Code de sécurité Insight

Chez Secure Code Warrior, nous innovons constamment afin d'améliorer l'expérience client et d'ajouter de la valeur à notre plateforme.

Ce mois-ci, une nouvelle mise à jour a été publiée pour l'environnement du gestionnaire de cours, permettant de réduire les temps d'attente et d'utiliser à l'avance de nouvelles fonctionnalités, ainsi que pour le contenu SAP:ABAP.

Les administrateurs peuvent désormais gérer plus facilement les cours dans l'interface utilisateur grâce à un affichage sous forme de tableau performant qui permet d'effectuer des opérations groupées sur plusieurs langues et catégories de vulnérabilités. De plus, une nouvelle fonctionnalité est désormais disponible en avant-première via un simple bouton d'activation/désactivation.

Nous allons examiner cela de plus près.

Grâce à un nouvel environnement de création de cours, il est désormais plus facile de créer et de gérer des cours.

Il est désormais possible de concevoir et de déployer facilement des cours couvrant plusieurs parcours d'apprentissage et plusieurs langues grâce à des opérations en masse. Plutôt que de consacrer du temps à répéter des processus, il est possible de se concentrer davantage sur le contenu et la stratégie afin de permettre aux développeurs d'apprendre plus efficacement.

Les administrateurs de l'entreprise peuvent désormais utiliser la mise à jour du flux de création de cours.

Gagnez du temps dans la conception de vos cours grâce à un environnement puissant d'affichage et de recherche sous forme de tableaux.

Il est désormais possible d'accéder aux informations relatives aux cours de formation pour toutes les langues et toutes les catégories de vulnérabilités à partir d'une seule vue, ce qui facilite et accélère la création de cours pour plusieurs équipes de développement.

Grâce au nouveau format de tableau, vous pouvez facilement consulter l'aperçu du contenu d'un seul coup d'œil ou examiner les détails de manière approfondie. Le contenu du cours est désormais regroupé par langue et par catégorie de vulnérabilité, ce qui facilite la navigation et permet d'accéder à des informations supplémentaires telles que le type d'activité et le niveau de difficulté de chaque groupe.

Vous pouvez également utiliser la fonction de recherche ou appliquer des filtres pour affiner votre recherche en fonction des détails qui vous intéressent. De plus, vous pouvez exporter les données du tableau vers d'autres applications ou exporter l'ensemble des lignes ou les lignes filtrées vers un fichier CSV pour une analyse plus approfondie.

‍

Réalisez davantage de tâches en moins de clics grâce au traitement en masse.

Au lieu d'appliquer les modifications à toutes les langues, vous pouvez modifier les cours de manière groupée à partir d'un seul endroit. Grâce aux opérations groupées, les administrateurs peuvent gagner du temps et se concentrer sur des tâches importantes, à savoir la conception d'une expérience de cours adaptée aux développeurs.

Les nouvelles tâches en masse comprennent les éléments suivants :

• Ajout de points forts au programme de formation (par exemple, le Top 10 de l'OWASP ou les catégories de vulnérabilités spécifiques à tous les langages)
• Veuillez ajouter une langue au cours et mettre à jour rapidement le contenu.
• Copier, verrouiller ou déverrouiller le module d'une ligne sélectionnée ou de toutes les lignes
• Suppression d'une langue ou d'un module dans le cours
• Configurer simultanément les messages d'accueil et de fin pour toutes les langues

‍

Évaluation de fin de programme

Il est désormais possible d'ajuster l'évaluation de fin de formation en fonction de chaque langue et de la gérer à partir d'une vue unique.

Il est possible de créer facilement des parcours d'évaluation personnalisés en fonction de la langue et du type de cours, afin de mesurer et d'évaluer les compétences acquises à la fin de la formation.

Découvrez en avant-première les nouvelles fonctionnalités.

‍

Auparavant, pour connaître les nouvelles fonctionnalités disponibles et les tester avant leur lancement officiel, il était nécessaire de contacter le responsable de la réussite client et d'attendre que notre équipe active ces fonctionnalités.

Désormais, dans l'onglet Gestion, vous pouvez contrôler quand et quelles fonctionnalités activer pour votre équipe à l'aide d'un simple bouton. Il n'est plus nécessaire d'attendre.

Déplacement simple Gestion > En savoir plus > Accès anticipé Afin de procéder à des essais.

Cette fonctionnalité sera utilisée pour des fonctionnalités plus avancées, en particulier celles qui impliquent des changements significatifs dans l'expérience utilisateur, ce qui permettra un meilleur contrôle de l'environnement.

Souhaitez-vous connaître les fonctionnalités disponibles en accès anticipé ? Veuillez consulter les différentes options actuellement proposées.

Amélioration de la page d'accueil: une expérience plus cohérente

Mise à jour du programme de formation :

1. Mode aperçu
2. Tâches en masse sur le contenu du cours
3. Message de bienvenue mondial
4. Amélioration des activités à la fin du programme éducatif

Les administrateurs de l'entreprise peuvent actuellement utiliser l'option d'accès anticipé.

Protection des applications ABAP grâce à un nouveau contenu de formation

Les développeurs qui codent en ABAP peuvent désormais participer à une formation sur le codage sécurisé, à la fois intéressante et pertinente. Cette nouvelle formation aidera les développeurs à améliorer leurs compétences en matière de codage sécurisé et à réduire les vulnérabilités du code ABAP.

Secure Code Warrior propose des défis Secure Code Warrior et des missions (exercices pratiques) qui permettent d'aborder les thèmes suivants.

1. Une formation autodidacte accessible aux développeurs lorsque cela est nécessaire.
2. Parcours d'apprentissage personnalisé adapté à la conformité réglementaire, au cadre de sécurité ou au niveau de compétence des développeurs.
3. Concours de programmation informatique
4. Évaluation des compétences en matière de codage sécurisé

Pour plus d'informations sur le contenu de la formation ABAP, veuillez consulter cette page.

