Code de sécurité Insight

Pour adopter une approche proactive de la sécurisation de vos logiciels, vous devez rester à la pointe des dernières normes et exigences de conformité. Après tout, le paysage de la cybersécurité est constamment en mouvement avec de nouvelles menaces et vulnérabilités, en particulier avec l'émergence de nouvelles technologies. Cela n'a jamais été aussi vrai qu'aujourd'hui où nous nous trouvons collectivement à un point d'inflexion de l'IA où de nouvelles évolutions et de nouveaux cas d'utilisation semblent émerger chaque jour. 

Pour relever ces défis, la Fondation OWASP a récemment publié sa version mise à jour de l'OWASP Top 10 for Large Language Model (LLM) Applications, qui vise à informer les développeurs, les architectes et les autres contributeurs à la livraison de logiciels des risques potentiels lors du déploiement de LLM et d'applications d'IA générative. À l'adresse Secure Code Warrior , nous sommes ravis d'annoncer que les changements et les mises à jour de cette dernière version sont déjà mis en œuvre et disponibles dans notre code sécurisé learning platform. Grâce à ces documents nouvellement disponibles et mis à jour, tous nos utilisateurs peuvent rester à la pointe de l'atténuation des risques lors de l'utilisation des LLM.

Quelles sont les nouveautés de cette mise à jour ?

L'OWASP a supprimé deux éléments de son précédent Top 10 :

• Conception non sécurisée des plugins - qui concerne la manière dont les LLM interagissent avec les plugins et la manière dont les plugins interagissent avec le stockage ou les services externes. 
• Le vol de modèles: il s'agit de la reproduction ou de l'acquisition non autorisée de modèles d'apprentissage automatique ou de systèmes d'intelligence artificielle.

Conformément aux versions précédentes du Top 10 de l'OWASP, Secure Code Warrior avait des lignes directrices associées à ces vulnérabilités dans le cadre de notre cours LLM Top 10. Ces lignes directrices, qui fournissent des informations digestes sur les vulnérabilités et les concepts de sécurité dans un format facile à comprendre et à lire, ont depuis été retirées du programme du cours. Cependant, les lignes directrices restent disponibles dans Explore, avec tous les autres matériels d'apprentissage que nous avons à offrir. 

L'OWASP a ajouté deux nouveaux éléments à son Top 10, qui reste donc un Top 10 officiel :

• Fuite d'invites du système - lorsque des invites généralement cachées qui guident le comportement d'un modèle sont exposées aux utilisateurs.
• Vecteur et incorporation - qui peuvent exposer des informations spécifiques, exclusives ou en temps réel qui ne sont pas accessibles au public.

Les lignes directrices relatives à ces vulnérabilités ont été ajoutées au cours LLM Top 10 et, tout comme les lignes directrices qui ont été supprimées, elles sont également accessibles dans Explore pour les utilisateurs qui souhaitent bénéficier d'un apprentissage à leur rythme.

Enfin, l'OWASP a également apporté quelques modifications aux catégories de vulnérabilités existantes dans sa liste, en renommant certaines catégories pour les rendre plus larges ou plus spécifiques, et en modifiant leurs définitions. Nos lignes directrices relatives à ces sujets ont été mises à jour pour refléter les changements mineurs apportés par l'OWASP ainsi que les nouvelles conventions de dénomination. En outre, leur liste par ordre de priorité a été mise à jour pour correspondre à l'ordre établi dans le Top 10 du LLM de l'OWASP.

Sur Secure Code Warrior, nous nous engageons à aider nos utilisateurs à rester à la pointe de la technologie. Avec les dernières mises à jour de l'OWASP déjà reflétées dans notre site agile learning platform, nous avons facilité l'accès de nos utilisateurs à des supports de formation actualisés qui couvrent les vulnérabilités les plus récentes et réduisent les risques lors du déploiement des technologies LLM et Generative AI. Que vous naviguiez dans les menaces nouvellement introduites de la fuite de l'invite du système ou du vecteur et de l'intégration, ou que vous mettiez à jour votre compréhension de la désinformation et de la consommation illimitée, notre plateforme fournit les ressources dont vous avez besoin pour maîtriser ces concepts critiques qui améliorent votre posture de sécurité.

개발자의 67% 가 취약점이 있는 코드를 배송한다고 인정한다는 사실을 알고 계셨나요?건설 노동자로 구성된 팀이 집을 짓는 일을 맡았다고 상상해 보세요.필요한 자재와 도구는 모두 갖추고 있지만 설계도와 건축 법규를 따르는 데 어려움을 겪고 있습니다.그 결과 그들은 실수를 저지르고 있고 집은 코딩에 맞게 지어지지 않고 있습니다.

