Code de sécurité Insight

Bien que cela puisse sembler contre-intuitif pour toute personne travaillant en dehors du développement de logiciels, de nombreux professionnels employés dans la sécurité des applications au fil des ans ont travaillé dans ces rôles critiques avec peu ou pas d'expérience en programmation. Ces professionnels de l'AppSec font partie de l'équipe chargée de veiller à ce qu'aucune vulnérabilité ne se glisse dans les applications qui sont devenues l'élément vital de nombreuses industries et organisations, et pourtant, peu d'entre eux peuvent directement évaluer ou corriger le code eux-mêmes. 

Au lieu de venir d'une formation en codage, de nombreux professionnels de la sécurité abordent leur rôle du point de vue des connaissances clés sur les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Si tous les gourous de l'AppSec n'ont pas les mêmes compétences, la journée type de beaucoup d'entre eux consiste à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes de l'organisation ou aux cadres sectoriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs conclusions et renvoient des informations sur le vecteur d'attaque susceptible de casser le code. Il appartient alors aux développeurs d'apporter les corrections nécessaires, même si cela perturbe le travail en cours.

Si la situation a évolué de la sorte, c'est parce que la logique qui a prévalu au fil des ans était que le travail de protection des réseaux et des applications était si vaste qu'il n'était pas logique d'attendre de chaque personne travaillant dans le domaine de la cybersécurité qu'elle remplisse toutes les fonctions. Les compétences en matière de codage profond étaient laissées aux développeurs, et la capacité à écrire ou à modifier du code plus loin dans le pipeline de développement n'était guère valorisée.

Cet état d'esprit est en train de changer rapidement, et cela représente une opportunité unique pour les développeurs de faire le saut lucratif et de changer de carrière dans l'AppSec. Tous les développeurs ne voudront pas embrasser le soi-disant côté obscur, et beaucoup de développeurs n'ont pas d'opinion particulièrement positive sur les équipes AppSec. Mais pour ceux qui le souhaitent, il n'y a jamais eu de meilleur moment pour saisir cet anneau de laiton de plus en plus tentant.

DevSecOps est au cœur de presque tous les secteurs d'activité

L'un des facteurs les plus importants pour accroître la valeur des programmeurs et des développeurs sensibilisés à la sécurité dans toute organisation est l'adoption quasi universelle de pratiques de développement plus agiles comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée dans le développement d'un nouveau logiciel de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux pour tous, et c'est particulièrement vrai pour les ingénieurs qui comprennent aussi intrinsèquement la sécurité.

Un professionnel de l'AppSec qui comprend non seulement la cybersécurité à un haut niveau, mais aussi le code qui permet à tout de fonctionner, est intrinsèquement plus précieux pour une organisation que quelqu'un dont les connaissances sont concentrées sur la théorie. La capacité à découvrir et à évaluer rapidement les vulnérabilités trouvées dans le code, puis à atténuer ces problèmes, est au cœur de la raison pour laquelle DevSecOps connaît une telle popularité.

Les développeurs travaillant dans l'AppSec apportent également un autre avantage important à toute organisation qui les emploie. Comme ils viennent du côté du développement, il leur est facile de parler de sécurité et de vulnérabilités avec les développeurs. Il leur est également beaucoup plus facile de devenir des coachs pour les équipes de développement, en les aidant à devenir de meilleurs codeurs. Avec le temps, ils pourraient même être en mesure d'éliminer le stigmate du "côté obscur" de l'AppSec et d'aider à unifier les équipes de développement de logiciels au sein d'une organisation.

La pénurie de compétences en cybersécurité s'aggrave

Shakespeare a dit que c'est un vent mauvais qui ne fait de bien à personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.

La pénurie de personnel se fait sentir de manière aiguë presque partout. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Pour mieux comprendre cette crise, le rapport souligne que rien qu'aux États-Unis, il y aura plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité en 2020, alors qu'il n'y en a que 940 000 qui sont employés.

La pénurie de personnel dans le domaine de la cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais elle constitue une bonne opportunité pour les développeurs qui cherchent à se lancer dans l'AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et comme les postes en cybersécurité prennent en moyenne 21 % plus de temps à pourvoir ces jours-ci, les salaires augmentent dans tous les domaines.

Passer à l'AppSec

Il n'y a peut-être jamais eu de meilleur moment pour que les développeurs fassent le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs sensibilisés à la sécurité ne sont plus considérés comme un simple élément d'une méthode de sécurité palliative, mais remplissent au contraire un rôle à part entière et respecté de défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Ceux qui possèdent les bonnes compétences peuvent choisir où ils veulent travailler.