------

Vous souhaitez essayer Secure Code Warrior, mais vous n'avez pas encore de compte ? Inscrivez-vous dès aujourd'hui pour bénéficier d'un compte d'essai gratuit.

Ceci conclut la présentation des nouvelles fonctionnalités de ce mois-ci. Nous vous invitons à nous suivre sur Twitter pour rester informé des dernières mises à jour et améliorations de Secure Code Warrior.

Considérer les vulnérabilités logicielles comme des considérations après coup ou des obstacles à l'innovation expose les organisations à des violations de données, à une atteinte à leur réputation et à des responsabilités juridiques coûteuses. Les cyberattaques exploitent souvent les faiblesses du code qui auraient pu être évitées grâce à de solides pratiques de développement.

Le codage sécurisé résout ces problèmes en intégrant les principes de sécurité à toutes les étapes du développement. Au lieu d'implémenter des correctifs après la découverte d'une vulnérabilité, les développeurs écrivent du code intégrant des protections contre les menaces courantes telles que les attaques par injection et le Cross-Site Scripting (XSS). Le codage sécurisé permet désormais aux entreprises de réduire les risques, de préserver la confiance des utilisateurs et de se conformer aux exigences réglementaires tout en fournissant des logiciels fiables et de haute qualité.

Qu'est-ce que le codage sécurisé ?

Le codage sécurisé est un principe qui consiste à suivre les meilleures pratiques en matière de sécurité lors de la rédaction de logiciels afin de résoudre les vulnérabilités potentielles. Le codage sécurisé ne traite pas la sécurité comme une étape de développement distincte, mais intègre des mesures de protection éprouvées dès les premières étapes, permettant ainsi aux développeurs de s'approprier la sécurité du code et d'acquérir les compétences nécessaires pour l'appliquer efficacement.

Les normes de codage sécurisé reconnues, telles que celles établies par l'Open Web Application Security Project (OWASP) ou le département CERT du Software Engineering Institute, peuvent servir de guide aux développeurs qui souhaitent éviter les pièges courants exploités par les attaquants. Il est essentiel, dans le contexte actuel de la cybersécurité, de développer en permanence des compétences de base et pratiques en matière de codage sécurisé afin de mettre en œuvre ces stratégies en toute sécurité dans les flux de travail existants.Par exemple, la validation d'autant d'entrées utilisateur que possible permet de prévenir les attaques par injection SQL, tandis que l'encodage des sorties contribue à bloquer les attaques XSS. Ces techniques de codage sécurisé, parmi d'autres, réduisent les risques de violation de la sécurité et renforcent la résilience des applications face à l'évolution des cybermenaces.

Pourquoi le codage sécurisé est-il si important ?

Importance du codage sécurisé De nombreuses cyberattaques réussies exploitent des vulnérabilités qui auraient pu être évitées pendant le processus de développement. En accordant la priorité aux pratiques de sécurité dès le début, il est possible de réduire le risque de failles que les attaquants pourraient exploiter pour corrompre les données ou perturber les opérations. En intégrant la sécurité à chaque étape du cycle de vie du développement logiciel (SDLC), toutes les fonctionnalités, mises à jour et intégrations sont conçues dans un souci de protection.

Il est beaucoup plus économique de résoudre les risques pendant le développement plutôt que de devoir corriger les problèmes après le déploiement, ce qui peut nécessiter des correctifs d'urgence, des temps d'arrêt et des ressources de réponse aux incidents. De plus, cela améliore la conformité aux réglementations en matière de protection des données, ce qui permet d'éviter des amendes potentielles et des problèmes juridiques. Les pratiques de codage sécurisé renforcent également la confiance des consommateurs dans l'entreprise et font de la sécurité robuste un élément de la réputation de la marque.

Vulnérabilités courantes en matière de sécurité des codes

Le codage sécurisé vise à prévenir non seulement les vulnérabilités les plus fréquentes et les plus dangereuses exploitées par les attaquants, mais également les nouveaux vecteurs de menaces tels que ceux qui apparaissent lors de l'utilisation d'outils de codage IA. Voici un aperçu de quelques vulnérabilités courantes, des dommages qu'elles peuvent causer et de la manière dont le codage sécurisé peut contribuer à les atténuer.

Défaut de désérialisation

Une vulnérabilité de désérialisation survient lorsqu'une application accepte et traite des données provenant d'une source externe sans les vérifier correctement. La sérialisation consiste à convertir un objet en un format pouvant être stocké ou transféré, tandis que la désérialisation consiste à reconstituer l'objet à partir de ce format. la désérialisation permet de reconstruire cet objet afin de pouvoir l'utiliser. Les conséquences d'une faille de désérialisation peuvent être graves et entraîner l'exécution de code arbitraire ou une élévation des privilèges. Le codage sécurisé permet de résoudre ce problème en garantissant que seules les données fiables et vérifiées sont désérialisées et, dans la mesure du possible, en empêchant complètement la désérialisation par défaut des entrées non fiables.

Attaque par injection

Les attaques par injection se produisent lorsque l'attaquant fournit une entrée que l'application interprète comme une commande ou une partie d'une requête. Le type le plus connu est l'injection SQL, qui consiste à insérer une requête SQL malveillante afin d'accéder au contenu d'une base de données ou de le modifier. D'autres types d'attaques incluent l'injection de commande, qui permet à l'attaquant d'exécuter des commandes arbitraires, et l'injection LDAP (Lightweight Directory Access Protocol). Les conséquences d'une attaque par injection peuvent être diverses, allant de l'accès non autorisé aux données et de leur suppression à la corruption complète du système. Les bases de données contenant des informations personnelles, financières ou confidentielles sensibles sont les principales cibles de ces attaques. Le codage sécurisé consiste à utiliser des requêtes paramétrées ou des instructions préparées, évitant de traiter des données non fiables et en appliquant une validation stricte des entrées. Ces pratiques de codage sécurisé, ainsi que d'autres méthodes de codage sécurisé, peuvent empêcher les attaquants de modifier le comportement prévu de l'application.