이 비유는 개발자가 보안 코딩을 연습하려고 할 때 직면하는 문제를 설명하는 데 사용할 수 있습니다.건설 노동자가 주택의 안전을 보장하기 위해 청사진과 건축 법규를 준수해야 하는 것처럼 개발자들도 소프트웨어 애플리케이션의 보안을 보장하기 위해 보안 코딩 관행을 따라야 합니다.

보안 코딩이 어려운 데에는 여러 가지 이유가 있습니다.여기에는 다음이 포함됩니다.

• 보안 코딩 관행에 대한 인식 부족. 개발자의 86% 는 보안 코딩을 연습하는 것이 어렵다고 말합니다.‍
• 시간과 자원이 부족합니다. 설문조사에서 24% 의 응답자가 '시간이 충분하지 않음'이 보안 코드 통합의 가장 큰 장애라고 답했습니다.‍
• 보안 코딩의 복잡성. 개발자의 63% 는 취약점이 없는 보안 코드 작성이 어렵다고 평가합니다.‍
• 도구에 대한 과도한 의존. 애플리케이션 보안 팀의 57% 가 DevSecOps 라이프사이클 동안 취약점을 발견하기 위해 6개 이상의 도구를 활용하고 있습니다.(깃랩, 2023년)

그러나 이러한 어려움에도 불구하고 보안 코딩은 필수적입니다.보안 코딩 관행을 따르면 개발자는 공격자가 악용할 수 있는 취약점으로부터 애플리케이션을 보호하는 데 도움을 줄 수 있습니다.잘 지은 집이 무너질 가능성이 적은 것처럼, 잘 코딩된 애플리케이션은 해킹을 당할 가능성이 적습니다.

다음은 보안 코딩 관행을 개선하려는 개발자를 위한 몇 가지 팁입니다.

• 보안 코딩에 대한 교육 및 교육을 받으십시오.개발자가 보안 코딩 관행에 대해 배우는 데 도움이 되는 다양한 리소스가 있습니다.
• 정적 분석 도구를 사용하여 코드의 취약점을 식별합니다.정적 분석 도구는 수동으로 찾기 어려울 수 있는 코드의 취약점을 식별하는 데 도움이 될 수 있습니다.
• 검토하고 이해하기 쉬운 코드를 작성하세요.검토하고 이해하기 쉬운 코드가 보안 코드일 가능성이 높습니다.
• 코드를 철저하게 테스트하세요.코드를 테스트하면 취약점이 악용되기 전에 취약점을 식별하고 수정할 수 있습니다.

더 자세히 알아보고 싶으신가요?당사를 통해 민첩한 보안 코딩 전략을 개발하는 비결을 알아보세요 보안 코드 학습 청사진.

‍

‍

‍

‍

Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.

Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.

Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes. 

Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?

Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.

La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité. 

Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques. 

Vos développeurs sont-ils prêts à fournir des logiciels conformes ?

Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel. 

Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :

• Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
  
  Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel.
  
  
• Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
  
  
• Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
  
  Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.

Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?  

Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes. 

La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.

Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.

‍

Secure Code Warrior에서는 개발자와 조직이 오늘날의 끊임없이 변화하는 보안 문제를 해결하는 데 적합한 기술을 갖추도록 돕기 위해 끊임없이 혁신하고 있습니다.우리는 참여도가 높고 유연하며 관리하기 쉬운 보안 코드 지원을 통해 이를 실현합니다.

누구나 기술 스택이나 추가 교육 프로그램에 투자할 때 좋은 투자 수익을 원합니다.하지만 보안과 관련해서는 긴 게임을 해야 합니다.개발자 주도 보안에 투자하면 비용이 많이 드는 보안 침해, 생산성 손실, 누적된 기술 부채의 위험을 완화할 수 있을 뿐만 아니라 오늘날의 위협 환경에 미리 대비하기 위한 사전 예방적이고 비용 효율적인 전략을 수립할 수 있습니다.

지난 분기, 시큐어 코어 워리어스는 코딩 랩을 통해 새로운 학습 방법을 구현했습니다. 코딩 랩은 이제 모든 시큐어 코드 워리어 고객이 이용할 수 있습니다.참여 관리 및 교육 과정 버전 관리에 대한 개선 사항을 발표하게 되어 매우 기쁩니다. 그리고 가이드라인과 같은 새로운 과정 활동을 만들었습니다!

Nous allons examiner cela de plus près.