Le passage à l'AppSec n'est peut-être pas fait pour tout le monde, et bien sûr, la plupart des développeurs resteront concentrés sur la création de fonctionnalités étonnantes. Mais pour ceux qui envisagent de faire le saut, investir dans une formation en sécurité pour compléter leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, parce qu'ils comprennent profondément la technologie et ont de l'empathie pour les difficultés de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité, alors pourquoi ne pas profiter de la pénurie actuelle de compétences critiques pour faire évoluer votre carrière vers la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.

부채널 공격은 해커가 알고리즘의 이론적 약점이나 소프트웨어 코드의 버그가 아니라 소프트웨어 시스템의 물리적 구현에서 정보를 수집할 수 있는 경우입니다.

이를 더 명확하게 하기 위해 제가 사용하고 싶은 예는 사용자 이름을 열거하는 방법입니다.사용자 이름 열거가 무엇인지, 왜 나쁜지 알고 싶으시면 저희 웹사이트를 방문하셔서 비디오 설명 또는 챌린지 플레이하기 코드에서 식별할 수 있는지 확인하십시오.

이제 부채널 공격을 통해 사용자 이름을 열거하는 방법을 이해하려면 최신 웹 애플리케이션에서 비밀번호가 어떻게 처리되는지 (또는 적어도 처리해야 하는지) 어느 정도 이해해야 합니다.좋은 웹 애플리케이션은 사용자의 비밀번호를 모르기 때문에 어디에도 비밀번호를 저장하거나 저장하지 않습니다.그렇다면 입력한 내용이 정확한지, 실제로 암호인지 어떻게 알 수 있을까요?음, 비밀번호는 해시되어 있습니다.

해싱 함수는 한 방향으로 수행하기 쉽지만 (계산 비용이 다소 많이 들지만) 되돌리기는 매우 어려운 수학 연산입니다. 좋은 해싱 알고리즘의 경우 입력에 따라 출력이 고유합니다.웹 사이트에 등록하면 암호 자체가 아니라 해시가 안전하게 저장됩니다.즉, 로그인할 때마다 웹 애플리케이션은 입력 내용을 해시하고 해시된 결과를 저장된 해시와 비교합니다.에 대해 자세히 알아보려면 보안 암호 저장, 저희 플랫폼에서 하실 수 있습니다.

컴퓨터에서 해싱 입력은 시간이 오래 걸리며 개발자는 사용자가 원활한 경험을 할 수 있도록 항상 작성하는 모든 내용을 최적화하려고 합니다.프로그램 속도를 높이는 한 가지 방법은 필요하지 않을 때는 해싱을 건너뛰는 것입니다.예를 들어 사용자 이름이 존재하지 않아 비밀번호를 확인할 필요가 없는 경우 사용자에게 즉시 응답할 수 있습니다.이렇게 하면 암호를 해싱하는 느린 계산 과정을 건너뛸 수 있습니다.사용자 이름이 정확하면 암호 입력을 해시하고 저장된 해시와 비교합니다.

이 시점에서 문제가 발생할 수 있는 부분이 어디인지 짐작하셨을 것입니다.실제로는 해싱이 몇 밀리초밖에 걸리지 않지만 해커는 이렇게 추가된 지연 시간을 이용해 자신이 입력한 사용자 이름이 정확한지 아닌지를 알아낼 수 있습니다. 잘못된 사용자 이름은 해싱이 수행되지 않았기 때문에 응답 속도가 약간 빨라지기 때문입니다.이러한 유형의 부채널 공격을 타이밍 공격이라고 하는데, 이는 서로 다른 비기능적 요구 사항이 서로 어떻게 대응할 수 있는지를 보여주는 좋은 예입니다.때로는 코드의 속도와 보안을 동시에 유지할 수 없습니다.

따라서 암호가 완벽하게 처리되고 표시되는 메시지가 일반적이며 암호나 사용자 이름이 올바르지 않은지 여부를 알려주지 않더라도 시스템은 여전히 취약합니다.해결책은 간단합니다. 항상 암호를 해시하거나 해시하는 데 걸리는 시간만큼 답장 전송을 지연시키십시오.

공격자는 획득한 정보를 사용하여 시스템의 사용자 목록을 얻을 수 있습니다.이 정보는 무차별 대입 공격 또는 기본 사용자 이름/암호 공격 등을 통해 웹 애플리케이션을 공격하는 데 사용될 수 있습니다.

https://www.owasp.org/index.php/Testing_for_User_Enumeration_and_Guessable_User_Account_(OWASP-AT-002)

개발자 보안 기술의 중요성은 2022년 Gartner 소프트웨어 엔지니어링 분야의 쿨 벤더 (Cool Vendors) 에서 강조되었습니다. 여기에서 전체 보고서를 읽어보세요.