Cross-site scripting (XSS)

Cross-site scripting (XSS) est une forme d'attaque par injection qui cible les applications Web en insérant des scripts malveillants dans les pages vues par d'autres utilisateurs. Cela se produit généralement lorsque la sortie de l'application contient des entrées utilisateur non validées. Lorsque le navigateur d'un autre utilisateur affiche la page, le script malveillant s'exécute et peut potentiellement voler des cookies, capturer des frappes clavier ou rediriger les cookies vers des sites malveillants.

Les conséquences d'une attaque XSS peuvent inclure le détournement de session et l'usurpation d'identité. Pour les entreprises, cela peut entraîner une perte de confiance de la part des clients et, en cas de compromission de données sensibles, des sanctions réglementaires. Le codage sécurisé consiste à supprimer et encoder toutes les entrées fournies par l'utilisateur avant leur affichage, à utiliser un framework qui échappe automatiquement les sorties et à limiter les scripts exécutables. Il implique la mise en œuvre d'une politique de sécurité du contenu (CSP) pour résoudre les problèmes XSS. (Content Security Policy) qui supprime et encode toutes les entrées fournies par l'utilisateur avant leur affichage, échappe automatiquement les sorties et limite les scripts exécutables.

Contrôle d'accès

Une vulnérabilité de contrôle d'accès survient lorsque les règles régissant ce qu'un utilisateur peut voir ou faire ne sont pas correctement définies ou appliquées. Un contrôle d'accès vulnérable permet à un attaquant de contourner les restrictions de rôle utilisateur prévues et de lire des données potentiellement sensibles, de modifier des enregistrements ou d'effectuer des tâches réservées aux utilisateurs autorisés.

Les problèmes liés au contrôle d'accès peuvent entraîner des conséquences importantes, et les outils de codage IA ont rencontré des difficultés notables. Il est essentiel de souligner la nécessité des compétences et de la sensibilisation des développeurs afin de résoudre efficacement cette classe de vulnérabilités. Les implications d'une défaillance du contrôle d'accès sont considérables. Par exemple, un attaquant ayant accès à des fonctionnalités réservées aux administrateurs pourrait désactiver les paramètres de sécurité, extraire des informations personnelles ou usurper l'identité d'autres utilisateurs.

Les pratiques de codage sécurisé répondent à ces risques en appliquant des contrôles d'authentification côté serveur pour toutes les requêtes, conformément au principe du moindre privilège, et en ne se reposant pas uniquement sur des mesures de sécurité ambiguës (telles que le masquage des liens). De plus, des tests de contrôle d'accès rigoureux permettent de garantir la robustesse à long terme de ces protections.

Falsification de requêtes entre sites (CSRF)

Les attaques par falsification de requêtes entre sites (CSRF) forcent les utilisateurs à effectuer des actions non désirées sur d'autres sites où ils sont authentifiés. Cela peut inclure des virements bancaires, des changements d'adresse e-mail ou des modifications des paramètres de compte. Ces attaques sont efficaces car les navigateurs incluent automatiquement des jetons d'authentification valides, tels que des cookies, avec les requêtes falsifiées.

Le codage sécurisé implémente un jeton anti-CSRF unique pour chaque session utilisateur et vérifie sa validité à chaque demande de modification d'état afin de se prémunir contre les attaques CSRF. D'autres mesures de protection comprennent la redemandes d'authentification pour les actions critiques et la configuration de l'attribut SameSite dans les cookies afin d'empêcher leur transmission avec des requêtes intersites.L'intégration de ces protections dans le cycle de vie du développement augmente considérablement les chances que le système ne traite que des actions légitimes et intentionnelles.

Certification non sécurisée

Une authentification non sécurisée survient lorsque le processus de vérification de l'identité d'un utilisateur est faible, prévisible ou présente d'autres failles. Cela peut être dû à une politique de mot de passe inadéquate, à un stockage non sécurisé des identifiants ou à l'absence d'authentification multifactorielle (MFA). Les attaquants peuvent exploiter ces vulnérabilités de diverses manières, notamment par des attaques par force brute, le credential stuffing ou l'interception d'identifiants non cryptés lors de leur transmission.Une authentification non sécurisée peut avoir de graves conséquences, car elle permet aux attaquants d'accéder directement aux comptes des utilisateurs, aux contrôles administratifs et aux données sensibles. Une fois à l'intérieur, ils peuvent endommager davantage le système ou voler des informations précieuses.

Le codage sécurisé résout cette vulnérabilité en appliquant des exigences strictes en matière de mots de passe, en hachant et en salant les identifiants stockés, en utilisant des protocoles sécurisés tels que HTTPS pour tous les échanges d'authentification et en intégrant l'authentification multifactorielle (MFA) pour fournir une couche de vérification supplémentaire. De plus, les développeurs doivent concevoir des mécanismes de connexion qui limitent les tentatives d'échec et détectent rapidement les activités suspectes, afin que le système d'authentification constitue une ligne de défense solide plutôt qu'un point faible.

Six pratiques de codage sécurisé à respecter

La mise en place d'un logiciel de sécurité implique bien plus que la simple identification des menaces existantes. Pour ce faire, il est nécessaire d'étudier et d'intégrer des pratiques et des modèles de codage sécurisé éprouvés. Les techniques ci-dessous fournissent aux développeurs des mesures concrètes à prendre pour faire de la sécurité un élément essentiel de tous leurs projets.

1. Mise en œuvre du contrôle d'accès des utilisateurs

Comme expliqué précédemment, le contrôle d'accès utilisateur consiste à définir et à appliquer des autorisations pour chaque rôle utilisateur du système. Un contrôle d'accès rigoureux empêche les utilisateurs non autorisés de consulter des données sensibles, de modifier des enregistrements ou d'effectuer des tâches administratives. De plus, les attaquants ne disposent que des autorisations de l'account concerné, ce qui permet de limiter les dommages en cas d'usurpation d'un account utilisateur.

