souhaité par les développeurs, la réponse est très claire. 75 % des développeurs ont préféré la formation structurée sur le lieu de travail, la considérant comme le moyen le plus efficace et le plus satisfaisant d'apprendre. Quant au contenu de cette formation, les développeurs ont des questions très claires et précises :

• 65 % affirment avoir besoin d'une formation sur les vulnérabilités spécifiques à la langue.
• 65 % souhaitent davantage de formation dans le Top 10 de l'OWASP
• Beaucoup souhaitent également se concentrer sur les cadres de sécurité de conformité, notamment le NIST (58 %), le CIS (52 %) et le PCI DSS (50 %).
• 78 % souhaitent bénéficier d'un accompagnement et d'une orientation informels entre pairs dans le cadre de cette formation.
  

Cependant, bien que les développeurs préfèrent les cours structurés à l'apprentissage non structuré, la manière dont les cours sont dispensés est essentielle. Bien entendu, cela soulève une autre question cruciale :

Comment les développeurs préfèrent-ils apprendre ?

Les développeurs ne souhaitent pas rester assis à écouter les enseignants, ils préfèrent se familiariser avec les concepts et les tester par eux-mêmes. Ils souhaitent se concentrer sur les applications pratiques, ce qui fait largement défaut dans les programmes de formation actuels. Lorsqu'on leur a demandé d'identifier comment la formation dispensée par l'entreprise pourrait être améliorée, 30 % des personnes interrogées ont répondu qu'elles préféreraient que la formation se concentre sur les applications pratiques, en particulier dans des scénarios professionnels authentiques.

La formation des développeurs nécessite une approche centrée sur les personnes, offrant des parcours d'apprentissage guidés qui incluent des défis de codage « gamifiés » à la fois pratiques et spécifiques au langage : cadre. La formation « gamifiée » spécifique à chaque rôle permet aux développeurs de s'impliquer pleinement, avec des modules d'apprentissage configurables qui permettent à l'organisation d'orienter l'apprentissage des développeurs vers des vulnérabilités spécifiques.

Pour découvrir comment intégrer la sécurité logicielle à votre processus de développement grâce à des parcours structurés et axés sur les compétences qui offrent la formation souhaitée par les développeurs, veuillez demander une démonstration dès maintenant. dès maintenant.

Les simulations interactives permettent d'identifier les vulnérabilités de sécurité dans le code, vous incitent à réfléchir de manière critique et à trouver une ou plusieurs solutions. J'ai pu observer le code sous un nouvel angle, et le fait de me mettre au travail m'a procuré beaucoup de satisfaction.
Ingénieur logiciel, services financiers‍

*Passer de la réaction à la prévention : le visage changeant de la sécurité des applications. Secure Code Warrior Evans Data Corp. 2020

Il y a un peu plus de neuf ans, j'ai eu plusieurs conversations avec des amis, des membres de ma famille, d'anciens collègues et des investisseurs potentiels au sujet de mon intention de créer une entreprise. Tous m'ont soutenu, certains sont devenus les anges dont nous avions besoin pour nous ouvrir la voie et d'autres, ont joué le rôle de la voix de la raison, citant des statistiques édifiantes telles que « 90 % des start-ups finissent par échouer, et une sur cinq disparaît au cours des deux premières années ».

Le chemin parcouru jusqu'à présent n'a pas été sans obstacles, sans imprévus économiques et sans risques importants, mais la vérité est qu'avec mon cofondateur Matías et une équipe remarquable à mes côtés, je suis convaincu que nous pouvons surmonter presque tous les obstacles qui se présenteront à nous.

Aujourd'hui marque notre neuvième anniversaire, et je suis extrêmement fier et reconnaissant de nos réalisations et de notre place durable dans le monde de la cybersécurité, alors que le paysage continue d'évoluer rapidement.

‍

Nouveaux clients, nouvelles opportunités

Il n'est pas facile de se développer dans ce climat économique, mais nous continuons à trouver des moyens d'améliorer notre rapidité et notre efficacité et d'offrir plus de valeur à notre clientèle croissante. Si, en 2023, nous avons ajouté un grand nombre de logos de premier plan à notre liste de clients, le véritable avantage a été de constater leur volonté d'essayer de nouvelles approches pour garantir le développement de logiciels, même dans des environnements anciens, où ce processus peut s'avérer beaucoup plus difficile à mettre en œuvre.