시큐어 코드 워리어는 네 가지 중 하나로 인정받았습니다. '소프트웨어 엔지니어링의 멋진 공급업체: 개발자 생산성 향상', 가트너 지음.Gartner에 따르면 “쿨 벤더의 정의는 혁신적이고 영향력이 있거나 흥미로운 기술 또는 서비스를 제공하는 소규모 회사”입니다.쿨 벤더의 세 가지 요소는 다음과 같습니다.

혁신적 — 사용자가 이전에는 할 수 없었던 작업을 수행할 수 있습니다.

영향력 있는 — 기술 자체뿐만 아니라 비즈니스에 영향을 미쳤거나 영향을 미칠 것입니다.

흥미롭다 — 지난 6개월 동안 Gartner의 관심을 끌었습니다.

보고서에 요약된 바와 같이, “소프트웨어 엔지니어는 복잡한 코드 환경을 탐색하고 생산성을 유지하면서 구축하는 시스템의 보안을 개선하는 데 어려움을 겪고 있습니다.이 멋진 공급업체는 소프트웨어 엔지니어링 리더가 개발자 생산성을 높이고 보안 위험을 완화하는 데 도움이 되는 혁신적인 솔루션을 제공합니다.”

상장 기업으로는 유일하게 개발자 중심 보안에 초점을 맞추고 있습니다. 이러한 표창은 개발자들이 올바른 보안 기술과 상황에 맞는 도구를 갖추고 기술을 빠르게 학습, 구축 및 적용하여 보안 코드를 빠르게 제공하여 소프트웨어 보안 개선을 위한 보안 코드를 빠르게 제공할 수 있도록 하는 당사의 전략에 대한 증거입니다.

좌익 전환의 장점은 한동안 찬사를 받았지만 많은 조직은 여전히 소프트웨어 개발 라이프사이클의 시작 단계에서 보안을 고려하기 위해 고군분투하고 있습니다.당사의 최근 '개발자 주도 보안 설문조사 현황' 보안 코딩 방식을 채택할 때 극복해야 할 가장 큰 장애물은 시간 부족이라고 강조했으며, 이는 최근 Gartner 보고서에도 반영되어 있습니다.숙련된 엔지니어가 크게 부족하고 방대하고 복잡한 코드 리포지토리와 오픈 소스 소프트웨어로 구성된 런타임 스택의 절반 이상이 결합되어 개발자들은 기존 코드를 유지 관리할 시간이 거의 없습니다. 보안을 보장해도 상관없습니다.

Secure Code Warrior의 솔루션은 소프트웨어 보안을 보장하는 동시에 생산성을 향상시켜야 할 필요성에 의해 주도됩니다.앞서 언급한 설문조사에서 보안 코딩 방식을 채택할 시간이 부족하다고 언급했음에도 응답자의 76% 는 보안 코딩에 대한 좋은 교육이 실제로 가능하다는 데 동의했습니다. 생산성 향상 보안 티켓이 적고 관리 작업이 재작업도 필요하죠.적절한 보안 기술과 도구를 갖추면 개발자 팀은 위험을 쉽게 완화하고 혁신적인 특징과 기능을 갖춘 안전하고 우수한 코드를 신속하게 출시할 수 있습니다.

Secure Code Warrior뿐만 아니라 보안 기술을 갖춘 개발자가 사이버 보안에서 수행할 수 있는 중요한 역할을 강조해 주신 Gartner에 감사드립니다.
‍

액세스 소프트웨어 엔지니어링 분야의 Gartner 우수 공급업체: 개발자 생산성 향상 지금 신고하세요.

‍

확장 마크업 언어 (XML) 는 컴퓨터에서 다루기 쉽고 사람이 읽을 수 있는 형식으로 문서를 인코딩하는 데 사용되는 마크업 언어입니다.그러나 일반적으로 사용되는 이 형식에는 여러 가지 보안 결함이 있습니다.이 첫 번째 XML 관련 블로그 게시물에서는 스키마를 사용하여 XML 문서를 안전하게 처리하는 기본 사항을 설명하겠습니다.

OWASP는 XML 및 XML 스키마와 관련된 여러 취약점을 두 범주로 나눕니다.

형식이 잘못된 XML 문서

형식이 잘못된 XML 문서는 W3C XML 사양을 따르지 않는 문서입니다.문서의 형식이 잘못되는 몇 가지 예로는 끝 태그를 제거하거나 다른 요소의 순서를 변경하거나 금지된 문자를 사용하는 경우가 있습니다.이러한 모든 오류로 인해 치명적인 오류가 발생할 수 있으므로 문서에 추가 처리를 거치지 않아야 합니다.

잘못된 문서로 인한 취약점을 피하려면 W3C 사양을 따르고 잘못된 문서를 처리하는 데 시간이 오래 걸리지 않는 잘 테스트된 XML 파서를 사용해야 합니다.

