Insights sur le code sécurisé

Au cours de ma carrière dans le développement de logiciels et la sécurité, j'ai eu l'occasion de m'entretenir avec de nombreux responsables de la sécurité des applications, RSSI, DSI et experts en cybersécurité travaillant dans divers types d'entreprises à travers le monde.

Quelle que soit la situation, quelle que soit l'expérience de l'équipe, et quel que soit le temps qui passe dans ce monde numérique en constante évolution, il existe un problème qui reste toujours le même. Il est rare que les équipes de développement s'impliquent activement dans la sécurité. La sécurité reste un sujet délicat, source de tensions entre les équipes et de préoccupations dans les coulisses du secteur.

Cependant, la sécurité logicielle est trop importante dans notre conception générale pour que nous continuions dans cette voie. Afin que la sécurité devienne un élément indispensable du travail de tous les développeurs, nous devons changer notre approche. L'une des meilleures façons d'y parvenir est, selon moi, de responsabiliser les développeurs en matière de sécurité et de les impliquer, par exemple grâce à la gamification.

Le paysage actuel

Les développeurs obtiennent leur diplôme universitaire avec peu de connaissances pratiques sur la fourniture de code sécurisé et occupent des postes où la formation à la sécurité est rarement une priorité (lorsqu'elle l'est, il s'agit généralement d'une partie obligatoire d'une vidéo de conformité sur la santé et la sécurité, qui est très ennuyeuse et n'intéresse personne). Souvent, leur première expérience en matière de sécurité se fait lors d'audits ou de rapports de bogues de test, ce qui interrompt soudainement les versions futures etet leur créativité est immédiatement interrompue. Comme ils sont en conflit avec les responsables des rapports de sécurité, le mot « sécurité » est devenu synonyme de « critique » dans leur esprit.

Pour être honnête, je trouve regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, certains des meilleurs souvenirs de ma carrière sont liés à ce que j'ai appris sur la sécurité logicielle. Au début de ma carrière de hacker, j'ai passé beaucoup de temps à assister à des conférences. J'ai pris beaucoup de plaisir à y tester mes compétences avec mes collègues (et, pour être honnête, à les exhiber un peu), mais aussi à rencontrer des personnes partageant les mêmes idées, qui aimaient autant que moi détruire des logiciels.

BruCon, DefCon, BlackHat... Ces événements ont offert à des personnes comme moi l'opportunité de démontrer leurs compétences dans le cadre d'une compétition amicale. Bien que je ne cautionne en aucun cas les activités antisociales, certains participants ont démontré leurs talents en piratage en accédant aux téléphones d'autres participants et en affichant des informations sur l'écran de présentation pour que tout le monde puisse les voir. Trouver ces failles, les exploiter et les corriger pour améliorer les logiciels est devenu un véritable jeu.Il y a quelques années, j'ai eu l'opportunité de me présenter devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une élève de 8 ans qui apprenait le brute force et le codage base64 tout en jouant à un jeu.

La gamification est également utilisée pour enseigner les compétences en codage. Des établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, jusqu'au niveau secondaire. Aujourd'hui, même des enfants de 4 ans participent régulièrement à des initiatives telles que Code Camp, et il existe de nombreux programmes en ligne de grande qualité qui enseignent aux enfants à coder en Python et dans d'autres langages. Nous avons également fait l'acquisition d'un excellent outil de codage sans écran, Cubetto, pour notre fille de 4 ans.

Cependant, malgré ces avantages et ces progrès, il existe un écart. Personne n'avait envisagé la possibilité d'utiliser la gamification pour enseigner aux développeurs comment écrire du code sécurisé.

Eh bien... il n'y a pratiquement personne. Il y a quelques années, nous avons réalisé qu'il était nécessaire de rendre la sécurité à nouveau stimulante et d'augmenter la motivation des développeurs à participer et à commencer à jouer.

Gamification : une approche simple.

J'ai une forte motivation à améliorer les connaissances des développeurs en matière de sécurité et à leur donner les moyens d'agir. C'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.

Je ne suis pas le seul à réfléchir à cela.

La gamification rend les tâches courantes plus agréables, incite à continuer à jouer, à gagner et à progresser, et empêche les gens de se lasser. Observez l'approche de Pokémon Go ! Même les personnes les plus inactives recherchent des créatures imaginaires à l'extérieur, et beaucoup se fixent comme objectif quotidien d'atteindre le nombre de pas recommandé par FitBit... Lorsque ces objectifs ne sont pas atteints, que la série de victoires prend fin ou que les badges ne sont pas obtenus, un sentiment de déception intense peut survenir.

Revenons maintenant à la formation en matière de sécurité. Nous avons démontré à de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité d'une organisation, établir un pont entre l'équipe chargée de la sécurité des applications et l'équipe de développement, et favoriser la création de logiciels de haute qualité en général.

À l'heure actuelle, la sécurité n'est pas une priorité pour les développeurs. En ajoutant des éléments conviviaux, compétitifs et attrayants à la méthode d'entraînement, il est possible de renforcer la motivation des utilisateurs à revenir non seulement pour « jouer », mais aussi pour gagner plus de points, battre des records, améliorer leur précision et défier leurs coéquipiers.

Nous savons déjà que lorsque la formation est réussie, les résultats suivants sont obtenus.

• Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
• Les défis sont courts et couvrent toutes les vulnérabilités générales en matière de sécurité.
• Les défis sont constamment élargis et mis à jour, ce qui permet aux développeurs de continuer à perfectionner leurs compétences au fil du temps.
• La complexité des défis est variée, ce qui rend ce poste attrayant tant pour les développeurs expérimentés que pour ceux qui ont moins d'expérience.
• Les développeurs et leurs responsables peuvent consulter l'état d'avancement des tâches terminées, les points forts et les points faibles, le temps consacré à la formation, ainsi que la précision globale.

Un client important a démontré le véritable attrait de la plateforme de gamification, a fourni aux développeurs des équipements thématiques pour les équipes et a offert des prix exceptionnels aux gagnants du jeu, rendant ainsi le tournoi vraiment mémorable. Depuis lors, ils ont organisé des compétitions internationales et l'ensemble de l'équipe consacre encore aujourd'hui un temps considérable à l'entraînement.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation par la gamification dans la lutte contre les codes défectueux, grâce à une approche véritablement innovante qui bouleverse les formations traditionnelles (ou ennuyeuses). Découvrez ce que nos clients ont accompli grâce à cette formation. Tournoi de niveau supérieur. Êtes-vous prêt ? Améliorez les compétences de votre équipe avec nous.