Élargissement de la portée et approfondissement de la plateforme SCW

Secure Code Warrior s'enrichit continuellement de nouveaux contenus afin de maintenir ses modules pertinents, opportuns et personnalisés, en phase avec les connaissances indispensables dans le paysage actuel de la cybersécurité. Offrant une couverture et une profondeur inégalées dans le secteur, avec plus de 55 langues disponibles, il facilite la création et l'extension de programmes de formation des développeurs dans de nombreux langages et frameworks.

코스에서 사용할 수 있는 코딩 지침

가이드라인을 추가하면 개발자들은 주로 보안 완화를 다루는 상황에 맞는 자기 주도형 학습을 할 수 있습니다.가이드라인은 동영상보다 심층적이며 특정 언어나 프레임워크에 초점을 맞춥니다.챌린지, 미션, 워크스루와 같은 기타 공격 기반 활동에는 개발자가 이미 취약점을 이해하고 있어야 합니다.우리는 방어적 관점에서 이러한 활동을 보완하기 위한 가이드라인을 만들었습니다.

개발자는 코스에서 가이드라인을 읽고 관리자는 코스 템플릿에서 가이드라인을 사용할 수 있습니다.가이드라인은 OWASP Top 10 2021에 나열된 취약점을 다루며 C#, 자바, 자바스크립트, 파이썬, 의사코드 및 PHP로 작성된 코드 스니펫을 포함합니다.

새로운 챌린지 콘텐츠

Secure Code Warrior는 관련성이 높고 시기적절하며 조직의 요구 사항에 맞게 조정된 새로운 과제를 정기적으로 업데이트하고 생성합니다.다음 언어로 제공되는 확장된 챌린지를 발표하게 되어 기쁩니다.

• Dart: Flutter - 안드로이드 및 iOS에서 원활한 크로스 플랫폼 앱을 빌드하기 위한 모바일 언어
• 테라폼: GCP - Google 클라우드 제공자를 위한 코드 개발 언어로서의 인프라입니다.

개발자는 코드를 분석하고, 취약점을 찾고, 비판적 사고를 적용하여 나열된 취약점을 방지하는 데 가장 적합한 보안 구현을 선택할 수 있습니다.

곧 출시 예정: 새로운 프론트엔드 개발자 콘텐츠

프론트엔드 개발자에게도 안전한 코드 지원이 필요합니다!그래서 미션 앤 워크스루에서 프론트엔드 취약점을 추가로 공개할 예정입니다.또한 프론트엔드 개발자는 코스에서 프론트엔드 관련 미션에 액세스할 수 있습니다.

이러한 업데이트는 DOM 기반 XSS와 같은 일반적인 취약점부터 CSS Injection과 같이 자주 발생하지 않는 취약성에 이르기까지 프론트엔드별 취약성을 포괄적으로 다루기 위해 노력하고 있습니다.

단계별 안내는 프런트 엔드 개발자에게 취약점이 악용되는 방식에 대한 신뢰할 수 있는 지침을 제공합니다.또한 고급 개발자는 토너먼트의 프런트 엔드 미션에서 자신의 실력을 테스트할 수 있습니다.

Simplification de l'expérience des administrateurs et des développeurs

Grâce à l'amélioration significative de la convivialité de la plateforme, il est désormais plus facile que jamais de mettre en place un programme de formation au code sécurisé évolutif et hautement participatif.

‍

교육 과정 버전 관리, 보관 및 참여 관리

이제 기존 프로그램을 편집하는 새로운 방법을 통해 끊임없이 변화하는 조직 프로그램 요구 사항을 충족하세요.코스 버전 관리를 통해 관리자는 완전히 새로운 코스를 생성하지 않고도 기존 코스를 수정할 수 있습니다.또한 관리자는 개발자가 등록하지 않은 테스트 코스 또는 관련 없는 코스를 삭제할 수 있으므로 아카이브를 깔끔하게 정리할 수 있습니다.

또한 코스 관리 페이지에서 추가 필터를 적용할 수 있으므로 관리자는 작업하려는 코스로 필터링하기가 훨씬 쉬워집니다.코스 상태, 종료일, 등록한 팀과 같은 다양한 속성으로 코스를 필터링할 수 있습니다.예를 들어 관리자는 시간 제한이 있거나, 과정 종료 평가가 첨부되어 있거나, 강좌가 초안 또는 미리 보기 상태인 경우 모든 코스를 쉽게 찾을 수 있습니다.