잘못된 XML 문서

잘못된 XML 문서의 형식은 올바르지만 예상치 못한 값이 포함되어 있습니다.여기서 공격자는 XML 스키마를 제대로 정의하지 않은 응용 프로그램을 이용하여 문서가 유효한지 여부를 식별할 수 있습니다.아래에서 제대로 검증하지 않을 경우 의도하지 않은 결과를 초래할 수 있는 문서의 간단한 예를 확인할 수 있습니다.

트랜잭션을 XML 데이터에 저장하는 웹 스토어:

<purchase></purchase>
<id>123</id>
<price>200</price>

그리고 사용자는 <id>값에 대한 제어만 할 수 있습니다.그러면 적절한 대응 수단이 없어도 공격자는 다음과 같은 내용을 입력할 수</id> 있습니다.

<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>

이 문서를 처리하는 파서가 <id>및 <price>태그의 첫 번째 인스턴스만 읽는 경우 원치 않는 결과가 발생할 수</price></id> 있습니다.

스키마가 충분히 제한적이지 않거나 다른 입력 유효성 검사가 불충분하여 음수, 특수 소수 (예: NaN 또는 Infinity) 또는 너무 큰 값을 예상하지 못한 위치에 입력하여 유사한 의도하지 않은 동작이 발생할 수도 있습니다.

잘못된 XML 문서와 관련된 취약점을 피하려면 정확하고 제한적인 XML 스키마를 정의하여 부적절한 데이터 검증 문제를 방지해야 합니다.

다음 블로그 포스트에서는 점보 페이로드와 OWASP Top Ten 넘버 4인 XXE와 같은 XML 문서에 대한 고급 공격에 대해 알아보겠습니다.

그 동안 XML 입력 검증에 대한 기술을 연마하거나 도전할 수 있습니다. 우리 포털에서.

XML 및 XML 스키마 사양에는 여러 보안 결함이 있습니다.이와 동시에 이러한 사양은 XML 응용 프로그램을 보호하는 데 필요한 도구를 제공합니다.XML 스키마를 사용하여 XML 문서의 보안을 정의하지만 이러한 스키마는 파일 검색, 서버 측 요청 위조, 포트 스캐닝 또는 무차별 대입 등 다양한 공격을 수행하는 데 사용될 수 있습니다.

https://www.owasp.org/index.php/XML_Security_Cheat_Sheet

이번 주에는 공식적으로 시큐어 코드 워리어 탄생 8주년을 기념합니다.한 편으로는 아폴로 11호 임무 길이의 350배에 달하며, 축구 경기 45,000경기, 즉 슈퍼 마리오 오디세이를 끝까지 5696회 플레이한 것과 같습니다.다른 한편으로는 자이언트 토터스 수명의 1/3에 불과합니다 (궁금하시다면 250년).고성장 스타트업의 세계에서는 수많은 우여곡절, 교훈, 성취의 여정을 의미하는데, 그 중 상당수는 우리가 처음 사업 계획을 세울 때는 상상도 할 수 없었던 것들입니다.

경기 침체, 군사 분쟁, 그리고 지금까지 경험한 가장 파괴적인 데이터 유출이라는 위협 사이에서 2022년은 저를 포함한 많은 사람들에게 가장 긍정적인 해가 아니었습니다.제가 지금이 결승선에 도달하기까지 한 걸음에 불과하다고 말한다면 솔직하지 않을 수도 있겠지만, 계속되는 세계적인 도전에 맞서 우리의 회복력에 자부심을 느낍니다.우리는 뛰어난 팀을 보유하고 있으며, 우리 각자는 개발자를 오랫동안 존재해 온 문제에 대한 혁신적이고 방어적인 접근 방식의 중심에 두어 엔터프라이즈 보안 프로그램의 성공을 이끌기 위해 최선을 다하고 있습니다. 우리는 우리만의 길을 개척하고 승리했습니다.우리가 지구상에서 유일하게 “게임화된” 사이버 보안 교육 옵션은 아닐 수도 있지만 한 가지 확실한 것은 우리의 비전, 끈기, 창립 팀을 가진 사람은 아무도 없다는 것입니다. 우리는 함께 많은 일을 해왔습니다.
‍

생일 기념일은 작년의 주요 사건을 반영하는 데 자주 사용됩니다. 하지만 이번에는 첫날 작은 사무실에 몰아넣었던 직원 6명을 그대로 유지하면서 이러한 성장을 이룬 것이 얼마나 특별한지 강조하고 싶습니다.

우리는 틈새 시장을 찾았고, 개발자들이 보안 분야에서 자신의 역할을 바라보는 방식을 변화시킬 것이라고 믿는 비전을 실행하기 위해 매일 협력하고 있습니다.큰 일이긴 하지만 우리는 우리의 뿌리와 유대감의 중요성을 잊지 않고 있습니다.