Nous devons changer de sujet et nous efforcer de faire de la sécurité un élément indispensable du travail de tous les développeurs. L'une des meilleures façons d'y parvenir est, selon moi, de responsabiliser les développeurs en matière de sécurité et de les impliquer dans ce domaine, notamment par le biais de la gamification.

Le 3 septembre, plusieurs membres de mon équipe et moi-même avons assisté à la remarquable conférence Security Awards organisée par CSO Australie. Il s'agissait de l'une des premières éditions en Australie des Women in Security Awards 2019.Il s'agissait d'un événement très attendu, qui rendait hommage aux contributions des femmes dans le domaine de la cybersécurité et mettait en avant le talent et l'esprit d'innovation de femmes remarquables qui accomplissent un travail formidable, mais qui sont souvent éclipsées par d'autres.

Il n'est pas exagéré de dire que Fatemah Beydoun, vice-présidente du service clientèle chez Secure Code Warrior (également connue sous le nom de Chief Awesome), a joué un rôle essentiel lors de cette journée. Elle a présenté son exposé intitulé Mentorat pour l'avenir : comment nous pouvons tous mieux faire pour former des femmes dans le domaine de la cybersécurité. En 12 minutes , devant un public très réceptif, elle n'a pas eu le temps de dévoiler tout l'impact qu'elle a eu sur nous et sur l'ensemble du secteur de la cybersécurité au fil des ans, mais elle a constaté des changements positifs importants (il va sans dire).

Une approche plus inclusive.

« Lorsque j'ai débuté ma carrière dans ce secteur, j'étais l'une des rares femmes dans l'équipe à laquelle j'avais été affectée », explique Fatima. La plupart des occasions de réseautage étant principalement masculines, il était difficile de participer, de rencontrer les bonnes personnes et de démontrer la valeur ajoutée que l'on pouvait apporter à l'entreprise. J'ai donc décidé de changer la donne et de créer un espace aussi inclusif que possible.

Par exemple, je participais souvent à des événements professionnels, mais la plupart des entreprises employaient des mannequins pour attirer l'attention sur leur stand. En théorie, cela ne posait aucun problème, mais comme je ne faisais clairement pas partie du marché cible, j'étais souvent ignorée. Au début de ma carrière, j'étais responsable de l'organisation d'événements. Je me suis alors promis de trouver des moyens plus inclusifs et plus ludiques d'attirer l'attention sur les services que nous proposions », explique-t-elle.

Fatima et moi travaillons ensemble depuis longtemps, et elle a toujours défendu l'inclusion et la diversité dans les activités que nous avons développées. Cela a toujours permis d'accroître les opportunités professionnelles pour les femmes au sein de l'équipe, de reconnaître leurs contributions importantes et de renforcer nos collègues grâce à la diversité des approches, des opinions et des parcours de vie.

« Évidemment, personne ne souhaite être une femme de façade », a déclaré Fatima. « Cependant, le problème est que les équipes de direction peu diversifiées ont tendance à confier le leadership à des personnes qui leur ressemblent et avec lesquelles elles peuvent s'identifier personnellement. Ces mêmes dirigeants pourraient bénéficier des contributions des femmes sur la base de leurs mérites et de leurs compétences, mais il est souvent difficile de les convaincre.Elle a ajouté : « Lorsque les équipes de direction prennent conscience des atouts que procure la diversité (au-delà du genre), elles ont souvent tendance à ouvrir la voie et à promouvoir des femmes motivées, compétentes et prêtes à accomplir un travail remarquable pour l'organisation. »

Flexibilité au travail : un élément clé de la réussite

Lorsque j'ai créé ma propre entreprise, j'ai rapidement compris que les membres de mon équipe étaient plus performants lorsqu'ils disposaient d'une certaine marge de manœuvre. La flexibilité est importante pour tous, mais les politiques de soutien aux familles actives contribuent à fidéliser les collaborateurs clés.

L'une des premières politiques mises en place ici était la politique « Infant at Work » (Bébé au travail). Elle permettait aux nouvelles mères de reprendre le travail plus rapidement, car elle offrait la flexibilité nécessaire pour prendre des rendez-vous et leur permettait d'amener leur bébé au travail sans crainte.

« Je ne souhaitais pas devoir choisir entre devenir mère et poursuivre ma carrière. Le fait de pouvoir emmener mon jeune fils au travail m'a apporté un soutien et m'a donné le sentiment d'être valorisée, ce qui a été une expérience très positive », a déclaré Fatima. « Mes compétences ne disparaîtront pas après la naissance de mon enfant, et comme je suis membre fondatrice de la start-up, je souhaite simplement revenir ! »

Elle a également évoqué les avantages du travail flexible dans une interview accordée à ABC News:

La culture du mentorat est-elle répandue ?

Afin de démarrer une carrière remarquable et de maintenir cette dynamique, il est judicieux pour eux d'avoir un mentor. Dans de nombreux domaines tels que l'informatique, la cybersécurité et les secteurs à prédominance masculine, cela peut s'avérer un peu plus difficile, car les femmes occupant des postes de direction sont nettement moins nombreuses que les hommes.

Il est important que les femmes trouvent leur place dans des postes de direction, mais les hommes peuvent également contribuer en encourageant les femmes talentueuses de leur équipe et, si possible, en les accompagnant en tant que mentors.

« Les équipes de direction ont non seulement un impact considérable sur la diversité au sein d'une organisation, mais elles peuvent également garantir que les femmes talentueuses bénéficient d'une évaluation et d'un parcours professionnel plus justes que quiconque. J'ai pu observer cela chez Yvette Luzins, responsable de la cybersécurité chez Jetstar. Elle défend les femmes et, grâce à sa réussite et à ses efforts, elle a aidé d'autres femmes à viser les postes les plus élevés en toute confiance », explique Fatima.

Nous venons de célébrer le fait que Secure Code Warrior compte désormais 100 employés. Nous sommes fiers que les femmes représentent plus de 50 % de l'effectif total de l'entreprise. Fatemah est un excellent modèle et mentor pour tous.

Chaque entreprise bénéficie d'avantages considérables grâce à la diversité de ses équipes. Le secret pour transformer une bonne idée en une excellente idée réside dans la diversité des opinions issues de différents domaines. Comme toujours, l'union fait la force.