관리자는 코스의 버전 관리 및 필터링 외에도 필요에 따라 코스 참가자를 일괄적으로 다시 초대하고 코스에서 제거할 수 있습니다.이를 통해 관리자는 “초대된” 상태로 개발자를 다시 초대할 수 있는 원클릭 솔루션을 제공하므로 플랫폼으로 돌아와 학습을 시작하도록 상기시키는 데 필요한 귀중한 시간과 에너지를 절약할 수 있습니다!

‍

이로써 이번 분기의 새로운 기능을 마무리할 수 있습니다!팔로우하기 트위터의 시큐어 코드 워리어 최신 릴리스 및 개선 사항에 대한 업데이트를 받을 수 있습니다.

시큐어 코드 워리어를 사용해 보고 싶지만 아직 계정이 없으신가요?에 가입하세요 무료 평가판 계정 오늘 시작하세요.

En cette occasion annuelle des plus festives pour les professionnels de la cybersécurité, le Mois national de la sensibilisation à la cybersécurité est un moment que de nombreuses entreprises utilisent pour réfléchir et évaluer le rythme général de la sensibilisation à la sécurité dans l'ensemble de l'organisation. Et comme 62 % des entreprises ont subi une attaque de phishing ou d'ingénierie sociale au cours de la seule année 2018, on ne saurait trop insister sur l'importance de veiller à ce que chaque personne de l'entreprise - qu'elle ait ou non un rôle à jouer en matière de sécurité - reçoive une formation adéquate en matière de sensibilisation à la cybersécurité.

En tant qu'événement de plus en plus mondial, ce mois représente un fourre-tout pour discuter des meilleures pratiques, et les initiatives sont délibérément superficielles. Cependant, même les organisations dotées de solides programmes de sécurité et de spécialistes internes peuvent mettre à profit cette période pour évaluer les équipes plus techniques afin de déterminer ce dont elles ont besoin pour devenir plus conscientes de la sécurité dans le contexte de leur rôle.

Pour les spécialistes AppSec, les chefs d'équipe de développement et les membres de la cohorte d'ingénieurs les plus sensibles à la sécurité, cela peut ressembler à apprendre à sucer des œufs, mais ce sont ces champions au sein de l'entreprise qui peuvent pousser la sécurité et la sûreté vers de nouveaux sommets, à l'échelle de toute l'entreprise.

Comment renforcer le mois de la sensibilisation à la cybersécurité ?

C'est une occasion en or pour l'équipe de sécurité de tendre un rameau d'olivier à l'équipe de développement, peut-être sous la forme d'activités et de programmes inter-équipes qui peuvent aider les développeurs à avoir une vision plus positive de la sécurité dans le contexte de leur travail.

Voici quelques idées pour donner le coup d'envoi :

1. Aidez les développeurs à obtenir le soutien dont ils ont besoin pour apprendre à coder en toute sécurité. Ne pas avoir les bons outils pour le travail est un excellent moyen de se sentir justifié de jeter une tâche dans le panier trop difficile. Si les développeurs n'ont pas la formation et les outils nécessaires pour considérer la sécurité comme une priorité dans le processus de codage, il n'est pas étonnant que tant d'équipes soient mal équipées pour éviter les vulnérabilités courantes dans leur code.
   
   Profitez de ce mois pour comprendre ce qui manque dans la pile technologique de développement, quels managers peuvent travailler ensemble pour améliorer la communication et accroître la visibilité de la sécurité, et qui peut continuer à défendre la sécurité et à en être le champion à l'avenir.
   
2. Accueillez un événement de type "déjeuner et apprentissage". Les communautés de la cybersécurité et du développement regorgent en général de personnes incroyablement généreuses qui ne demandent qu'à partager leur expertise. Contactez des conférenciers, des collègues techniciens d'autres entreprises, ou même des sections locales de l'OWASP, et voyez qui pourrait venir discuter avec l'équipe, ou enregistrer un webinaire avec quelqu'un de l'organisation. C'est un gain relativement rapide, et cela peut être un énorme avantage pour les développeurs en herbe de voir les différents parcours de carrière en sécurité qui s'offrent à eux.
   
3. Rassemblez-vous pour une compétition amicale. L'apprentissage de la sécurité est beaucoup plus amusant lorsque vous faites quelque chose d'un peu différent et spécial. Secure coding tournaments est un excellent moyen d'amener les développeurs à tester leurs compétences en matière de codage sécurisé et à se mesurer à leurs pairs dans un environnement ludique. Mettez en place un thème de déguisement et soyez créatif avec les équipes (pourquoi pas les développeurs contre leurs managers ?). Commandez des pizzas, des boissons, de la musique énergique, et ce sera un événement inoubliable pour toute l'organisation.