‍

아직 갈 길이 멉니다. 하지만 이 핵심 인력과 열정적이고 공감하며 헌신적인 사람들로 구성된 팀이 성장한다면 소프트웨어 개발 시 보안의 현상 유지를 바꿀 수 있을 것이라고 진심으로 믿습니다.

제가 왜 그렇게 자신감이 넘치는지 아세요?처음부터 우리는 다양성에 중점을 두었고 다양성을 팀의 강점의 기둥으로 여겼습니다.최고의 조직은 다양한 배경, 문화, 각계각층의 사람들의 공헌으로 구성됩니다.지난 한 해 동안 이 팀에 100명이 넘는 새로운 인력이 합류했습니다. 그 결국에는 우리를 성층권으로 이끌 수 있는 막강하고 재능 있는 인간 그룹이 탄생했습니다.

지난 3년 동안 배운 것이 있다면 예상치 못한 일을 예상하는 것입니다. 하지만 제가 믿을 수 있는 변함없는 것은 우리가 서로의 지원을 받아 느리지만 확실하게 소프트웨어를 더 안전하게 만드는 데 도움을 주고 있다는 것입니다.그리고 우리는 모험심을 잃지 않고 이 일을 해내고 있습니다.

우리는 최근에 소프트웨어 엔지니어인 디미트리 반더헤헤를 만났습니다. 지능형 마케팅 클라우드, 고도로 통합된 AI 기반 옴니채널 마케팅 자동화 플랫폼으로, 야심찬 B2C 마케터가 오늘날의 연결된 소비자와의 매 순간 상호 작용을 극대화할 수 있습니다.빠르게 변화하는 B2C 기술 회사인 Selligent에게는 규모를 확장하고 증가하는 시장 수요를 충족하는 것이 매우 중요합니다.이러한 요구를 충족하기 위해서는 사이버 보안, 그리고 가장 중요한 것은 개발자 주도의 보안 기술 프로그램에 중점을 두어야 한다는 것입니다.

비즈니스 확장에 사이버 보안이 중요한 이유는 무엇일까요?

비즈니스를 확장하려면 강력한 보안 전략을 회사의 최우선 과제로 삼아야 합니다. 그렇지 않으면 취약점에 노출될 수 있습니다.사이버 보안 공격은 39초마다 발생하며 공격 비용 비즈니스에 재정적으로 해를 끼치고 평판을 망칠 수 있습니다.다음 사항만 살펴보기만 하면 됩니다. 2017년 에퀴팩스 해킹 대표적인 예로 CEO가 사임하고 해킹이 그 이유라고 분명히 밝힌 경우를 예로 들 수 있습니다.

그러나 Dimitri가 설명하듯이 사이버 보안은 특히 개발자 커뮤니티 내에서 확장하기 위한 공동 책임이 되어야 합니다.

“엔지니어를 교육해야 하는 가장 중요한 이유는 확장성입니다. 거의 60명의 엔지니어가 작업하고 있는 대규모 제품을 보유하고 있기 때문입니다.보안에 신경 쓰지 않는 경우 모든 취약점 스캔은 보안 전문가에게 돌아갑니다.”

개발자 주도의 보안 문화를 조성하려면 어떻게 해야 할까요?

Dimitri와 Selligent 팀은 개발자 주도의 보안 문화를 깨뜨린 것 같지만, 우리의 최근 연구 보안을 조직 내 모든 사람의 책임으로 여기는 개발자는 15% 에 불과합니다.그렇다면 어떻게 해야 할까요? 왼쪽으로 시작 개발자 주도의 보안 문화를 만드시겠습니까?

디미트리는 Secure Code Warrior® 의 학습 플랫폼을 통해 개발자의 기술 향상을 위한 보안 인식이 향상되었다고 설명합니다.Dimitri는 플랫폼이 없었다면 보안 인식을 제고하는 데 어려움을 겪었을 것이라고 말합니다.따라서 개발자는 코드를 만들 때 보안을 가장 먼저 떠올립니다.

개발자 주도의 보안 문화를 조성하기 위한 또 다른 주요 측면은 교육을 관련성 있게 만드는 것입니다.당사의 최근 연구 또한 개발자의 40% 는 교육이 실습이 아니라고 말했고 30% 는 또한 관련이 없다고 답했습니다. Dimitri는 Secure Code Warrior® 토너먼트의 세분성과 실제 특성이 큰 차이를 만든다고 말합니다.플랫폼의 재미와 경쟁성 덕분에 개발자들의 참여도와 인지도 향상도 커집니다.