Ces acteurs majeurs du secteur peuvent jouer un rôle déterminant dans la mise en œuvre des changements nécessaires pour obtenir une amélioration significative des résultats en matière de sécurité.

En 2023, nous avons été ravis de constater :

>> Une croissance de 100 % pour notre tournoi annuel mondial de codage sécurisé Devolympics. Veuillez noter la date et manifester votre intérêt pour notre tournoi 2024, qui débutera le 15 octobre.

>> Plus de 400 000 développeurs utilisent la plateforme d'apprentissage Secure Code Warrior.

Les données analysées de 30 % de notre base d'utilisateurs (près de 75 000 personnes) révèlent que les développeurs qui apprennent et appliquent les pratiques de codage sécurisé avec Secure Code Warrior 53 % moins de vulnérabilités dans leur organisation que leurs pairs. Impressionnant !

L'IA fait la une des journaux et occupe le devant de la scène dans les salles de réunion, mais nous sommes prêts.

L'année dernière, l'engouement pour l'IA, l'apprentissage automatique et la technologie des modèles de langage à grande échelle (LLM) était inévitable. En seulement douze mois, une multitude d'outils de codage et de sécurité IA ont commencé à transformer la manière dont de nombreux développeurs abordent l'écriture de code.

Les technologies émergentes qui parviennent à capturer l'esprit du temps et exigent une adoption massive sont incroyablement puissantes, et les outils de codage assisté par l'intelligence artificielle sont là pour rester. Cependant, comme nous l'avons finalement discuté, cette technologie a, si tant est, creusé le fossé entre le développement sécurisé des logiciels et l'efficacité. Les développeurs experts en sécurité sont plus demandés que jamais, car les organisations sont confrontées à la nécessité d'équilibrer la rapidité avec la connaissance du contexte et la détection des vulnérabilités, ce qui est mieux réalisé avec une supervision humaine expérimentée. D'une certaine manière, c'est l'avenir de la programmation en binôme, et les outils eux-mêmes représentent une nouvelle frontière unique dans la création de logiciels.

Vous pouvez participer à un défi interactif pour constater par vous-même l'impact des outils d'intelligence artificielle et des LLM sur la sécurité et découvrir l'immense opportunité qu'offrent ces outils pour améliorer dès que possible les compétences des développeurs en matière de sécurité. Nous sommes prêts à établir des partenariats avec des organisations qui recherchent la rapidité et l'efficacité tout en accordant la priorité à la sécurité.

Collaborer avec les leaders de la cybersécurité afin d'obtenir des résultats positifs en matière de sécurité, axés sur les développeurs.

Pendant neuf ans, nous avons soutenu les ingénieurs logiciels en tant que pilier d'un programme de sécurité et, alors que nous entrons dans une nouvelle décennie dans ce domaine, 2024 s'annonce comme une année révolutionnaire dans notre histoire.

Notre feuille de route produit regorge de nouvelles fonctionnalités exceptionnelles que nous sommes impatients de partager avec vous, et je sais que les responsables de la sécurité seront particulièrement intéressés par ce que nous pouvons vous aider à accomplir avec votre équipe de développement.

Veuillez rester attentifs et merci de votre participation.

El aprendizaje ágil para un código seguro en el SDLC vale la pena

Este es el tercero de una serie de blogs de tres partes que analiza los atributos y beneficios de una plataforma de aprendizaje ágil para código seguro. En parte 1 presentamos el concepto de aprendizaje ágil y cómo la plataforma de Secure Code Warrior ejemplifica varios principios ágiles. En parte 2 exploramos cómo una plataforma de aprendizaje ágil reemplaza la capacitación tradicional en seguridad orientada al cumplimiento.

Una plataforma de aprendizaje ágil ofrece una experiencia de aprendizaje que permite al alumno internalizar y utilizar las nuevas habilidades de manera más eficaz, mediante una combinación de educación práctica y contextual que está verdaderamente integrada en su trabajo diario, como parte del trabajo. Este enfoque del aprendizaje, tal como SCW lo ha aplicado a los desarrolladores que adquieren habilidades de codificación seguras, diferencia al SCW de las modalidades de aprendizaje tradicionales y nos diferencia. En este tercer y último blog de la serie, explicamos el retorno de la inversión que las organizaciones pueden esperar de una plataforma de aprendizaje ágil sobre código seguro y cómo modelar los números para su organización.