Rendre à la communauté ce qu'elle a reçu : Téléchargez votre application gratuite Secure Code Bootcamp

Je suis moi-même développeur et j'ai toujours cherché ce que nous pouvions partager et utiliser gratuitement. C'est une fierté de créer des logiciels gratuits qui peuvent aider les autres, et ce mois-ci est un bon moment pour réfléchir à nos racines et à ce que nous pouvons apporter à la communauté.

C'est pourquoi nous avons le plaisir de vous annoncer notre nouvelle application gratuite, Secure Code Bootcamp. Il s'agit d'un compagnon de codage sécurisé de poche pour les codeurs qui veulent se mettre au défi, en renforçant progressivement leur sensibilisation à la sécurité, n'importe où et n'importe quand.

Téléchargez l'application pour iOS et Android dès maintenant, et apprenez à localiser et à identifier les vulnérabilités OWASP dans Node.JS, Python:Django, Java:Spring, C# .NET : MVC :

Ce n'est un secret pour personne que notre mission principale est de rendre les logiciels et leur développement sûrs ; conçus avec la sécurité à l'esprit dès le début de la production. Notre vision établit une nouvelle référence pour la création de logiciels, où les développeurs ont les compétences et les connaissances nécessaires pour détecter le code vulnérable pendant le processus d'écriture et le corriger avant même qu'il ne devienne un problème.

Dans cette optique, vous pensez peut-être que nous sommes ravis d'entendre parler de nouvelles violations de données, de cyberattaques et de codes exploités qui touchent des entreprises du monde entier - ces incidents mettent certainement en évidence la nécessité de nos services dans de nombreux secteurs. En réalité, c'est assez frustrant. Il est clair qu'en tant qu'industrie, nous commettons sans cesse les mêmes erreurs, parce que la plupart des formations à la sécurité ne sont tout simplement pas assez solides pour minimiser les risques et mettre fin à ces violations.

La dernière victime d'une violation de données est Ticketmaster. Si vous faites partie des milliers de clients concernés, vous avez reçu un courriel vous informant de l'incident et vous invitant à modifier votre mot de passe. Personne ne s'attend à ce que ses données personnelles soient violées simplement pour avoir acheté des billets pour un concert ou un événement sportif, et pourtant nous y sommes.

C'est une situation terrible pour tout le monde, qui porte atteinte à la réputation de Ticketmaster et qui constitue une expérience tout à fait déplorable pour les clients. Mais il y a un problème : ce n'est pas entièrement de leur faute.

En effet, la société utilisait les services d'une application tierce d'assistance à la clientèle d'Inbenta Technologies. Ticketmaster UK a découvert que le produit contenait un code malveillant, ce qui a entraîné la compromission de 5 % des données de ses clients dans le monde.

Comment les pirates ont-ils réussi à exploiter ce système ? Ils ont manipulé une seule ligne de code JavaScript, personnalisée par Inbenta Technologies pour les besoins de Ticketmaster. Selon Inbenta, le code a été utilisé sur une page pour laquelle il n'a pas été conçu et, s'ils l'avaient su, ils auraient identifié une faille de sécurité.

La vulnérabilité elle-même est essentiellement un problème de sécurité de la bibliothèque de téléchargement/stockage de fichiers, dans laquelle une seule violation peut affecter tous les sites sur lesquels le même code est chargé. Le code peut être modifié pour collecter et réacheminer des données personnelles vers les attaquants, pour commencer. Il s'agit d'un exploit simple, mais dont les dommages potentiels sont considérables, et contre lequel nous nous efforçons de nous défendre au moyen d'une série d'exercices de formation sur la plateforme destinés aux développeurs.

Bien entendu, il est pratiquement impossible de gérer une entreprise sans s'appuyer sur des applications tierces. Cependant, vous n'avez aucun contrôle sur la manière dont ils conçoivent leurs logiciels et vous n'avez pratiquement aucune visibilité sur la sécurité de leur code. Cela devient un exercice de confiance. Si votre partenaire tiers fait preuve de laxisme dans ses pratiques de codage sécurisé, vous risquez d'ouvrir la porte à une brèche dans votre entreprise.

Quelle est donc la solution ? Pour faire simple : nous devons tous faire mieux. Nous devons cesser de considérer la sécurité comme un obstacle irritant sur le chemin de l'innovation de l'entreprise.