Dimitri가 지적한 것처럼, 인식하지 못하면 사이버 보안의 부담은 보안 전문가에게 돌아가게 되며, 이는 단순히 확장할 수 없습니다.이에 대한 해답은 비즈니스와 제품을 효과적으로 확장하여 보안으로부터 보호받는 것입니다. 소프트웨어 취약성 개발자 주도 보안 기술 프로그램을 통해 개발자 커뮤니티에 대한 관련성이 높은 상황별 교육에 집중함으로써 가능합니다.

‍
시큐어 코드 워리어는 조직에 바로 이러한 기능을 제공할 수 있습니다.데모에 관심이 있으세요?아래에서 예약하세요.

‍

Une série de vidéos gratuites en 12 semaines pour aider les développeurs à coder en toute sécurité avec l'IA

Les assistants de codage IA et les grands modèles de langage (LLM) transforment la manière dont les logiciels sont créés. Ils promettent rapidité, flexibilité et innovation, mais ils introduisent également de nouveaux risques de sécurité que les développeurs ne peuvent pas se permettre d'ignorer.

C'est pourquoi Secure Code Warrior lance une série de vidéos d'introduction à la sécurité de l'IA/LLM, gratuite et d'une durée de 12 semaines, sur YouTube. Chaque épisode court se concentre sur l'introduction d'un risque ou d'un concept de sécurité clé de l'IA/LLM que les développeurs doivent connaître pour adopter en toute sécurité le développement assisté par l'IA et éviter d'introduire des vulnérabilités dans leurs applications.

Regardez le premier épisode dès maintenant : Risques liés au codage de l'IA : Les dangers de l'utilisation des LLM

Ne manquez pas un épisode. Abonnez-vous sur YouTube. 

‍
Rejoignez notre communauté de développeurs et de responsables de la sécurité - inscrivez-vous ici pour recevoir les dernières vidéos, ressources et mises à jour directement dans votre boîte de réception. 

Pourquoi nous avons créé cette série

Le codage assisté par l'IA réécrit les règles du développement logiciel. Des outils tels que GitHub Copilot, Cursor et d'autres permettent aux développeurs de livrer du code plus rapidement que jamais - mais sans une solide compréhension de la sécurité de l'IA, les équipes risquent d'introduire des vulnérabilités cachées et des comportements incohérents que les tests traditionnels risquent de ne pas détecter.

Le développement sécurisé à l'ère de l'IA nécessite d'abord une prise de conscience. Cette série est conçue pour faire la part des choses et donner aux développeurs une introduction aux concepts de sécurité de l'IA/LLM afin qu'ils puissent innover en toute confiance sans compromettre la sécurité.

À quoi s'attendre

Pendant 12 semaines, nous explorerons les opportunités et les risques liés au développement assisté par l'IA :

• Les avantages et les dangers de l'utilisation de l'IA et des LLM dans le codage
• L'injection d'invites et la façon dont les entrées malveillantes manipulent les sorties de l'IA
• Divulgation d'informations sensibles et protection des secrets dans les flux de travail alimentés par l'IA
• Risques liés à la chaîne d'approvisionnement lorsque l'on s'appuie sur des modèles et des API de tiers
• Fuite de données du système, faiblesses du vecteur et vulnérabilités en matière d'extraction
• Défis émergents tels que la désinformation, l'excès d'agence et la consommation illimitée
• Et bien plus encore !

Vous voulez un seul endroit pour regarder ou rattraper votre retard ? Mettez notre centre vidéo dans vos favoris - nous le mettrons à jour avec les derniers épisodes et résumés.

Aller au Hub : Série vidéo sur la sécurité AI/LLM : Tous les épisodes, mis à jour chaque semaine.

Comment suivre

• Abonnez-vous sur YouTube pour recevoir chaque épisode au fur et à mesure de sa parution.
• Rejoignez notre communauté de développeurs et de responsables de la sécurité - inscrivez-vous ici pour recevoir les dernières vidéos, ressources et mises à jour directement dans votre boîte de réception.
• Ajoutez un signet au blog du carrefour vidéo pour accéder rapidement à chaque épisode
• Si vous souhaitez aller plus loin que ces leçons introductives, explorez la collection complète d'IA/LLM dans la plateforme Secure Code Warrior ou demandez une démonstration si vous n'êtes pas encore client.

Établir la norme pour un développement sécurisé assisté par l'IA

L'IA modifie rapidement la façon dont nous concevons les logiciels. Mais l'innovation sans sécurité n'est pas durable. Les développeurs ont besoin de conseils pratiques, axés sur le développement, pour comprendre les risques liés à l'IA et mettre en œuvre des habitudes de codage sécurisées et évolutives.

Cette série de vidéos gratuites fait partie de l'engagement de Secure Code Warriorà aider la communauté des développeurs à prospérer dans cette nouvelle ère. De nos règles de sécurité de l'IA accessibles au public sur GitHub à notre collection d'apprentissage AI/LLM en expansion, nous équipons les équipes avec les outils et les connaissances dont elles ont besoin pour innover en toute sécurité.