Pour un contrôle efficace des accès utilisateurs, une authentification forte est nécessaire afin de vérifier l'identité, Il est également nécessaire de vérifier que les utilisateurs authentifiés disposent des autorisations requises pour effectuer les tâches demandées. Il est important de revoir régulièrement les pratiques de contrôle d'accès afin de garantir que les utilisateurs disposent des autorisations minimales nécessaires pour effectuer leurs tâches, conformément au principe du moindre privilège. De plus, le contrôle d'accès doit faire l'objet d'une surveillance régulière afin de maintenir à jour les politiques du système et les informations sur les utilisateurs, et de détecter rapidement toute activité anormale grâce à des audits.

2. Vérification et suppression des données

La validation et la suppression des données impliquent de vérifier que toutes les entrées entrantes respectent le format, le type et le modèle attendus avant leur traitement, puis de nettoyer les données afin d'éliminer tout contenu potentiellement dangereux. Étant donné que même les sources fiables peuvent être compromises, cette pratique doit également s'appliquer aux données provenant de sources externes. Par conséquent, toutes les entrées doivent être considérées comme non fiables jusqu'à ce qu'elles aient été validées. L'intégration de fonctionnalités de validation et de suppression dans le processus de développement permet de maintenir la résilience des applications face aux menaces courantes telles que les attaques par injection.

3. Veuillez rédiger votre texte dans un langage contemporain.

Le codage sécurisé ne se limite pas à la manière dont le code est écrit. Il est également essentiel de sélectionner des outils et un environnement qui facilitent la prévention des failles de sécurité dès le départ. Bien que la transition complète vers les langages les plus récents ne soit souvent ni réaliste ni efficace pour la plupart des entreprises, l'utilisation d'au moins certains des langages de programmation les plus récents et des versions les plus récentes de tous les langages sélectionnés peut améliorer la sécurité des logiciels.Les langages et les frameworks récents offrent généralement une meilleure sécurité de la mémoire, des vérifications de types robustes et une protection native contre les vulnérabilités courantes. Par exemple, des langages tels que Rust et Go ont été conçus dans un souci de sécurité, ce qui permet d'éviter des problèmes tels que les dépassements de tampon, fréquents dans les langages plus anciens.

Les langages existants tels que Java ou Python peuvent être difficiles à moderniser et à sécuriser, mais en suivant les dernières versions, il est possible de bénéficier des dernières fonctionnalités de sécurité et d'améliorer les performances. De nombreuses mises à jour corrigent les vulnérabilités connues, suppriment les fonctionnalités non sécurisées et fournissent des paramètres par défaut plus sûrs.

4. Obscurcissement du code d'entraînement

L'obfuscation de code est un processus qui rend difficile pour un attaquant de comprendre, de rétroconcevoir ou de manipuler le code source ou le code compilé. Bien qu'elle ne remplace pas les autres mesures de sécurité, elle améliore le niveau de défense en dissimulant la logique et les routines sensibles de l'application afin qu'elles ne soient pas visibles par les intrus. L'obfuscation peut inclure des techniques telles que le remplacement des noms de variables et de fonctions par des identifiants sans signification ou la restructuration du code de manière à le rendre difficile à comprendre.

L'objectif est d'augmenter les coûts et les efforts nécessaires à un attaquant pour trouver et exploiter une vulnérabilité. Dans le cadre du codage sécurisé, l'obfuscation fonctionne en conjonction avec d'autres pratiques de sécurité robustes pour rendre les applications moins attrayantes.

5. Scanner et surveiller les codes

Les pratiques de codage sécurisé comprennent également l'analyse et la surveillance actives du code. Les outils de test statique de sécurité des applications (SAST) analysent les vulnérabilités connues du code source avant le déploiement, tandis que les outils de test dynamique de sécurité des applications (DAST) testent en temps réel les applications en cours d'exécution afin de détecter les failles exploitables. La combinaison de ces deux approches permet de détecter les problèmes de manière précoce et continue.

Outre le balayage pendant le développement, il est essentiel de mettre en place une surveillance continue dans l'environnement de production. Cela implique de configurer des alertes en cas d'activité anormale, d'enregistrer les événements de sécurité et d'utiliser des outils de protection des applications en temps réel (RASP) pour détecter et bloquer les attaques en temps réel. Des inspections et une surveillance régulières permettent de garantir une visibilité suffisante pour résoudre rapidement les vulnérabilités détectées pendant le développement avant qu'elles ne causent des dommages importants.

6. Documentation et mise en œuvre des normes de codage sécurisé

Pour documenter les normes de codage sécurisé, il est nécessaire de créer des directives claires qui définissent la méthodologie de l'équipe. Écrire du code sécurisé, facile à maintenir et conforme aux réglementations. Ces normes doivent couvrir non seulement les méthodes permettant de résoudre les vulnérabilités courantes liées à la pile technologique, mais aussi des sujets tels que la validation des entrées, la gestion des erreurs, les pratiques de cryptage et la gestion des sessions.

La mise en place de ces normes permet à tous les développeurs, des ingénieurs juniors aux concepteurs principaux, de suivre les mêmes principes de sécurité. Associées à des formations et à des mises à jour régulières, ces normes constituent une ressource précieuse pour maintenir le processus de développement conforme aux dernières exigences en matière de sécurité.

Normes et cadres de codage sécurisé

Si vous avez besoin d'aide pour créer vos propres normes de codage, le guide populaire ci-dessous peut vous être utile. Ce guide traite de divers cas de figure permettant de résoudre les vulnérabilités courantes et peut vous aider à clarifier la manière d'aligner vos pratiques de codage sur les meilleures pratiques du secteur.

OWASP : Pratiques de codage sécurisé

OWASP est l'une des sources les plus connues des développeurs qui souhaitent intégrer la sécurité dans leur code dès le début. Elle fournit les principales ressources suivantes en matière de codage sécurisé : le guide du développeur OWASP et le Top 10 OWASP. L'approche d'OWASP est très pratique et offre les avantages suivants : des listes de contrôle et des conseils de codage que les développeurs peuvent appliquer pendant le développement.