Il existe une théorie bien connue selon laquelle les cafards peuvent survivre à presque tout, même à une explosion nucléaire. Bien que cette théorie ne soit valable que dans une certaine mesure, leur constitution physique simple les rend extrêmement résistants par rapport à leur taille, et il est difficile de les éradiquer dans la plupart des conditions.

J'ai longuement réfléchi à la question... Si l'on devait comparer un élément du monde numérique à un insecte nuisible, ce serait sans aucun doute la vulnérabilité liée à l'injection SQL (SQLi) dans le code.Cette vulnérabilité est connue depuis plus de 20 ans, mais les organisations en sont victimes à maintes reprises. Son ampleur est telle que, tout comme les attaques coûteuses visant des cibles spécifiques, l'injection SQL a entraîné le piratage des élections dans l'Illinois, où 200 000 dossiers d'électeurs ont été rendus publics, ce qui a conduit le FBI à recommander à tous les responsables informatiques de renforcer rapidement leurs mesures de sécurité.

Le rapport Hacker Intelligence Initiative de Imperva a révélé que 83 % de toutes les violations de données signalées entre 2005 et 2011 impliquaient des attaques SQLi. Aujourd'hui encore, les vulnérabilités d'injection restent l'une des principales menaces mondiales. OWASP Top 10. Elles sont relativement simples, mais elles persistent.

Il est regrettable que cette même vulnérabilité soit encore détectée dans un nombre considérable d'analyses de sécurité des applications. Nous comprenons son fonctionnement et savons comment la contrer. Comment cela est-il possible ? En réalité, la sécurité de nos logiciels présente une marge d'amélioration considérable.

Le rapport sur la sécurité des logiciels de Veracode, basé sur 400 000 analyses d'applications réalisées en 2017, a révélé des statistiques surprenantes. Seulement 30 % des applications étaient conformes aux 10 principales politiques de l'OWASP. Il s'agit d'un thème récurrent depuis cinq ans, et près d'un tiers des applications nouvellement analysées utilisent des injections SQL.Cela démontre l'ampleur du problème. Il semble que nous n'apprenions pas de nos erreurs et que les RSSI rencontrent des difficultés pour recruter suffisamment de personnel spécialisé dans la sécurité. En général, un ratio de 1 spécialiste en sécurité des applications pour 100 développeurs est insuffisant.

Pourquoi la sécurité logicielle est-elle intégrée aux appareils de maintien en vie ?

Il est bien connu qu'il existe une pénurie d'experts en sécurité, mais il est également évident que les développeurs ne corrigent pas les problèmes lorsqu'ils surviennent et qu'ils ne disposent pas des équipements nécessaires pour éviter d'introduire des vulnérabilités. Le même rapport de Veracode révèle que seulement 14,4 % de toutes les vulnérabilités de développement font l'objet de mesures d'atténuation documentées. En d'autres termes, la plupart des vulnérabilités ont été soumises sans mesures d'atténuation de développement.Moins d'un tiers des vulnérabilités ont été corrigées au cours des 90 premiers jours, et 42 % des vulnérabilités n'ont pas été corrigées pendant la période de développement.

Je m'entretiens régulièrement avec des experts en sécurité, des RSSI et des PDG, et j'ai remarqué que de nombreuses entreprises, en plus des faux positifs, sont préoccupées par le nombre de vulnérabilités détectées qui ne peuvent être corrigées. Elles ont donc décidé de cesser complètement les analyses, en espérant obtenir les meilleurs résultats possibles.

Pourquoi les professionnels de la sécurité des applications provoquent-ils une telle situation ?

Il n'y a aucun doute à ce sujet. Les responsables de la sécurité des applications sont pleinement conscients des problèmes liés au code. Après tout, c'est l'une de leurs compétences principales, ce qui en fait des ressources très précieuses pour leur équipe. Cependant, ils sont souvent confrontés à plusieurs obstacles.

Par exemple, un responsable de la sécurité des applications identifie un problème et demande au développeur : « Pouvez-vous corriger le code ? ». La réponse à cette question cruciale varie d'une organisation à l'autre, mais en général, les développeurs sont tellement occupés à respecter les délais stricts des sprints de livraison de fonctionnalités qu'ils n'ont ni le temps ni les outils appropriés pour résoudre le problème. Les experts en sécurité des applications peuvent eux-mêmes identifier les vulnérabilités, mais ils n'ont souvent ni les compétences ni les droits d'accès nécessaires pour les corriger immédiatement.

Il est également important de reconnaître que chaque problème nécessite un processus de recherche, de mise en œuvre et de test de solutions. Même les problèmes les plus mineurs détectés dans le code peuvent exiger des ressources considérables et un temps de correction imprévisible.Les logiciels comportent plus de 700 vulnérabilités, et il est impossible pour une seule personne de toutes les contrer. C'est pourquoi la plupart des entreprises s'en tiennent strictement au Top 10 de l'OWASP. Pendant ce temps, les développeurs continuent à créer des fonctionnalités et, par conséquent, à introduire des vulnérabilités dans le code qu'ils écrivent.

Quelle est la solution ?

Le fait est que nous ne fournissons pas aux développeurs les outils et la formation nécessaires pour réussir dans le domaine du codage sécurisé. Il n'existe aucune réglementation obligeant les organisations à former leurs développeurs aux compétences nécessaires en matière de sécurité. De plus, il est regrettable de constater que la plupart des universités et des stages ne préparent pas les développeurs juniors à coder de manière sécurisée.

Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict comprenant une formation, une expérience pratique, un examen médical, des connaissances en matière de sécurité et un examen avant de pouvoir voler. Personne n'imagine qu'une personne puisse être autorisée à voler sans cette préparation minutieuse et cette vérification des compétences. Cependant, dans le domaine du développement de code, cela se produit quotidiennement.

Il est nécessaire de consacrer du temps à la formation des développeurs afin qu'ils écrivent du code sécurisé. Cependant, dans le monde actuel où le rythme de développement des logiciels est rapide et où il y a une pénurie de développeurs et d'experts en sécurité de haut niveau, cela ne semble jamais devenir une priorité. Il est temps de changer la conversation.