Les organisations comprennent que les principes de sécurité dès la conception ne peuvent être mis en œuvre avec succès que par le biais d'une sécurité axée sur les développeurs. Après tout, ce sont les développeurs qui conçoivent, construisent et, en fin de compte, mettent en œuvre le code qui alimente les logiciels d'une organisation. Il est absolument essentiel de veiller à ce que ces contributeurs inestimables aient les connaissances et les compétences nécessaires pour mettre en œuvre les meilleures pratiques en matière de sécurité du code. Cependant, le défi pour atteindre cet objectif consiste à aligner les connaissances et les compétences des développeurs en matière de codage sécurisé sur les langages de programmation qu'ils utilisent lorsqu'ils développent des logiciels. Ce n'est pas une tâche facile, même pour les organisations les plus matures.

Ce défi est encore compliqué par le volume et la diversité des langages de programmation utilisés dans la base de code d'une organisation, souvent à l'insu des équipes chargées de la sécurité. Alors, comment les RSSI, les responsables AppSec et les ingénieurs peuvent-ils s'assurer que le code produit et validé repose sur les connaissances et les compétences d'un développeur en matière de code sécurisé dans le langage de programmation spécifique à cette validation ?

Présentation de l'agent fiduciaire SCW

Secure Code Warrior a lancé SCW Trust Agent pour répondre à cette question difficile. SCW Trust Agent donne aux responsables de la sécurité la visibilité et le contrôle nécessaires pour mettre en place une sécurité axée sur les développeurs, en permettant aux développeurs et aux équipes de fournir du code plus rapidement tout en maintenant et en améliorant la sécurité de ce qui est engagé.

Comment fonctionne l'agent fiduciaire SCW ?

SCW Trust Agent détecte et se connecte à vos référentiels de code pour évaluer les métadonnées présentes dans chaque livraison de code. Il inspecte le développeur qui a effectué la validation, le langage ou le cadre utilisé, et l'heure exacte à laquelle le code a été validé. Il associe ensuite cette analyse aux données et aux connaissances de la Learning Platform SCW pour déterminer si le développeur possède des connaissances suffisantes en matière de sécurité dans ce langage de programmation spécifique. Sur la base de ces informations, il renvoie une note sur la santé de cette validation, en fonction de la politique définie par l'organisation. Ces politiques sont personnalisables et configurables, ce qui permet aux équipes de définir des directives et des exigences spécifiques pour les livraisons qui peuvent avoir un seuil plus ou moins élevé de connaissance du code sécurisé du développeur en fonction de la sensibilité globale de ce projet ou de ce référentiel.

Gouvernance et contrôle à un niveau supérieur

En s'appuyant sur cette visibilité puissante, Trust Agent offre une gouvernance intégrée à l'échelle grâce à ses capacités flexibles d'application de politiques. Cette fonctionnalité innovante permet aux organisations et aux équipes d'appliquer et de faire respecter de manière proactive leurs normes de codage sécurisé directement au niveau de la validation. Si un développeur tente de livrer du code dans un langage ou un cadre où ses compétences en matière de codage sécurisé ne répondent pas aux exigences prédéfinies d'une organisation, Trust Agent peut automatiquement déclencher une action configurable - enregistrer l'événement pour examen, émettre un avertissement direct ou même bloquer complètement la demande de téléchargement.

Ces règles adaptables peuvent être appliquées à n'importe quel dépôt basé sur Git, offrant ainsi un point de contrôle vital, en particulier pour les applications critiques ou celles soumises à des exigences de conformité strictes, telles que PCI-DSS 4.0 qui prescrit une formation à la sécurité spécifique à la langue dans l'exigence 6.2.2. En définissant précisément des niveaux de confiance basés sur l'appétit pour le risque d'une organisation, Trust Agent garantit que seul le code des développeurs ayant des compétences validées en matière de codage sécurisé entre dans leurs référentiels les plus importants, renforçant ainsi fondamentalement la posture de sécurité.

Optimiser le cycle de développement

Cette approche proactive permise par SCW Trust Agent améliore non seulement la posture de sécurité globale d'une organisation, mais conduit également à des optimisations dans le cycle de vie du développement. En s'assurant que les développeurs ont des connaissances et des compétences en matière de code sécurisé dans le langage qu'ils utilisent, on peut réduire considérablement le nombre de vulnérabilités introduites qui devront être identifiées et corrigées par la suite. La remédiation et le retravail ont tendance à faire perdre beaucoup de temps aux développeurs, interrompant leur flux de travail et ayant un impact sur leur vélocité. La réduction des vulnérabilités par une approche proactive minimise ces cycles de remédiation, ce qui permet aux équipes de développement de se concentrer sur la livraison de fonctionnalités à forte valeur ajoutée.