En suivant les directives de l'OWASP, vous établissez des normes communes pour le codage sécurisé tout au long du projet, ce qui est bénéfique pour votre équipe. L'OWASP est régulièrement mis à jour afin de refléter les nouveaux vecteurs de menaces et les techniques d'attaque, ce qui permet aux organisations de se préparer à de nouveaux risques. L'application des principes de l'OWASP à votre flux de travail améliore la qualité du code, réduit les vulnérabilités et garantit la conformité avec les directives largement acceptées du secteur.

Cadre de développement de logiciels de sécurité du NIST

Le National Institute of Standards and Technology (NIST) des États-Unis publie des directives complètes en matière de codage sécurisé. Ce cadre de cybersécurité étendu fournit des informations sur les pratiques de développement de logiciels hautement sécurisés. En plus de cela, le cadre de développement de logiciels sécurisés (SSDF) du NIST fournit un vocabulaire commun qui améliore la communication sur les questions clés au sein des équipes et entre les équipes. Comme il se concentre sur les résultats plutôt que sur des technologies spécifiques, il est particulièrement adapté pour compléter d'autres normes telles que les normes de codage OWASP ou SEI CERT.

Norme de codage des certificats SEI

Développé par le département CERT du Software Engineering Institute (SEI). Les normes de codage certifiées par le SEI se concentrent sur la prévention des vulnérabilités de sécurité dans certains langages de programmation, notamment C, C++, Java et Perl. Les normes spécifiques à chaque langage comprennent des règles de codage sécurisé, des explications détaillées et des exemples de code conforme et non conforme. Les normes de codage CERT sont particulièrement utiles et applicables pour les développeurs travaillant dans cet environnement, car elles traitent des subtilités et des faiblesses de certains langages de programmation.

Cycle de vie du développement de la sécurité Microsoft

Le cycle de vie de développement sécurisé (SDL) de Microsoft est un ensemble de pratiques conçues pour intégrer la sécurité dans le processus de développement logiciel. Il comprend les recommandations suivantes : 10 thèmes clés, notamment la modélisation des menaces, la formation à la sécurité pour les développeurs et la sécurité de la chaîne logistique logicielle.Microsoft utilise cette approche en interne, ce qui permet aux organisations de bénéficier d'un processus éprouvé pour coordonner les développeurs, les testeurs et les équipes de sécurité.

ISO/IEC 27001

La norme ISO/IEC 27001 est principalement reconnue comme la norme pour les systèmes de gestion de la sécurité de l'information (SGSI), mais elle a également une influence significative sur le codage sécurisé. Bien qu'elle se concentre sur la mise en place d'un SGSI au niveau organisationnel, elle inclut également des principes de codage sécurisé. Ces recommandations fournissent des directives de haut niveau que les organisations peuvent suivre lorsqu'elles mettent en œuvre des pratiques de codage sécurisé.

Règles de sécurité relatives à l'intelligence artificielle

Les outils de codage IA sont plus pratiques que jamais, mais s'ils ne permettent pas de créer un code sûr et précis, ils peuvent causer plus de tort que de bien. Les règles de sécurité IA de Secure Code Warrior, premières du genre, fournissent des directives sur les meilleures pratiques en matière de codage sécurisé à utiliser avec des outils IA tels que GitHub Copilot, Cline, Cursor et Windsurf. Ces règles permettent de suivre les assistants de codage IA en mettant en place des garde-fous qui minimisent les risques liés à un code non sécurisé.

Comprendre comment créer un code de sécurité dès le début

Le codage sécurisé n'est pas une simple exigence technique, mais un avantage commercial important. Lorsque les équipes écrivent du code sécurisé dès le départ, elles évitent des vulnérabilités coûteuses, réduisent le risque de violation des données et fournissent à leurs clients des logiciels fiables.Cependant, sans directives structurées, l'apprentissage des pratiques de codage sécurisé peut s'avérer particulièrement difficile. Les développeurs ont besoin d'exemples concrets, de connaissances actualisées sur les menaces en constante évolution et de méthodes leur permettant d'appliquer en toute confiance les principes de sécurité à chaque ligne de code.

La plateforme d'apprentissage agile certifiée ISO 27001 et conforme SOC 2 de Secure Code Warrior offre à votre équipe exactement ce dont elle a besoin. Grâce à des formations sur les meilleures pratiques de sécurité par langage, des problèmes de codage réalistes et du contenu sélectionné pour différents rôles, la sécurité n'est plus une considération après coup, mais devient une partie intégrante du processus de développement. Les développeurs identifient et corrigent les vulnérabilités à un stade précoce et se conforment aux normes de l'industrie et acquièrent les compétences nécessaires pour assumer l'entière responsabilité de la sécurité du code tout au long du cycle de vie du développement logiciel. Il n'est pas surprenant que les entreprises qui utilisent Secure Code Warrior aient réduit de 53 % les vulnérabilités logicielles, réalisé jusqu'à 14 millions de dollars d'économies et que 92 % des développeurs souhaitent suivre une formation complémentaire.

Si votre équipe souhaite découvrir comment écrire un code plus sécurisé et plus robuste dès le premier jour, veuillez réserver dès maintenant une démonstration de Secure Code Warrior.

Chez Secure Code Warrior, nous innovons constamment afin d'aider les développeurs et les organisations à acquérir les compétences nécessaires pour faire face aux défis de sécurité en constante évolution d'aujourd'hui. Nous y parvenons grâce à notre plateforme d'apprentissage agile dédiée au codage sécurisé. Celle-ci permet aux développeurs d'apprendre à leur rythme à partir du contenu le plus complet et le plus fiable du secteur en matière de vulnérabilités.