Titre récent du Forum économique mondial: « L'économie numérique ne peut exister sans sécurité ». Dans le contenu associé, il est souligné que la sécurité doit être au cœur de toute stratégie de transformation numérique. « La sécurité protège les entreprises et leur permet d'innover et de créer de nouveaux produits et services. La sécurité ne se limite pas à un rôle défensif, elle apporte également aux entreprises un avantage stratégique en matière de croissance. »

En améliorant les compétences et les résultats en matière de codage sécurisé, les organisations bénéficient d'une cyberprotection renforcée et peuvent créer un code plus performant et plus rapide. Les développeurs n'ont pas besoin de devenir des experts en sécurité, maisils ont besoin de pouvoirs actifs et pratiques pour être en première ligne de la défense contre les cyberattaques. Les développeurs peuvent devenir les prochains héros de la sécurité et de l'innovation. Ce sont des personnes très intelligentes, des solutionneurs créatifs et généralement désireux d'améliorer leurs compétences. Tirez parti de leurs atouts en leur offrant une formation professionnelle adaptée et encouragez-les à adopter des normes de sécurité logicielle plus élevées. Veuillez consulter le livre blanc pour en savoir plus.

Lorsqu'une personne souhaite piloter un avion, elle doit suivre un processus très strict comprenant une formation, une expérience pratique, un examen médical, des connaissances en matière de sécurité et un examen avant de pouvoir voler. Personne n'imagine qu'une personne puisse être autorisée à voler sans cette préparation minutieuse et cette vérification des compétences. Cependant, dans le domaine du développement de code, cela se produit quotidiennement.

La culture populaire regorge de références à des IA malveillantes, des robots et des appareils électroménagers qui s'en prennent à leurs propriétaires humains. Bien que ces récits soient imprégnés de l'attrait de la science-fiction et de la fantaisie,à mesure que l'Internet des objets et les appareils connectés se généralisent dans les foyers, les discussions sur la cybersécurité et la sûreté devraient également se généraliser. Les logiciels sont omniprésents dans notre quotidien, et nous avons tendance à oublier à quel point nous dépendons des lignes de code pour réaliser toutes sortes d'opérations sophistiquées qui apportent innovation et commodité. Tout comme les logiciels basés sur le Web, les API et les appareils mobiles, les codes vulnérables dans les systèmes embarqués peuvent être exploités par des attaquants s'ils sont découverts.

Bien que la probabilité que des micro-ondes soient utilisées pour asservir l'humanité soit faible (cependant, les robots Tesla sont quelque peu préoccupants), il existe toujours un risque que des cyberattaques entraînent des événements malveillants. Certains de nos véhicules, avions et appareils médicaux dépendent de codes embarqués complexes pour exécuter des tâches critiques. La compromission de ces objets est non seulement préoccupante, mais peut également mettre des vies en danger.

Comme pour les autres types de logiciels disponibles sur le marché, les développeurs commencent par travailler sur le code dès les premières étapes de la création. Et comme pour tous les autres types de logiciels, ce code peut également devenir un terrain fertile pour des vulnérabilités insidieuses et courantes qui risquent de ne pas être détectées avant la sortie du produit.

Les développeurs ne sont pas des experts en sécurité, et aucune entreprise ne devrait attendre d'eux qu'ils assument ce rôle. Cependant, les développeurs peuvent acquérir des outils beaucoup plus puissants pour lutter contre les types de menaces qui les concernent. À mesure que les besoins technologiques évoluent, les systèmes embarqués (généralement écrits en C ou C++) sont de plus en plus utilisés, et il est essentiel que les développeurs reçoivent une formation spécialisée en sécurité sur les outils de cet environnement.

Une friteuse à air chaud qui explose, un véhicule suspect... Est-ce un canard assis à l'intérieur ?

Cependant, pour garantir notre sécurité, il est nécessaire de réaliser des progrès plus précis et significatifs dans tous les domaines de la sécurité logicielle, au-delà des normes et réglementations existantes en matière de développement sécurisé. Il peut sembler improbable d'envisager un scénario où quelqu'un piraterait un appareil de cuisson à air chaud, mais cela s'est produit. De même, une vulnérabilité permettant à un attaquant d'exécuter du code à distance (et ainsi d'augmenter la température à un niveau dangereux) peut conduire au piratage d'un véhicule.

Les véhicules sont particulièrement complexes, équipés de plusieurs systèmes embarqués qui gèrent chacun toutes sortes de fonctions minutieuses, des essuie-glaces automatiques au moteur en passant par les freins. Les véhicules connectés, qui s'intègrent à une pile de technologies de communication en constante augmentation (Wi-Fi, Bluetooth, GPS, etc.), constituent une infrastructure numérique complexe exposée à de multiples vecteurs d'attaque. d'ici 2023, 76,3 millions de véhicules connectés devraient circuler sur les routes du monde entier, ce qui représente un défi de taille pour la mise en place d'une base défensive permettant d'assurer une véritable sécurité.

MISRA est une organisation majeure qui élabore des directives visant à promouvoir la sécurité, la sûreté, la portabilité et la fiabilité du code dans les systèmes embarqués, et qui lutte activement contre les menaces pesant sur ces systèmes. Ces directives constituent la référence absolue que toutes les entreprises devraient viser dans leurs projets de systèmes embarqués.

Cependant, pour créer et exécuter du code conforme à cette norme d'excellence, il est indispensable de disposer d'ingénieurs en systèmes embarqués qui soient non seulement sensibilisés à la sécurité, mais également confiants dans les outils utilisés.

Pourquoi l'amélioration des compétences en matière de sécurité des systèmes embarqués est-elle si importante ?

Les langages de programmation C et C++ sont considérés comme des langages traditionnels selon les normes actuelles, mais ils restent largement utilisés. Le C/C++ embarqué constitue le cœur des fonctionnalités du code des systèmes embarqués et continue de jouer un rôle important dans le monde des appareils connectés.

Ces langages ont des origines assez anciennes et présentent des comportements de vulnérabilité similaires en ce qui concerne les problèmes courants tels que les failles d'injection et les dépassements de tampon. Cependant, pour que les développeurs puissent réellement réduire les bogues de sécurité des systèmes embarqués, ils doivent utiliser du code qui imite leur environnement de travail.La formation générale au langage C dans le cadre des pratiques de sécurité courantes n'est pas aussi efficace et mémorable que lorsqu'elle implique de consacrer du temps et des efforts supplémentaires au travail dans un contexte C embarqué.

Les véhicules modernes intègrent des dizaines, voire plus d'une centaine de systèmes embarqués. Il est donc essentiel que les développeurs reçoivent une formation précise sur ce qu'ils doivent rechercher dans l'IDE et sur la manière de procéder aux corrections nécessaires.

Il est de la responsabilité de chacun de protéger le système intégré dès le premier étage.