Il est plus facile que vous ne le pensez de donner à votre équipe de développeurs les bons outils et les bonnes connaissances pour adopter la sécurité et arrêter le mauvais code dans son élan. Nous avons été ravis de voir un grand nombre de sociétés financières, de télécommunications, de vente au détail et de technologie parmi les plus grandes et les plus connues au monde adopter cette nouvelle approche, mais il ne devrait pas être du seul ressort des sociétés Fortune 100 de prendre des mesures en matière d'éducation à la sécurité. Toutes les entreprises qui comptent des développeurs parmi leur personnel doivent mettre en place des formations pour aider les équipes à coder en toute sécurité.

Le livre blanc que j'ai récemment publié en collaboration avec notre directeur technique, Matias Madou, présente les avantages de la création d'une culture de la sécurité au sein de votre organisation. Nous expliquons en détail pourquoi c'est la clé pour débloquer l'innovation, rester agile et réduire l'impact financier d'un code non sécurisé.

Vous y trouverez notamment des conseils :

* Comment rendre la formation à la sécurité pertinente et attrayante pour les développeurs ?

* Comment apprendre aux développeurs à identifier et à résoudre leurs propres problèmes ?

* Comment aider les développeurs à construire leur propre code en toute sécurité.

Je vous invite à télécharger cette ressource et à l'utiliser pour promouvoir la sécurité dans votre organisation, renforcer les compétences de votre équipe et être à l'avant-garde de la mise en place d'une norme de code plus élevée.

Il faut cesser de considérer la sécurité comme un obstacle irritant sur le chemin de l'innovation des entreprises.

Si je vous demandais combien coûterait la modification d'une seule ligne de code informatique dans un appareil déjà en service, quel chiffre vous viendrait à l'esprit ? Quelques centaines de dollars ? Peut-être des milliers ?

Selon Aviation Today, la mise à jour d'une ligne de code dans les avions d'une compagnie aérienne coûte un million de dollars. Pour un coût aussi important, il faudrait sans doute une raison impérieuse pour prendre les mesures nécessaires à la mise à jour des systèmes de l'avion, ce qui m'a fait réfléchir à un certain nombre de facteurs.

Ventiler les coûts

Bien que l'article ne précise pas ce qui compose le coût d'un million de dollars, je pense qu'il s'agit d'un chiffre viable. Je ne suis pas un spécialiste des mises à jour des logiciels des compagnies aériennes, mais je peux supposer certaines des mesures que la compagnie aérienne est obligée de prendre dans cette situation.

Tout d'abord, la compagnie aérienne doit découvrir une faille ou une vulnérabilité qui nécessite la mise à jour. L'exemple cité est celui d'une recherche effectuée par le ministère américain de la sécurité intérieure (DHS) sur un Boeing 757. Les résultats - un piratage à distance après seulement deux jours de travail - sont suffisamment convaincants pour qu'une compagnie aérienne en prenne note.

À partir de là, les développeurs de logiciels doivent analyser les résultats, écrire un nouveau code et le tester dans un environnement sûr pour s'assurer que le problème est résolu. C'est maintenant que vient la partie la plus délicate. La compagnie aérienne doit clouer au sol chaque avion vulnérable ou défectueux, appliquer le nouveau code, le tester pour s'assurer qu'il fonctionne avec cet avion spécifique, puis recertifier l'avion pour les vols commerciaux.

Selon airfleets.net, la flotte de Southwest Airlines compte actuellement 499 Boeing 737-700. Pensez à l'investissement en temps et en argent qu'impliquerait l'apparition d'une faille de sécurité dans ce modèle d'avion particulier.

Pas seulement un défi pour les compagnies aériennes

Il est clair que les compagnies aériennes devraient avoir tout intérêt à utiliser des principes de codage sécurisés dès le départ. Après y avoir réfléchi quelques instants, je me suis rendu compte qu'il existait de nombreuses industries et situations où un coût similaire pouvait s'appliquer. Au lieu de s'inquiéter des avions qui tombent du ciel à cause d'une vulnérabilité piratée, qu'en est-il des appareils médicaux tels que les stimulateurs cardiaques? Combien coûte le rappel et la mise à jour d'un demi-million de pièces électroniques qui sauvent des vies ?

Dans l'industrie automobile, nous continuons d'entendre parler des voitures autonomes et des problèmes de sécurité qu'elles posent. Pourtant, même nos véhicules "typiques" dépendent plus que jamais de la connectivité à l'internet, ce qui soulève directement des questions de sécurité troublantes - bien que divertissantes.