Au cours du dernier trimestre, Secure Code Warrior a mis en œuvre une nouvelle fonctionnalité qui permet non seulement aux administrateurs de l'entreprise de gérer plus facilement les utilisateurs via le provisionnement SCIM, mais aussi d'étendre les tournois à plusieurs marques et organisations. Nous sommes également ravis d'annoncer que Jira offre désormais un aperçu des nouvelles directives de codage, des rapports de synthèse des performances et des nouveaux workflows du programme.

Nous allons examiner cela de plus près.

Élargissement de la portée et approfondissement de la plateforme SCW

Secure Code Warrior s'enrichit continuellement de nouveaux contenus afin de maintenir ses modules pertinents, opportuns et personnalisés, en phase avec les connaissances indispensables dans le paysage actuel de la cybersécurité. Offrant une couverture et une profondeur inégalées dans le secteur, avec plus de 60 langues disponibles, il facilite la création et l'extension de programmes d'apprentissage agiles pour les développeurs dans de nombreux langages et frameworks.

Disponible dès maintenant : les directives de codage de Jira

L'ajout de directives à l'intégration Jira permet aux développeurs de bénéficier d'un apprentissage contextuel sur la manière de gérer les failles de sécurité. Les directives sont plus approfondies que les vidéos, se concentrent sur des langages ou des frameworks spécifiques et fournissent des extraits de code pour aider les développeurs à résoudre les problèmes plus rapidement.Désormais, les développeurs peuvent non seulement accéder aux vidéos et aux défis, mais également consulter les directives de codage directement dans les tickets Jira et obtenir des conseils d'amélioration approfondis.

Disponible dès maintenant : nouveau contenu pour les développeurs front-end

Les développeurs front-end ont également besoin d'un code sécurisé. C'est pourquoi nous avons ajouté des vulnérabilités front-end à nos missions et travaux pratiques. De plus, les développeurs front-end peuvent accéder aux missions liées au front-end via le cours.

Ces mises à jour visent à couvrir de manière exhaustive les vulnérabilités spécifiques au front-end, des plus courantes telles que les XSS basées sur le DOM aux plus rares telles que les injections CSS. Les exercices étape par étape fournissent aux développeurs front-end des instructions fiables sur la manière dont les vulnérabilités peuvent être exploitées, tandis que les développeurs avancés peuvent également tester leurs compétences dans le cadre des missions front-end du tournoi.

Une approche innovante et intéressante pour élargir la culture de la sécurité

Disponible actuellement : tournois de plusieurs entreprises

‍

Il est possible d'organiser des tournois interentreprises afin de favoriser une compétition amicale entre les développeurs de différentes entités commerciales, filiales, partenaires et autres sociétés. Cela permet d'étendre la culture du codage sécurisé à l'ensemble de l'organisation et à plusieurs marques.

Souhaitez-vous participer au tournoi multisociétés ultime ? Inscrivez-vous à la troisième édition annuelle des Devilympics, le tournoi mondial organisé par SCW à l'occasion du Mois de la sensibilisation à la cybersécurité. Si vous êtes déjà client, vous pouvez vous inscrire via la plateforme.

Simplification de l'expérience des administrateurs et des développeurs

Disponible dès maintenant : Filtrage des cours

Sur la page de gestion des cours, il est possible d'appliquer des filtres supplémentaires, ce qui permet aux administrateurs de filtrer plus facilement les cours sur lesquels ils souhaitent travailler. Les cours peuvent être filtrés selon plusieurs critères, tels que le statut, la date de fin ou l'équipe inscrite.

Disponible dès maintenant : gérez vos licences SCW à l'aide de SCIM.

Les propriétaires de programmes et les administrateurs d'entreprise peuvent désormais gérer les développeurs à grande échelle de manière programmatique et avoir l'assurance que le contrôle d'accès est toujours à jour.

Le provisionnement SCIM synchronise l'accès à Secure Code Warrior à l'aide d'un fournisseur d'identités. L'automatisation de ces tâches garantit la précision, la sécurité et la conformité, ce qui permet de gagner du temps et de réduire les ressources nécessaires au provisionnement des utilisateurs. Actuellement, SCW ne prend en charge le provisionnement SCIM qu'au niveau des utilisateurs et non encore au niveau des groupes SCIM.

Aperçu disponible : flux de travail du programme

 Grâce aux améliorations majeures apportées à la plateforme, il est désormais plus facile que jamais de créer des programmes de formation au code sécurisé évolutifs et hautement participatifs. Les programmes sont conçus pour fournir davantage de conseils aux apprenants en classant les cours et les évaluations de manière séquentielle dans le cadre de programmes à plusieurs niveaux. Les clients ayant activé la prévisualisation sur la plateforme peuvent désormais utiliser le flux de travail automatisé du programme. Le flux de travail du programme permet aux développeurs de déterminer par où commencer, de passer à l'étape suivante et de progresser facilement à travers les différentes étapes grâce à un programme d'apprentissage du code sécurisé. De plus, les responsables de l'entreprise peuvent réduire le temps nécessaire à la configuration et à la gestion du programme, ainsi qu'à inciter les développeurs à terminer les activités d'apprentissage suivantes. passer à l'étape suivante et progresser facilement à travers les différentes étapes du programme de formation au code sécurisé. De plus, les responsables de l'entreprise peuvent réduire le temps nécessaire à la configuration et à la gestion du programme, ainsi qu'à l'encouragement des développeurs à terminer les activités d'apprentissage suivantes.

Avez-vous besoin de conseils sur la manière de commencer à apprendre le code de sécurité au sein de votre organisation ? Veuillez consulter ce manuel qui explique comment organiser un programme afin d'atteindre vos objectifs en matière de sécurité.

Rapports et informations sur les programmes

Aperçu : aperçu des performances

En tant que responsable d'entreprise, il est essentiel de surveiller les activités de l'ensemble de l'organisation afin de comprendre l'engagement des développeurs et d'évaluer le succès des programmes d'apprentissage du code sécurisé. Nous avons amélioré l'interface de reporting afin que les responsables d'entreprise puissent obtenir les informations les plus exploitables à partir des rapports.