Dans de nombreuses organisations, la priorité est donnée à la rapidité de développement plutôt qu'à la sécurité, du moins en ce qui concerne les responsabilités des développeurs. La capacité à créer un code sécurisé est rarement valorisée, tandis que le développement rapide de fonctionnalités exceptionnelles est considéré comme la norme. La demande en logiciels ne cesse d'augmenter, mais cette culture nous rend vulnérables aux cyberattaques.

Même si les développeurs n'ont pas reçu de formation, cela ne relève pas de leur responsabilité. Il est nécessaire qu'un membre de l'équipe AppSec contribue à combler cette lacune en recommandant à l'ensemble de la communauté des développeurs un programme de perfectionnement des compétences approprié, accessible (et bien sûr évaluable). Au début d'un projet de développement logiciel, la sécurité doit être une priorité absolue, et tous les acteurs, en particulier les développeurs, doivent disposer des outils nécessaires pour remplir leur rôle.

Expérimenter concrètement les problèmes de sécurité des systèmes embarqués

Les débordements de tampon, les failles d'injection et les bogues de logique métier constituent des pièges courants dans le développement de systèmes embarqués. Une fois enfouis dans les méandres d'un microcontrôleur installé dans un véhicule ou un appareil, ils peuvent entraîner des conséquences désastreuses en matière de sécurité.

Les débordements de tampon sont particulièrement fréquents. Si vous souhaitez en savoir plus sur la manière dont l'Airflyer décrit précédemment a été compromis (permettant l'exécution de code à distance), veuillez consulter le rapport CVE-2020-28592.

Nous vous invitons à découvrir concrètement la vulnérabilité de débordement de tampon dans le code C/C++ embarqué. Nous vous encourageons à relever ce défi afin d'identifier, de localiser et de corriger les modèles de codage inadéquats à l'origine de ce bug complexe.

. Comment était-ce ? Visitez www.securecodewarrior.com. Nous proposons des formations précises et efficaces sur la sécurité des systèmes embarqués.

Cet article a été initialement publié sur DevOps.com. Il a été mis à jour et modifié.

Tout comme les termes « blockchain », « big data » et « disruption numérique », le terme « DevOps » est un autre mot à la mode actuellement utilisé par les services informatiques des grandes organisations.

De nombreuses entreprises reconnaissent à juste titre la nécessité d'un cycle de vie du développement logiciel plus précis, étroitement lié aux objectifs commerciaux, qui permette une collaboration plus claire entre les équipes de développement et les équipes opérationnelles. Le DevOps est par essence un développement « agile », prêt à répondre aux besoins des entreprises modernes en constante évolution, en croissance et en innovation rapide.Pour les experts en sécurité, il s'agit d'une initiative remarquable. La sécurité peut être intégrée au processus à un stade beaucoup plus précoce, ce qui permet de réduire les coûts liés à la correction des bogues et d'éviter des catastrophes potentielles à l'avenir.

Le problème est que très peu d'entreprises parviennent réellement à mettre en œuvre le DevOps. Sans un soutien, une formation et une compréhension adéquats à l'échelle de l'entreprise, tout peut rapidement revenir à la case départ. Comme vous le savez, il s'agit d'un projet qui ne souffre d'aucune contradiction.

Alors, quel est le problème ? C'est une question intéressante. Il existe plusieurs approches DevOps qui, selon moi, facilitent considérablement la transition. Un programme efficace ne se limite pas à quelques nouveaux outils sophistiqués, à des titres ronflants et à des réunions d'équipe. Bien que cela ne soit pas toujours facile, prendre le temps de corriger les stratégies qui ont échoué (ou de les mettre en œuvre correctement dès le départ) réduit considérablement les difficultés à long terme. En fin de compte, cela permet d'obtenir des logiciels de meilleure qualité et plus sûrs.

Analysons cela :

Veuillez détacher le cordon de votre tablier « Agile ».

Il existe une idée fausse selon laquelle les organisations doivent choisir entre l'agilité et DevOps, s'engager dans l'une ou l'autre voie et ne jamais revenir en arrière.

L'important est que le processus de développement fonctionne le mieux possible lorsqu'il est considéré et mis en œuvre comme un tout. DevOps n'est pas une réinvention du développement agile. Il s'agit plutôt d'une extension du développement agile. Si l'on se concentre uniquement sur le processus, on risque de s'éloigner de l'agilité, soit en adoptant une approche identique, soit en adoptant une approche complètement différente.

Agile soutient le principe des équipes interfonctionnelles, qui rassemble dès le départ les concepteurs, les testeurs et les développeurs, et garantit une communication ouverte tout au long du projet. L'objectif est de mettre fin au cloisonnement des livraisons et de réduire les doublons, deux avantages du processus DevOps.Cependant, DevOps va plus loin en combinant les systèmes, la sécurité et les opérations pour fournir aux clients un logiciel complet et fonctionnel, avec pour objectif final de fournir un ensemble de compétences robustes et de bout en bout.

Dans le cadre de la transition inévitable vers des processus centrés sur le DevOps, le risque de développement cloisonné pourrait à nouveau augmenter. Souvent, les équipes agiles d'origine collaborent, mais personne n'est certain de la manière dont la sécurité et les opérations supplémentaires doivent être intégrées, ni de ce qu'il convient de faire, ni des objectifs globaux, alors que ces éléments sont déjà bien implantés dans les machines.

DevOps ne peut fonctionner sans objectifs clairement définis, une intégration interdépartementale et une communication directe avec toutes les parties prenantes. Bien qu'il y ait une période d'ajustement qui nécessite une gestion prudente du changement, mettre tout le monde d'accord sur les avantages offerts par DevOps ne représente que la moitié du chemin.

DevOps met également l'accent sur les meilleures pratiques en matière de sécurité dans le cadre du processus, explique clairement les étapes à suivre et comble le fossé entre l'équipe de sécurité et tous les autres (ce qui est très appréciable). Comme mentionné précédemment, il reste encore beaucoup à faire pour que les développeurs puissent coder de manière sécurisée dès le départ, mais la mise en œuvre réussie de la méthodologie DevOps constitue une excellente base pour développer les compétences en matière de sécurité au sein de l'équipe de développement.

L'automatisation n'est pas la solution à tout (et n'est pas non plus la solution la plus sûre).