La sécurité pilotée par les développeurs

SCW Trust Agent offre aux entreprises les outils dont elles ont besoin pour développer leurs programmes de sécurité axés sur les développeurs. Les RSSI et les équipes Appsec ont la visibilité et le contrôle dont ils ont besoin pour appliquer une gouvernance appropriée, respecter et même dépasser les normes de conformité grâce à des informations détaillées sur la conception, l'application et le respect des politiques. Quant aux développeurs, ils sont en mesure de fournir plus rapidement un code sécurisé grâce à une formation spécifique aux langages qu'ils utilisent dans le code qu'ils fournissent.

SCW Trust Agent fonctionne avec n'importe quel outil de gestion de code source basé sur Git et la connexion de votre référentiel de code est facile avec de multiples options de connectivité, y compris sur site, basée sur le cloud, et le téléchargement manuel. Pour en savoir plus, visitez www.scwtrustagent.com ou contactez-nous, nous serions ravis de discuter de la manière dont nous pouvons aider votre organisation à renforcer sa posture de sécurité et à développer une sécurité axée sur les développeurs.

Note de l'éditeur : Cet article a été initialement publié par Kyle Riordan le 23 juillet 2024. Il a été mis à jour avec de nouvelles informations et recherches par Andrew Johnson, Sr. Product Marketing Manager chez Secure Code Warrior.

SCW 플랫폼의 최신 개선 사항인 SCW 신뢰 점수에 대한 대화를 계속하게 되어 기쁩니다.이 획기적인 기능은 5월에 공식적으로 출시되었으며, 이는 개발자와 조직에 보안 코드 작성에 필요한 도구를 제공하려는 당사의 사명이 크게 발전했음을 나타냅니다.

기본적으로 SCW Trust Score는 조직의 보안 태세와 보안 코딩 관행의 효율성에 대한 귀중한 통찰력을 제공합니다.SCW 신뢰 점수의 주요 장점과 이점을 살펴보겠습니다.

• 가시성: 성공을 위해 다양한 요소에 의존하는 학습 및 교육 프로그램을 통해 팀 전반에 걸쳐 다양한 기술과 역량이 나타납니다.동일한 보안 코드 프로그램을 사용함에도 불구하고 팀은 성과가 우수한 직원, 평균 성과자, 추가 지원이 필요한 사람을 아우르는 다양한 전문 지식을 제공하는 경우가 많습니다.SCW Trust Score는 Secure Code Warrior를 사용할 때 개별 개발자 보안 태세를 집계하여 조직에 보안 학습 프로그램의 효과를 데이터 기반으로 측정할 수 있게 합니다.
  
  
• 벤치마킹 지표: 조직에는 개발자 보안 상황의 종형 곡선을 정의하고 최적화할 영역을 정확히 찾아내어 보안에 대비하고 성과가 뛰어나며 생산성이 뛰어난 소프트웨어 팀을 구축할 수 있는 벤치마크가 필요합니다.SCW Trust Score를 통해 조직은 업계 벤치마크 및 모범 사례와 비교하여 보안 상태를 평가할 수 있습니다.이해 관계자들은 이 포괄적인 지표를 활용하여 강점 영역과 개선 기회를 매우 정확하게 식별할 수 있습니다.
  
  
• 데이터 기반: SCW Trust Score는 600개 이상의 기업과 250,000명의 개발자가 제공하는 2천만 개의 학습 데이터 포인트의 힘을 활용합니다.당사 알고리즘은 당사 플랫폼에서 완료한 모든 학습 활동을 분석하여 종합적인 점수를 산출합니다.이 점수는 학습 활동의 폭과 깊이, 활동 이해도, 학습 최신성, 직무 설명, 온보딩 라이프사이클, 교육을 받은 총 개발자 수와 같은 요소를 고려합니다.
  
  

최근 RSAC에서 고객, 파트너 및 업계 리더 모두로부터 상당한 관심을 끌었던 RSAC에서 기존 고객 및 잠재 고객과 지속적으로 대화를 이어온 것을 자랑스럽게 생각합니다.

주최할 예정임을 발표하게 되어 기쁩니다. 6월 12일 웨비나여기에서 당사의 최고 기술 책임자이자 공동 창립자인 Matias Madou가 SCW Trust Score와 실제 시나리오에서의 실제 적용에 대한 포괄적인 개요를 제공합니다.그곳에서 만나 뵙기를 기대합니다.

마지막으로 SCW Trust Score의 개발 및 개선에 기여한 고객 및 파트너 커뮤니티의 모든 구성원에게 감사의 마음을 전합니다.우리는 함께 조직 전반에 걸쳐 우수한 보안 태세가 어떤 모습인지 이해하기 위한 여정을 시작합니다.