C'est un fait simple qu'il est beaucoup plus coûteux et qu'il faut plus d'efforts et de temps pour mettre à jour des appareils ou des systèmes après qu'ils ont été mis en production, ou avant qu'ils aient été produits en masse, que d'intégrer la sécurité dans votre processus de développement initial. Pourtant, nous continuons à voir chaque jour de nouvelles failles logicielles évitables et des vulnérabilités en matière de cybersécurité, ce qui souligne la nécessité pour les entreprises de chercher des moyens d'intégrer le développement de logiciels sécurisés dans leur culture de développement.

La modification d'une ligne de code sur un équipement avionique coûte un million de dollars et sa mise en œuvre prend un an. Pour Southwest Airlines, dont la flotte est basée sur le 737 de Boeing, une vulnérabilité cybernétique spécifique aux systèmes embarqués à bord des 737 les mettrait en "faillite".

‍

이번 달 초에 저는 참석할 기회가 있었습니다 OWASP 앱섹 데이 2019 아름다운 멜버른에서개발자 중심의 이러한 이벤트는 일정에서 제가 가장 좋아하는 행사 중 하나입니다. 소프트웨어 엔지니어와 전문가를 교육하고 역량을 강화하여 업무의 보안을 옹호하기 위해 끊임없이 노력하는 커뮤니티를 겸손하게 상기시켜줍니다.

게스트 라인업은 놀라울 정도로 다양하다는 것은 말할 것도 없고, 놀라울 정도로 다양했습니다. 업계에서 몇 년을 보낸 후에도 저도 영감을 받을 수 있다는 것이 정말 좋은 느낌입니다.다음과 같은 타냐 얀카, 토니 제임스 과 테리 라디첼 놀라운 프레젠테이션을 제공하면서 와이어구울“Eldar Marcussen Eldar는 현장 보안 코딩 과제에 대해 강당 전체를 테스트했지만 참석자들 사이에서 보안 의식이 깊어지는 것을 목격할 수 있어서 정말 좋았습니다.

올해 시큐어 코드 워리어는 이 행사의 플래티넘 스폰서였습니다.불과 4년 전만 해도 OWASP AppSec Day를 만든 팀이 무료 부스와 프로모션을 통해 부트스트랩 스타트업을 도왔다는 사실을 떠올리며 미소를 지을 수밖에 없었습니다.회사로서 우리가 얼마나 발전했는지 보는 것은 자랑스러운 순간이었고, 놀라운 사람들로 구성된 관대한 커뮤니티가 존재한다는 것에 감사할 수 있는 시간이었습니다.

토니 제임스: 개발자 관점에서의 보안

이 세상에서 우리가 더 키워야 할 것이 하나 있다면 바로 공감입니다.소프트웨어를 전반적으로 더 안전하게 만들기 위해서는 개발자가 처한 곤경을 이해하는 것이 필수적입니다.

Toni의 프레젠테이션이 정말 즐거웠고, 모든 개발자들이 즉시 공감할 수 있었을 거라고 확신합니다.이 이야기에는 단순히 “보안 코드 작성” 외에도 훨씬 더 많은 내용이 담겨 있습니다. 보안 교육을 효과적으로 받은 개발자들이 취약점을 퇴치할 수 있는 가장 좋은 기회라고 생각하긴 하지만, 그들이 매일 겪는 어려움을 반드시 고려해야 합니다.

소프트웨어 개발자의 작업은 수백만 명의 사용자에게 전시될 수 있고, 중요한 인프라를 지원하며, 우리가 당연하게 여기는 서비스의 원동력이 될 수 있습니다.기능 구축, 비즈니스 혁신 실행, 간결한 납품 기한 준수 등은 엄청난 압박을 가중시킵니다. 이는 AppSec 팀이 대규모로 자리를 잡고 각자의 힘든 일을 골라내기 전입니다.Toni는 이러한 환경에서의 삶이 어떠한지, 그리고 모든 측면에서 충분한 공감이 얼마나 더 나은 프로세스와 보안 결과로 이어질 수 있는지에 대해 이야기했습니다.개발자와 AppSec 팀 간의 격차를 해소하기 위해 이렇게 건강한 진전이 이뤄지는 것을 보게 되어 매우 기쁩니다. 결국 이는 긍정적이고 번성하는 보안 문화의 중요한 요소이며, Toni는 이러한 프로세스가 놀라울 정도로 잘 작동하는 대표적인 예입니다.