Une autre caractéristique de la méthodologie DevOps est l'automatisation partielle du processus de développement logiciel. Les principes d'intégration continue et de livraison continue (CI/CD) sont à la base de ce concept et, comme vous pouvez l'imaginer, dépendent fortement des outils. Les outils d'

s sont remarquables, vraiment remarquables. Ils permettent de gérer de manière relativement transparente les éléments du référentiel de code, des tests, de la maintenance et du stockage, ce qui accélère considérablement le processus de livraison des logiciels.

Cependant, il est certain que les robots pourraient un jour nous priver de tous nos emplois et nous emprisonner, mais cela ne s'est pas encore produit. Une dépendance excessive aux outils et à l'automatisation augmente considérablement le risque d'erreurs. Les analyses et les tests ne permettent pas de tout détecter, et il arrive que le code ne soit pas vérifié, ce qui entraîne des problèmes de qualité (et bien sûr de sécurité). . Il suffit d'une seule porte dérobée pour qu'un pirate informatique puisse exploiter et voler des données. Négliger le facteur humain dans le contrôle qualité et la gestion de la sécurité peut avoir des conséquences désastreuses.

Le « Happy Medium » consiste à trouver un équilibre entre les personnes et les outils. Les outils doivent jouer le rôle d'assistants permettant à une équipe fiable d'atteindre les objectifs du projet. Il est nécessaire de procéder comme suit :

• Veuillez prévoir suffisamment de temps pour vous familiariser avec la chaîne d'outils DevOps choisie.
• Se concentrer sur une collaboration efficace (et sur la manière dont les outils peuvent la soutenir)
• Que ce soit basé sur les compétences/connaissances ou sur les outils, nous nous occupons de toutes les lacunes du processus.

En résumé, il ne suffit pas de se contenter d'améliorer ses outils et d'espérer obtenir les meilleurs résultats possibles.

DevOps n'est pas un simple mot à la mode, c'est une culture. Votre entreprise progresse-t-elle dans ce domaine ?

La gestion du changement est difficile, même dans les meilleures conditions. La peur de l'inconnu peut empêcher même les membres les plus compétents de l'équipe de perfectionner leurs compétences et d'élargir leurs horizons.

Il ne suffit pas de déclarer « Passons au DevOps » et de déplacer les bureaux de l'équipe opérationnelle pour que le processus fonctionne comme par magie. Beaucoup de personnes seront déconcertées et les membres de l'équipe qui travaillent depuis longtemps dans l'entreprise seront mécontents. Il est essentiel de communiquer vos attentes et de « progresser ». Le DevOps est à la fois une méthodologie de développement et un mouvement culturel. L'équipe doit adopter une approche transversale et collaborative.

Quelle est la nature d'une culture DevOps de qualité ?

• Non seulement les dirigeants, mais également les individus ont la possibilité de mettre à profit leurs connaissances spécialisées dans le cadre des processus.
• Communication ouverte, sincère et respectueuse entre les équipes
• Chaque individu est responsable de l'objectif global consistant à intégrer la qualité et la sécurité dans le processus de développement.
• Tous les membres de l'équipe partagent la même compréhension de la définition, de la feuille de route, ainsi que des méthodes, du contenu et des raisons des rôles individuels de DevOps dans le contexte commercial.

Depuis de nombreuses années, j'insiste sur l'importance de créer une culture de sécurité positive au sein des équipes de développement, et DevOps ne fait pas exception.

Pour mettre en œuvre les meilleures pratiques en matière de sécurité, confirmer la réduction des vulnérabilités détectées et sensibiliser l'équipe à l'importance de la protection des données, il est essentiel de disposer des outils, des connaissances et du soutien appropriés. DevOps nécessite la mise en place d'une base culturelle permettant d'apporter des changements positifs. En d'autres termes, il est nécessaire que chacun comprenne son rôle, sa valeur, ses attentes, les objectifs globaux du projet et les étapes du processus.

Vous avez maîtrisé cela ? Excellent. Alors, changez de cap, renforcez encore davantage la sécurité et faites de DevSecOps le plan ultime pour l'excellence logicielle.

Ennuyeux, ennuyeux, ennuyeux ! C'est l'une des réponses que les développeurs donnent souvent lorsqu'on leur parle de formation au code sécurisé. Chez Secure Code Warrior, nous pensons qu'il existe une meilleure solution. C'est pourquoi nous avons mené une enquête primaire en collaboration avec Evans Data Corp. afin d'étudier l'attitude des développeurs envers le codage sécurisé, les pratiques de code sécurisé et les opérations de sécurité (télécharger le livre blanc). Voici).

Transition de la réactivité à la prévention,prévue pour une sortie prochaine : évolution du paysage de la sécurité des applications. Lorsque nous avons interrogé les développeurs sur les principaux problèmes actuels liés à la formation au code sécurisé, leur réponse a été sans équivoque.

Formation qui déçoit les développeurs

40 % des développeurs interrogés ont déclaré avoir l'impression que le codage sécurisé était enseigné de manière abstraite. 40 % ont déclaré que la formation était trop théorique, sans rapport avec leur travail, et insuffisamment « pratique ». 30 % ont déclaré que la formation sur les langages et les frameworks qu'ils utilisent quotidiennement était insuffisante. C'est préoccupant, car cela montre que la formation actuelle au codage sécurisé est hors contexte et n'a aucun rapport significatif avec le travail quotidien des développeurs.Ceci est préoccupant, car cela indique que la formation actuelle au codage sécurisé est déconnectée du contexte et n'a pas de lien significatif avec les activités quotidiennes des développeurs.

Pour de nombreux développeurs, le principal défi consiste à rester vigilant pendant les activités manuelles fastidieuses. Ces activités ne sont pas efficaces et ne placent pas la sécurité au premier plan.

Lorsque la formation est dispensée dans un environnement isolé, les développeurs ne peuvent pas établir de lien cognitif entre le laboratoire et le monde réel.

Les trois éléments que les développeurs recherchent dans une formation au code sécurisé :

1. De manière prépondérante, les développeurs ont indiqué qu'ils recherchaient des formations plus pratiques et mieux adaptées à leurs tâches quotidiennes.
2. 65 % des développeurs indiquent qu'ils ont besoin de davantage de formation sur les vulnérabilités spécifiques aux langages et le Top 10 de l'OWASP.
3. 75 % des développeurs interrogés souhaitent bénéficier d'une formation pratique systématique.