Impacto empresarial

Las organizaciones que adoptan un enfoque ágil para el aprendizaje seguro del código ven entre el doble y el triple de impacto empresarial gracias a dos palancas: la capacidad de corrija las vulnerabilidades más rápido y reducción de costes de reelaboración. 

‍

‍

Cuanto antes se aborden las vulnerabilidades en el SDLC, menos daño pueden causar y es menos costoso solucionarlas. Según el experto en seguridad Jim Routh, que anteriormente se desempeñó como director de seguridad en Aetna y director de TI en MassMutual, el costo por defecto durante las fases del SDLC aumenta a más de 14 000 dólares si se realiza durante el modo de mantenimiento una vez que el software entra en producción. Los costos se pueden reducir a la mitad si se abordan durante las pruebas y pueden ser 14 veces más baratos si se abordan durante la fase de codificación.

‍

‍

Cuanto mejor equipados estén los desarrolladores para corregir las vulnerabilidades más rápido o para evitarlas por completo, menores serán los costos y riesgos que una organización debe aceptar en sus productos de software y aplicaciones internas. Las organizaciones que desean invertir en la prevención de vulnerabilidades y en la calidad del software proporcionan a los desarrolladores una plataforma de aprendizaje ágil que ofrece experiencias flexibles y múltiples vías de aprendizaje, diseñada específicamente para lograr un impacto empresarial inmediato.

‍

Investigación de NIST indica que las horas necesarias para corregir una vulnerabilidad varían, pero las estimaciones de la tabla siguiente se han identificado en situaciones reales con clientes de grandes empresas.

‍

‍

Una vez que los equipos desarrollan nuevas habilidades de codificación segura, los clientes de SCW han observado que sus desarrolladores corrigen las vulnerabilidades entre un 50 y un 60% más rápido y producen un 50% menos de vulnerabilidades de alto riesgo en el código de producción. La experiencia de cada organización varía, pero estos resultados se han observado en grandes empresas con más de 5000 desarrolladores. El aumento de la productividad de los desarrolladores ha tenido un impacto en los resultados finales.

Reducción de costos operativos: corrija las vulnerabilidades más rápido

Para comprender el impacto financiero de un proceso de desarrollo de software más seguro y cómo una inversión en una plataforma de aprendizaje ágil ayuda a los desarrolladores a corregir las vulnerabilidades con mayor rapidez, utilice el siguiente modelo y sustituya las variables en azul por sus propios números:

 Base de referencia:

‍

Beneficio supuesto de la plataforma de aprendizaje ágil en MTTR (Mean Time To Remediate)

‍

Valor de prevención: reducción de costos de reelaboración

Una plataforma de aprendizaje ágil ayuda a los desarrolladores a escribir código seguro desde el principio. El modelo para determinar este impacto financiero se presenta a continuación.

‍

El enfoque de aprendizaje ágil marca la diferencia

La plataforma de aprendizaje ágil SCW para código seguro es superior a los enfoques alternativos de formación en seguridad para desarrolladores. Los clientes de SCW han obtenido unos resultados sobresalientes que, por supuesto, varían en función de los costes individuales y los indicadores de vulnerabilidad de cada situación particular. ¿Uno gran empresa de servicios financieros, Envestnet, descubrió que los desarrolladores formados en SCW corrigieron 2,7 veces más vulnerabilidades que sus pares. Además, un grupo de 1200 desarrolladores formados en SCW incrementaron en un 120% las tasas de corrección de sus listas de espera.

Como ocurre con cualquier inversión en soluciones empresariales, es importante evaluar sus circunstancias únicas. Nuestro equipo puede colaborar con usted para evaluar su estado actual y desarrollar un modelo de negocio personalizado. Si quieres evaluar el impacto por tu cuenta, utiliza los modelos descritos en este blog y echa un vistazo a seminario web reciente para clientes con Sage, la empresa de software de contabilidad y ERP con sede en el Reino Unido, que analiza una reducción del 82% del MTTR en caso de vulnerabilidades como parte de un sólido programa para crear una cultura de seguridad.