타냐 얀카와 테리 라디첼: 보안 슈퍼히어로

대회라는 것은 아니지만, 타냐 얀카와 테리 라디첼이 컨퍼런스에 기여한 것 중 하나는 제가 가장 좋아하는 것 중 하나였습니다.DIY 클라우드 보안 평가에 대한 튜토리얼을 시작한 지 10분 만에 놀라울 정도로 폭넓은 경험, 자격 및 전문성을 드러냈을 뿐만 아니라 지식을 공유하고 개발자 커뮤니티를 지원하려는 진정한 따뜻함과 열망도 드러났습니다.이들은 함께 보안 정책 설정 및 최소 권한 조치에 대한 실질적인 조언을 포함하여 Azure 구현의 보안을 보장하기 위한 현실적이고 실행 가능한 조치를 제시했습니다.

Google에서 빠르게 검색하면 소프트웨어 보안의 재미있고 매력적인 측면을 홍보할 수 있는 풍부한 무료 리소스, 멘토링 기회, 인터뷰를 통해 풀뿌리 차원에서 개발자를 지원하기 위한 노력에 대해 알아야 할 모든 것을 알 수 있습니다.그들은 우리 커뮤니티에서 영감을 주고 중요한 역할을 하는 챔피언입니다. 여러분이 참석하는 다음 보안 컨퍼런스에서 그들이 연설을 한다면 그들의 세션을 놓치게 되면 화가 날 것입니다.

큰 무대에 선 고객들

많은 고객이 참석했을 뿐만 아니라 무대를 소유하고 청중과 엄청난 보안 지식을 공유하는 모습을 볼 수 있어서 정말 기뻤습니다.

우리는 그럭저럭 잡을 수 있었습니다. 텔스트라앤드류 베일리가 “DevOps에 “섹션 추가”라는 중요한 강연을 하고 있습니다.선임 소프트웨어 엔지니어로 일한 풍부한 경험을 바탕으로 현재는 애플리케이션 보안 및 보안 코딩에 초점을 맞추고 있다는 점은 강조할 만한 훌륭한 관점이었습니다.그는 SDLC의 모든 단계에 보안을 주입하는 방법에 대한 포괄적인 팁을 제공했습니다 (물론 처음부터 보안 코딩에 대해 더 많은 개발자를 교육하는 것도 포함됨).

켄 존슨은 의 일원입니다 깃허브의 보안 팀, 그리고 컨퍼런스가 끝날 무렵 그가 전문가 패널에 합류하는 것을 보게 되어 기뻤습니다.그는 다른 패널들과 함께 미디어에서 마땅히 받아야 할 관심을 받지 못하는 사람들을 포함하여 청중의 긴급한 질문에 너무 기쁜 마음으로 대답했습니다.그는 패널로 하여금 여러 업계 인사이트와 함께 개발자 번아웃의 시대에 매우 중요한 웰빙과 일과 삶의 균형의 중요성에 대해 이야기하도록 했습니다.

또 다른 멋진 컨퍼런스에 대해 줄리안 버턴과 OWASP 멜버른 팀 전체에게 큰 감사를 표하고 싶습니다.내년에 만나요 (스티커 추가 포함).

저는 최근에 인터뷰를 받았습니다. 실버 불릿 팟캐스트Gary McGraw가 주최한 이 자리에서는 학술 연구에 비해 산업이 갖는 이점, 유럽에서 사업을 시작하는 것이 쉬운 이유, 애플리케이션 보안 산업이 미래에 나아갈 방향에 대해 논의했습니다.

창업을 하려는 의도는 전혀 없었지만, 같은 문제로 어려움을 겪고 있는 회사가 너무 많아서 창업하게 되었습니다. 보안 코드를 작성하는 것은 대부분의 개발자에게 어려운 일입니다.업계 전체가 코드의 보안 문제를 찾는 데 집중하고 있는데, 이런 문제들은 계속 쌓여가고 있습니다.

발견된 문제를 해결하는 데 어려움을 겪는 조직과 개발 팀을 효율적으로 돕는 데 초점을 맞춘 솔루션은 거의 없으며, 코드에 더 많은 문제가 유입되는 것을 방지하는 데에는 더더욱 초점을 맞추고 있습니다.점점 더 많은 조직에서 이러한 악순환을 인식하고 있으며 개발 팀은 처음부터 보안 코드 작성에 대한 교육을 받아야 하며 이를 가능하게 하는 도구와 프로세스를 갖추어야 한다는 사실을 깨닫고 있습니다.

Gary McGraw와 제가 이 업계의 발전을 어떻게 보고 있는지 더 알고 싶다면 다음 사이트를 확인해 보세요. 실버 불릿 팟캐스트!

쇼 139: Matias Madou가 보안 개발 교육 및 소프트웨어 보안 테스트 연구에 대해 이야기합니다.

https://www.synopsys.com/software-integrity/resources/podcasts/show-139.html