L'aperçu des performances fournit des informations sur le processus de développement et l'évaluation, ainsi que la précision moyenne au fil du temps. De plus, le rapport fournit des informations pertinentes sur les références du secteur, permettant de comparer les notes moyennes du secteur pour l'évaluation sélectionnée et celles obtenues par le programme.

Ce rapport concis mais pertinent annonce le lancement de la série d'indicateurs et d'informations Secure Code Warrior prévue pour 2024.

Vous souhaitez essayer Secure Code Warrior, mais vous n'avez pas encore de compte ? Veuillez réserver une démonstration dès maintenant pour en savoir plus.

Cela conclut la présentation des nouvelles fonctionnalités de ce trimestre. Nous vous invitons à suivre Secure Code Warrior sur LinkedIn et X (anciennement Twitter) pour rester informé des dernières versions et améliorations.

‍

‍

Indépendamment des entreprises ou des produits, le monde évolue rapidement. Il est de plus en plus numérisé et dépendant des logiciels. Les développeurs fournissent du code plus rapidement que jamais, mais les équipes AppSec continuent d'inspecter 75 % du code et de détecter des vulnérabilités courantes et facilement évitables.

La sécurité du code et la sécurité en général constituent des éléments essentiels du processus de développement logiciel. Ne pas leur accorder la priorité peut entraîner des risques considérables. En effet, au cours de l'année écoulée, le coût moyen mondial des violations de données a augmenté pour atteindre 4,35 millions de dollars (rapport IBM sur le coût des violations de données 2022). Afin de faire face aux nouvelles menaces et aux changements culturels, les développeurs ont besoin d'une formation participative et innovante pour changer leur état d'esprit axé sur la sécurité, en partenariat avec les équipes de sécurité.

Chez Secure Code Warrior, nous innovons constamment afin d'aider les développeurs et les organisations à acquérir les compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui. Nous y parvenons grâce à des programmes de formation hautement interactifs, flexibles et faciles à gérer.

Au cours du dernier trimestre, nous nous sommes concentrés sur la mise en place de nouvelles méthodes d'apprentissage via Coding Labs (nouvellement disponible dans Preview), l'activation de l'intégration LMS SCORM et la création d'une expérience utilisateur plus accessible et plus complète. Parallèlement, nous avons simplifié l'environnement d'administration afin de gagner du temps.

Nous allons examiner cela de plus près.

Présentation du laboratoire de codage — Un niveau d'apprentissage supérieur

Dans une récente enquête menée auprès des professionnels du secteur (Rapport 2022 sur la sécurité dirigée par les développeurs), 40 % des développeurs ont déclaré ne pas disposer d'une formation pratique suffisante. Coding Labs aide les développeurs à améliorer leurs compétences en matière de codage sécurisé grâce à une formation pratique comprenant du codage réel et des commentaires intuitifs dans un IDE convivial et puissant intégré au navigateur, ce qui facilite considérablement le passage de la théorie à la pratique.

Au lieu de recevoir des instructions vagues et frustrantes sur ce qui est « correct ou incorrect », les développeurs peuvent acquérir une meilleure compréhension grâce à des commentaires en temps réel et adaptés à la situation, tout en ayant l'assurance d'apprendre les bonnes méthodes. Coding Labs soutient les objectifs des développeurs qui souhaitent prévenir les vulnérabilités de sécurité et améliorer la posture de sécurité de leur organisation.

Cette nouvelle expérience, qui fait partie de la plateforme SCW, offre une nouvelle perspective sur le soutien aux développeurs. Les responsables peuvent créer des programmes de formation qui aident les développeurs à progresser vers la réussite grâce à un apprentissage simple et accessible, adapté à leur situation. Grâce à des guides de formation faciles d'accès, vous pouvez aider les participants à surmonter leurs nouvelles vulnérabilités et les orienter vers des expériences plus stimulantes et pratiques, telles que les Coding Labs.Les responsables peuvent être assurés que les développeurs trouveront la formation plus intéressante et plus accessible, et qu'ils pourront finalement l'appliquer à leur base de code afin de réduire les vulnérabilités et les retouches.

Coding Labs est désormais disponible en avant-première. Si vous êtes client SCW, veuillez contacter votre gestionnaire de compte pour obtenir plus d'informations sur la manière d'y accéder.

Vous n'êtes pas client SCW, mais souhaitez obtenir les dernières informations sur la disponibilité de Coding Labs ? Veuillez remplir le formulaire .

Inscrivez-vous à SCW pour découvrir les innovations produits et visionner la démonstration de Coding Labs. Veuillez vous inscrire au webinaire ici.

Intégrez-le à SCORM LMS, qui privilégie la formation aux codes de sécurité.

Le gestionnaire SCW, dont la sortie est prévue prochainement, permet de gérer plus facilement les programmes de formation aux codes de sécurité avec d'autres plateformes de formation, sans nécessiter de développement manuel. Cela permet de gagner du temps et permet aux gestionnaires de se concentrer sur des méthodes plus efficaces pour améliorer les programmes de formation.

Si vous n'êtes pas familier avec le terme SCORM, il s'agit du modèle de référence pour les objets de contenu partageables ( ). Il s'agit d'une norme internationale pour les cours en ligne. Si un cours est publié au format SCORM, il sera reconnu par la plupart des systèmes de gestion de l'apprentissage (LMS).

Grâce à la nouvelle intégration SCORM LMS, vous pouvez effectuer les opérations suivantes :

• Grâce à l'intégration directe dans le LMS de votre choix, vous pouvez gérer les participants et les tâches en un seul endroit.
• Veuillez suivre l'avancement et l'achèvement des tâches de l'organisation.

‍

Veuillez vous assurer que le programme SCW est directement intégré au flux de travail préféré des développeurs afin d'améliorer l'expérience utilisateur. Vous pouvez télécharger le package SCORM pour la formation et l'évaluation afin de permettre une intégration transparente avec les plateformes et LMS populaires tels que SAP SuccessFactors, Workday, Cornerstone, etc.