Acerca de Secure Code Warrior

Secure Code Warrior brinda a sus desarrolladores las habilidades necesarias para escribir código seguro. Nuestra plataforma de aprendizaje es la solución de codificación segura más eficaz porque utiliza métodos de aprendizaje ágiles para que los desarrolladores aprendan, apliquen y conserven los principios de seguridad del software. Más de 600 empresas confían en Secure Code Warrior para implementar programas de seguridad de aprendizaje ágiles, ofrecer software seguro con rapidez y crear una cultura de seguridad impulsada por los desarrolladores. ¿Está listo para obtener más información? Solicita una demostración.

Le temps, c'est de l'argent, pourquoi le gaspillons-nous ?

Responsables techniques, il est temps d'être réalistes. Combien d'heures vos développeurs consacrent-ils à la programmation ? Non, nous ne souhaitons pas que vous admettiez qu'ils passent leurs journées en pyjama à consommer des chips et à regarder Netflix. Au lieu de cela, posez-vous la question suivante : combien d'heures par jour estimez-vous que vos équipes consacrent à un travail significatif ?

Maintenant, observez le temps que vos développeurs consacrent à la programmation chaque semaine. Combien de ce temps est consacré à la refonte du code hérité, à la recherche et à la correction d'erreurs ou à la résolution de problèmes techniques ? Probablement beaucoup.

Nous comprenons ce sentiment. Les développeurs sont souvent frustrés par leur incapacité à progresser lorsqu'ils sont confrontés à des défis et à des obstacles insurmontables dans le cycle de vie actuel du développement logiciel.

• En moyenne, une équipe de développement logiciel modifie environ 26 % de son code avant la sortie.
• Un développeur consacre en moyenne 13,5 heures par semaine uniquement aux dettes techniques. Cela équivaut à consacrer plus de 700 heures par an à la correction d'erreurs passées.
• Les développeurs consacrent quatre heures par semaine à travailler sur du « code incorrect ». Sur une année, cela représente une perte de 85 milliards de dollars en coûts d'opportunité.
• 41 % des développeurs affirment que la fonctionnalité et la sécurité ont la même importance au sein de leur organisation.
• 63 % des développeurs estiment qu'il est très difficile d'écrire un code sécurisé sans vulnérabilités.

Source : Rapport Stripe, coefficient de développeur; Enquête sur l'état de la sécurité menée par les développeurs en 2022

Veuillez vous rappeler la dernière fois que vous avez effectué une révision de code au cours de laquelle votre équipe AppSec a identifié le code comme non sécurisé. Prenez en considération le temps d'arrêt auquel votre équipe a dû faire face lorsqu'elle a dû corriger ces vulnérabilités. Il est probable qu'ils aient dû se plonger dans les détails techniques pour trouver une solution viable au problème, puis prendre du temps supplémentaire pour déterminer où ils en étaient avant de devoir s'attaquer au problème.

Source : Rapport Stripe, le coefficient de développeur

Ce cycle incessant d'arrêts et de reprises n'est pas seulement perturbateur, il réduit également la productivité et sape le moral.

Il existe une méthode plus efficace pour programmer en toute sécurité et gagner du temps dans le processus.

Nous aimerions tous disposer de plus d'heures dans la journée pour accomplir nos tâches. Cependant, il est parfois nécessaire de trouver un moyen de travailler plus efficacement, et non plus intensément, avec le temps dont nous disposons.

Au lieu de consacrer du temps à rechercher des solutions, en passant des heures à examiner du code qui n'est peut-être même pas le vôtre à la recherche de défauts et de vulnérabilités, ne serait-il pas plus simple de mieux écrire le code dès le départ ?

La technologie se trouve aujourd'hui dans une impasse, et les responsables techniques cherchent à réduire les coûts par tous les moyens possibles. Les licences logicielles, les dépenses discrétionnaires et même les salaires sont dans le collimateur. Cependant, que se passerait-il si cela n'était pas nécessaire ? Les inefficacités dans le processus de développement logiciel sont plus difficiles à quantifier, mais elles sont finalement plus coûteuses et plus difficiles à traiter.

Grâce à la sécurité axée sur les développeurs, ces derniers peuvent améliorer l'efficacité et la productivité au sein du cycle de vie du développement logiciel (SDLC) en étant responsables de la sécurité à chaque étape du processus.