Formation pour encourager les développeurs

En ce qui concerne la formation sur le terrain (OJT), les développeurs possèdent déjà une certaine expérience et des connaissances existantes. Cela indique qu'un apprentissage « basé sur les acquis » est nécessaire. Il s'agit d'une formation construite sur la base des connaissances déjà acquises par les développeurs, c'est-à-dire une formation « basée sur les acquis ». L'enseignement basé sur les acquis permet de dynamiser et d'améliorer l'expérience acquise jusqu'à présent, tout en continuant à acquérir progressivement de nouvelles compétences. C'est pourquoi il s'agit du moyen le plus approprié pour l'apprentissage sur le terrain.

Transmission des compétences acquises

En ce qui concerne la formation à la sécurité des développeurs, il est établi que ces derniers préfèrent les méthodes d'apprentissage pratiques à l'apprentissage statique basé sur la théorie, qui peut s'avérer fastidieux. Dans cette optique, il est essentiel d'apprendre à coder de manière sécurisée dans un environnement pertinent et adapté à la situation. En tant que catalyseur du changement en matière de codage sécurisé, Secure Code Warrior propose une formation pratique et adaptée à la situation, couvrant les langages de programmation et les frameworks pertinents, ainsi que les défis auxquels les développeurs sont confrontés dans le monde réel.Le contenu pédagogique comprend plus de 5 500 exercices et missions couvrant plus de 147 types de vulnérabilités différentes, notamment les 10 principales vulnérabilités OWASP, les 10 principales vulnérabilités mobiles OWASP, les 10 principales vulnérabilités API OWASP et les 25 principales vulnérabilités CWE/SANS.

Si vous souhaitez évaluer l'impact potentiel sur votre équipe et la capacité à fournir plus rapidement un code sécurisé, Veuillez prendre rendez-vous pour une démonstration dès maintenant.

Chers tous, Il est important de noter que le système DevOps est un élément essentiel pour la maintenance et l'optimisation des systèmes informatiques.Monsieur, Il-A DevOps, affinité, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie, harmonie,

2008 KRWODELYAM, veuillez vous assurer que tout est en ordre. 1:100, veuillez vous assurer que tout est en ordre. Propriété exclusive « 2008 ».

Directeur de Secure Code Warrior (Amérique du Nord) Stephen Allor et Luss Wolfeshinali de Capital OneLwec, DevOpssWalfewecwalisionali, DevOpssWorfewebalisionali, DevOpssWarrierwinalin et Capital One Warrior's Warrior(Amérique du Nord) Stephen Allor et Capital One Worfewecwinali, Stephelwwwecyi, Capital One Warrior (Amérique du Nord) et Capital One Worfewperinaly, Stephen Allor

Au revoir.

• Réunion sur la pelouse de Techer pour le « Black Coffee »
• Il y a dix ans et aujourd'hui
• L'application « rekox » de Setsu, ainsi que etreぜぜぜきめきりぜぜぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜん
• Nous vous remercions sincèrement pour votre soutien continu. Nous apprécions votre confiance et nous nous engageons à continuer à fournir des services de qualité.
• 大成の為為為成成成成成成為為為為為為為生 (およびみみそくれいつ)
• Vélo 2 nuits 8 heures, comme neuf
• Pretchikintonadajin et Mememe, Butakiniekoda / Kinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkinkink
• Augmentation des vulnérabilités dans les logiciels et leurs causes profondes
• 、
• Nous avons également participé aux courses hippiques de l'Atlantique et dégusté du vin nouveau accompagné de riz.
• Je suis désolé de m'être comporté de manière inappropriée. Je vous présente mes excuses les plus sincères.
• Monsieur Wolf de Capital One, je suis profondément désolé.
• Sans, conservation des produits,
• Le produit est dans un état neuf, sans aucun défaut.
• Conférence

Il s'agit d'un sado appelé Hebina, composé de Shadow, SideaSc DainDaNeDi Déh2Kepar et Shaging Déhda.hdigKe/inda.hdigKe.

Dans des établissements tels que Capital One, DurfstonJoquitoquiturfuriy, « exedaKitaJerquid »

L'augmentation et la sophistication des cyberattaques entraînent des changements dans tous les secteurs et toutes les industries à travers le monde. Tout le monde s'efforce de « se déplacer vers la gauche » et d'intégrer la sécurité dans tous les processus et procédures dès que possible. Cette situation favorise également l'émergence d'un mouvement entièrement nouveau visant à renforcer la cyberdéfense. La sécurité est intégrée dans la structure même de la création de nouveaux logiciels et applications, tels que DevSecOps.

La plupart de ces changements concernent la communauté des développeurs. Étant donné que ce sont eux qui créent, développent et codent les nouveaux logiciels et applications, il semble judicieux de les encourager à adopter des méthodes de codage plus sécurisées. En effet, le déplacement vers la gauche n'est possible que lors de la création initiale d'une nouvelle application.

Cependant, comment la communauté des développeurs perçoit-elle cette responsabilité ? Traditionnellement, les développeurs ont été évalués uniquement sur leur rapidité de codage. Comment perçoivent-ils aujourd'hui leur nouveau rôle de champions de la sécurité ? De plus, est-ce que la direction de leur entreprise soutient ces efforts en leur offrant une formation de qualité, une rémunération adéquate et une reconnaissance appropriée pour avoir accepté cette nouvelle responsabilité importante ?

Pour la deuxième année consécutive, nous avons mené une enquête exhaustive auprès de la communauté mondiale des développeurs, en partenariat avec Evans Data Corp., sur les compétences, les connaissances et les comportements en matière de codage sécurisé, ainsi que sur leur impact et leur pertinence dans le cycle de vie du développement logiciel (SDLC). Les résultats ont été très surprenants à bien des égards.

État actuel de la recherche en matière de sécurité axée sur les développeurs en 2022

L'enquête « Secure Code Warrior's Developer-Driven Security Landscape » a été menée en décembre 2021 par Evans Data Corp.Elle a interrogé 1 200 développeurs de logiciels en activité dans la région Asie-Pacifique, en Europe et en Amérique du Nord sur le codage logiciel, la sensibilisation à la sécurité, la formation, le soutien, la motivation et d'autres questions. L'enquête a été menée en anglais et traduite si nécessaire afin d'obtenir une perspective mondiale précise. Les répondants comprenaient non seulement des développeurs créant de nouvelles applications, mais aussi des responsables au sein de la communauté des développeurs.

Quelques découvertes remarquables

Un livre blanc détaillé explorant tous les aspects de l'enquête (les défis (et opportunités) pour améliorer la sécurité des logiciels) et un rapport (« L'état actuel de la sécurité pilotée par les développeurs », 2022) seront publiés le lundi 11 avril.Ce livre blanc présente une analyse des résultats de l'enquête et des préoccupations exprimées par la communauté concernant les pratiques de codage sécurisé, ainsi que des recommandations à l'intention des organisations pour aider les équipes de développement à améliorer la sécurité des logiciels.

Parmi ces défis, certains soulèvent des questions non seulement pour les personnes qui travaillent avec des développeurs au sein de leur propre organisation, mais également pour celles qui font partie de la communauté des développeurs. En effet, cela nous concernait également.

Par exemple, seuls 14 % des répondants ont cité la sécurité des applications comme leur priorité absolue pour aujourd'hui. Au contraire, les indicateurs plus traditionnels, tels que les performances des applications et la hiérarchisation des fonctionnalités, restent au centre des préoccupations générales.

La priorité accordée à la sécurité était très faible, 67 % des développeurs interrogés ayant déclaré laisser quotidiennement des vulnérabilités et des exploits connus dans leur code. Les raisons invoquées étaient les délais serrés, la priorité accordée aux fonctionnalités plutôt qu'à la sécurité, ou simplement le manque de formation et de connaissances nécessaires pour résoudre les problèmes de sécurité.

Dans de nombreux cas, les développeurs indiquent que leur organisation n'a pas défini les composants d'un code sécurisé et ne fournit pas la formation et le soutien appropriés pour changer la situation.

Cependant, malgré certains résultats négatifs, il était évident que les attitudes étaient en train de changer. La majorité des développeurs (66 %) s'attendaient à ce que la sécurité devienne une priorité au cours des 12 à 18 prochains mois. Parallèlement, 82 % des responsables du recrutement ayant répondu à l'enquête ont indiqué qu'ils étaient intéressés par le recrutement de développeurs ayant des connaissances en sécurité plutôt que de développeurs sans ces connaissances.

Les résultats de l'enquête indiquent clairement que la communauté des développeurs et les organisations avec lesquelles elle collabore sont confrontées à des changements importants. Heureusement, les plans à court et à long terme pour l'avenir prennent rapidement forme.

Nous vous invitons à consulter notre livre blanc et notre rapport détaillant les résultats de notre enquête sur les défis actuels liés aux pratiques de codage sécurisé, ainsi que les opportunités dont disposent les organisations pour améliorer les compétences des développeurs en matière de sécurité et, à terme, la sécurité des logiciels.

Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.

‍

Ces dernières années, de nombreux sacrifices ont été consentis afin de réduire les délais de mise sur le marché, notamment en matière de sécurité réseau, de données clients confidentielles représentant plusieurs téraoctets et de réputation précieuse des marques. Sous la forte pression d'accélérer la sortie de nouvelles fonctionnalités , des équipes complexes et dispersées se sont concentrées sur le développement rapide, sans vraiment prendre conscience des vulnérabilités et des risques considérables qui pouvaient en découler. Plus que jamais, de nouvelles méthodes de travail sont nécessaires. C'est pourquoiSecure Code Warrior associé à Evans Data Corp. en 2020 pour mener une enquête* sur l'attitude des développeurs et de leurs responsables à l'égard du codage sécurisé, des pratiques de codage sécurisé et des opérations de sécurité (télécharger le livre blanc). Voici).

Indicateurs de performance pour la réussite du projet — À quel niveau la sécurité est-elle appropriée ?

Les développeurs et les gestionnaires considèrent qu'il est important de disposer d'un code sécurisé, mais cela n'est pas aussi important que d'autres éléments. Lorsque nous avons interrogé les développeurs et les gestionnaires sur les priorités les plus importantes dans le processus de développement logiciel,

• 76 % des applications nominées ont été sélectionnées pour leur performance.
• 62 % ont sélectionné les caractéristiques et les fonctionnalités.
• Et un code sécurisé à plus de 50 % a été sélectionné.
  

En comparaison avec d'autres indicateurs de performance qui démontrent la réussite du projet, le codage sécurisé est actuellement classé au troisième rang.

À l'heure actuelle, et cela n'est sans doute pas surprenant, les développeurs évaluent la réussite d'un projet uniquement sur la base d'indicateurs de performance mesurant les performances du code une fois le projet terminé.

Cependant, lorsque l'on interroge les personnes interrogées sur la manière dont cela pourrait évoluer à l'avenir, la situation s'inverse. La manière dont les organisations perçoivent la sécurité comme indicateur de réussite est en train de changer. Le codage sécurisé devient une priorité absolue.

Interrogés sur la priorité la plus importante pour mesurer le succès des projets futurs, 79 % des personnes interrogées ont répondu que le codage sécurisé allait gagner en importance. Il est remarquable de constater qu'un nombre considérable de répondants ont déclaré que l'importance de la sécurité allait dépasser celle de tout autre indicateur de performance à l'avenir. La sensibilisation au codage sécurisé s'accroît etet le mouvement « shifting left » prend de l'ampleur. De par sa nature, la pratique du codage sécurisé implique de prendre en compte la sécurité à un stade très précoce du cycle de vie du développement logiciel (SDLC). En d'autres termes, il ne s'agit pas de reléguer la sécurité au second plan, mais de l'intégrer activement dès le début dans le logiciel tel qu'il est écrit.

À mesure que les DSI s'efforcent d'améliorer l'agilité de leur organisation, les compétences en matière de codage sécurisé deviendront un outil d'innovation essentiel. Les DSI et les RSSI doivent examiner attentivement si les équipes de développement sont en première ligne en matière de risques ou de défense.

Cette observation a un impact significatif sur la manière dont les organisations forment leurs développeurs. Les équipes doivent se familiariser avec les vulnérabilités récemment identifiées et les étudier dans chaque langage et chaque framework. En d'autres termes, elles doivent comprendre comment détecter, identifier et corriger les vulnérabilités connues dans le code au cours de leurs activités quotidiennes.

En tant que catalyseur du changement en matière de codage sécurisé, Secure Code Warrior adopte une approche humaine qui encourage activement les développeurs à acquérir et à développer des compétences en codage sécurisé. Si vous souhaitez découvrir comment cela peut aider votre équipe à coder plus rapidement et de manière plus sécurisée, sans compromettre la sécurité, n'hésitez pas à réserver une démonstration dès maintenant.

‍

Transition de la réponse à la prévention : le paysage de la sécurité des applications évolue. Secure Code Warrior et Evans Data Corporation 2020