Réduire le temps consacré à la réécriture du code vulnérable est plus qu'une simple mesure d'économie : c'est une opportunité de réinvestir dans votre département. Le temps perdu peut être utilisé pour créer de nouvelles fonctionnalités innovantes ou apporter des améliorations significatives à votre application. Les développeurs qui se sentaient auparavant frustrés de ne pas pouvoir progresser seront motivés par la possibilité d'apporter une valeur ajoutée.

Les développeurs estiment que les principaux impacts négatifs sur leur charge de travail sont dus à la surcharge de travail, aux changements de priorités qui entraînent le rejet de code ou une perte de temps, et au manque de temps pour corriger le code de mauvaise qualité. Si l'on ajoute à cela le manque de connaissances et une solution hétérogène pour traiter les vulnérabilités, nous sommes confrontés à une perte de temps encore plus importante et à des coûts de plus en plus élevés.

Source : Enquête sur l'état de la sécurité menée par les développeurs en 2022

La technologie évolue à une vitesse fulgurante, il est donc essentiel de fournir aux développeurs les outils nécessaires pour rester à la pointe et ne pas se laisser distancer. En dotant les développeurs des connaissances requises pour programmer de manière sécurisée dès le début et corriger rapidement les vulnérabilités, votre équipe bénéficiera d'un avantage certain pour faire face aux défis que représentent la refonte du code et la résolution de la dette technique à long terme.

Les entreprises doivent mieux mobiliser les talents de leurs développeurs actuels si elles souhaitent progresser plus rapidement, rester agiles et tirer parti des tendances nouvelles et émergentes. Motiver les développeurs à se concentrer davantage sur la sécurité ne doit pas se limiter aux coûts et aux résultats. Améliorer les compétences et intégrer la sécurité à chaque étape du cycle de vie du développement logiciel (SDLC) constitue non seulement un avantage pour l'équipe, mais également une réussite professionnelle pour les développeurs individuels. Les développeurs qui possèdent les compétences nécessaires pour programmer en toute sécurité seront très recherchés dans les années à venir, car programmer en toute sécurité signifie qu'ils auront moins de problèmes à résoudre à l'avenir.

Commencer par la gauche ne signifie pas seulement avancer rapidement, mais aussi permettre aux développeurs de partager la responsabilité de la sécurité sans sacrifier la vitesse. Lorsqu'ils sont bien formés, les développeurs experts en sécurité améliorent la productivité en réduisant les vulnérabilités qui entraînent des retouches, en maintenant la vitesse de lancement des logiciels et en garantissant la qualité du code sans entraver l'innovation.

Codification plus intelligente, plus rapide et plus sécurisée

Secure Code Warrior une culture de développeurs axée sur la sécurité en leur fournissant les compétences nécessaires pour coder de manière sécurisée. Notre plateforme d'apprentissage phare propose des parcours pertinents basés sur les compétences, des missions pratiques et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé avec efficacité.

Hay una pregunta que todos los desarrolladores deben hacerse, ya sea un graduado o un veterano. Y la respuesta es importante. Se ha vuelto aún más importante en un mundo ágil, ya que tendrá un impacto directo en el éxito que tendrá en la ingeniería de software y en lo valioso que será para su próximo empleador.

Es la pregunta del millón de dólares. En realidad, ¡es la pregunta multimillonaria!

¿Te comprometes a ayudarme a programar de forma segura?

El coste medio de una violación de datos ahora es de 3,6 millones de dólares. Las probabilidades de que su empresa sea violada este año son de una de cada cuatro. Teniendo en cuenta estos datos, comparto la frustración de muchos por el hecho de que los desarrolladores no se están graduando de la universidad con las competencias en codificación segura y seguridad integradas en su ADN.

¿Por qué? La ingeniería de software es todavía una profesión relativamente joven. Se ha hecho hincapié en enseñar a las personas cómo crear código rápidamente, hacerlo elegante y funcional, pero con un enfoque muy limitado en hacer que el código sea seguro. El ritmo del cambio en las metodologías, las tecnologías, los lenguajes y las oportunidades solo agrava estas brechas de habilidades clave.

No vamos a cambiar el sistema académico rápidamente, por lo que tanto los desarrolladores como las empresas deben esperar que los desarrolladores necesiten aprender habilidades de codificación seguras en el trabajo. En algunas profesiones, puedes aprender cometiendo errores, pero para otras, no es una opción. Lo mismo ocurre con la ciberseguridad.

Los hechos muestran que tampoco nos ha ido muy bien con la formación en seguridad para desarrolladores en el puesto de trabajo. La mayoría de las principales brechas de seguridad del mundo se deben a errores de codificación que permiten a los piratas informáticos obtener privilegios en las redes informáticas, lo que les permite acceder a datos valiosos y recopilarlos. Informe de investigación de violación de datos de Verizon (DBIR) de 2017, muestra que el 30% de todas las infracciones se deben directamente a debilidades en la seguridad de las aplicaciones web y esta conclusión ha sido constante en el informe del DBIR desde 2013.

El Encuesta global de habilidades de DevSecOps de 2017 publicado en agosto de 2017, confirmó lo que ya sabíamos: si bien el 65 por ciento de los profesionales de DevOps cree que es muy importante tener conocimientos de DevSecOps al ingresar a TI, el 70 por ciento considera que no está recibiendo la formación necesaria a través de la educación formal para tener éxito en el mundo actual de DevSecOps.

Casi el 40 por ciento de los gerentes de contratación encuestados informaron que los empleados más difíciles de encontrar son los desarrolladores multiusos de alta gama con conocimientos suficientes sobre las pruebas de seguridad. El 70 por ciento de los encuestados dijo que la educación en seguridad que habían recibido no era adecuada para sus puestos actuales. De hecho, menos del 4% afirmó que se le ofrecía alguna oportunidad.

Lo vi de primera mano cuando pasé casi una década trabajando con varios equipos de hackers profesionales de sombrero blanco. Con trágica regularidad, irrumpimos en grandes empresas, empresas emergentes y departamentos gubernamentales, encontrando siempre las mismas debilidades.

Esta es la razón por la que los desarrolladores deben alzar la voz cuando te contratan. Si tu posible empleador no se está tomando en serio tu formación en seguridad para desarrolladores, deberías pensar en el tipo de empresa a la que te estás planteando unirte.

La segunda pregunta que debes hacerte es cómo planean entregarlo. ¿Será práctico e interactivo? Es poco probable que la formación de seguridad para desarrolladores sobre vulnerabilidades mediante el uso de slideware, vídeos, animaciones en las que se pueda hacer clic o debates abstractos le ayude directamente a programar. ¿Se asegurarán de que estés continuamente al día de las vulnerabilidades más recientes? ¿Hay algún gremio o comunidad de seguridad del que puedas aprender? ¿Hay expertos en seguridad a los que puedas recurrir si necesitas ayuda?

El compromiso con sus habilidades de codificación segura requiere un aprendizaje continuo a través de desafíos prácticos en marcos de codificación específicos y enfrentarse a diferentes vulnerabilidades en múltiples escenarios. Simplemente no puede aprender sobre las inyecciones de SQL con un solo ejemplo. Es necesario estar expuesto a varios ejemplos de diversos tipos para aprender a reconocer estos peligrosos patrones de codificación.

Uno de nuestros clientes exigió a sus desarrolladores que jugaran un solo desafío (5 minutos) todos los días durante dos meses. Probó sus habilidades antes y después del período de formación y observó un aumento del 60% en la capacidad de codificación segura en comparación con un grupo de cientos de desarrolladores. Esto significa gastar menos recursos en encontrar y corregir errores de seguridad más adelante en el ciclo de vida y un ahorro significativo a largo plazo. Esto significa que los piratas informáticos no usarán tu código para comprometer los datos de tu empresa.

Según una investigación de IDC, había 11 millones de desarrolladores profesionales en el mundo en 2014. En 2015, Burning Glass descubrió que había hasta 7 millones de ocupaciones que requerían conocimientos de programación y que los trabajos de programación crecían, de media, un 12% más rápido que el mercado.

Hay muchos trabajos de software por ahí. Por lo tanto, tome una posición y elija empleadores que se comprometan a cuidar su seguridad, la suya y la de sus clientes. Por extensión, elige empresas que inviertan en ti.

Hay una pregunta que todos los desarrolladores deben hacerse, ya sea un graduado o un veterano. Y la respuesta es importante. Se ha vuelto aún más importante en un mundo ágil, ya que tendrá un impacto directo en el éxito que tendrá en la ingeniería de software y en lo valioso que será para su próximo empleador.

Es la pregunta del millón de dólares. En realidad, ¡es la pregunta multimillonaria!

¿Te comprometes a ayudarme a programar de forma segura?