Les clients peuvent prévisualiser l'intégration LMS SCORM en octobre. Pour plus d'informations, veuillez contacter votre gestionnaire de compte.

Élargissement de la portée et approfondissement de la plateforme SCW

Secure Code Warrior s'enrichit continuellement de nouveaux contenus afin de maintenir ses modules pertinents, opportuns et personnalisés, en phase avec les connaissances indispensables dans le paysage actuel de la cybersécurité. Offrant une couverture et une profondeur inégalées dans le secteur, avec plus de 55 langues disponibles, il facilite la création et l'extension de programmes de formation des développeurs dans de nombreux langages et frameworks.

Protection des applications ABAP grâce à un nouveau contenu de formation

Nous sommes ravis de vous annoncer le lancement, au printemps, d'une nouvelle méthode de formation destinée aux développeurs qui codent en ABAP, comprenant six nouveaux travaux pratiques et quatorze missions.

Vous pouvez accéder à une formation flexible et variée comprenant de nouveaux défis et contenus.

Secure Code Warrior s'efforce de publier régulièrement du contenu adapté à différents niveaux techniques, tout en conservant la pertinence et le caractère stimulant de ses modules de formation. Au cours de ce trimestre, SCW a publié davantage de contenu sur les langages de programmation populaires suivants :

• 33 défis RPG supplémentaires, les demandes les plus fréquentes de nos clients
• Fonctionnalité permettant de créer des tournois dans les jeux de rôle
• Dix défis Python Django supplémentaires

Désormais, tous les nouveaux contenus sont disponibles sur la plateforme Challenge Pool.

Simplification de l'expérience des administrateurs et des utilisateurs

Grâce à l'amélioration significative de la convivialité de la plateforme, il est désormais plus facile que jamais de mettre en place un programme de formation au code sécurisé évolutif et hautement participatif.

Modifier facilement les cours publiés

Répondez aux besoins en constante évolution de votre organisation et de vos programmes de formation en utilisant une nouvelle méthode pour modifier les programmes existants. Les administrateurs peuvent désormais modifier des cours existants sans avoir à en créer de nouveaux grâce à la gestion des versions de cours. Cette fonctionnalité était l'une des plus demandées par nos clients.

La mise à jour comprend les éléments suivants :

• Ajouter une nouvelle langue au cours publié
• Ajout, mise à jour et suppression de modules et de contenus d'activités dans le cours
• Ajouter/mettre à jour/supprimer des activités de fin de programme éducatif
• La plateforme enregistre la version majeure du cours afin de générer la gestion de version de base.

Accéder au cours depuis l'écran d'accueil

En ajoutant le bouton « Continuer » à la nouvelle page d'accueil, la liste des cartes d'activité s'affiche, permettant aux utilisateurs de reprendre rapidement les modules qu'ils ont déjà commencés. De plus, les utilisateurs peuvent désormais voir une fenêtre affichant les modules non terminés sur l'écran d'accueil.

Cela permet à l'utilisateur de suspendre temporairement un cours ou une évaluation sans perdre sa progression et de reprendre efficacement là où il s'était arrêté.

‍

Ces deux fonctionnalités sont disponibles pour les comptes ayant activé l'accès anticipé sur la plateforme. Si vous avez des questions concernant l'accès, veuillez contacter votre gestionnaire de compte.

Conception globale et hautement accessible

Chez Secure Code Warrior, nous croyons que le langage et le design ont le pouvoir de connecter divers groupes d'utilisateurs et de favoriser la compréhension, conformément à notre mission qui consiste à promouvoir le codage sécurisé. Notre objectif est de créer et d'offrir une expérience inclusive et accessible, et nous sommes ravis de pouvoir continuer à progresser vers un design accessible.

Il est désormais possible d'utiliser le chinois traditionnel.

En ajoutant le chinois traditionnel à la plateforme, nous continuons à construire une véritable communauté mondiale de développeurs ayant accès aux outils nécessaires pour devenir des champions de la sécurité.

Vous pouvez accéder à la langue dans le menu déroulant des paramètres. Dans la section Ressources, vous pouvez également utiliser le chinois traditionnel avec les sous-titres vidéo.

Nous vous invitons à participer au webinaire Product Talk qui se tiendra le 5 octobre 2022.

Souhaitez-vous en savoir plus ? Nous vous invitons à participer au webinaire ProductTalk qui se tiendra le 5 octobre 2022. Vous pourrez y découvrir les dernières actualités et les nouvelles fonctionnalités présentées par les membres de l'équipe produit, ainsi que l'évolution de l'environnement de sécurité axé sur les développeurs.

S'inscrire au webinaire ici.

Vous souhaitez essayer Secure Code Warrior, mais vous n'avez pas encore de compte ? Veuillez vous inscrire. Compte d'essai gratuit Commencez dès aujourd'hui.

Cela conclut les nouvelles fonctionnalités de ce trimestre. Suivez Secure Code Warrior sur Twitter pour rester informé des dernières versions et améliorations.

Les codes non sécurisés peuvent entraîner des coûts de plusieurs millions de dollars pour les entreprises. Quels sont donc les obstacles à l'adoption de pratiques de codage sécurisées ?

Dans un monde où presque tout dépend des logiciels, il est essentiel de s'assurer que le code est sécurisé. La réputation de la marque et la viabilité financière en dépendent. Cependant, malgré les nombreuses préoccupations relatives au codage sécurisé, de nombreux obstacles empêchent son adoption complète et efficace. Une nouvelle approche est plus que jamais nécessaire.C'est pourquoi, en 2020, Secure Code Warrior s'est associé à Evans Data Corp. pour mener une étude primaire* sur l'attitude des développeurs et des gestionnaires à l'égard du codage sécurisé, des pratiques de code sécurisé et des opérations sécurisées (télécharger le livre blanc). Ici).

Nous sommes conscients qu'il est difficile de mettre en œuvre des pratiques de code sécurisé dans les organisations actuelles. Les développeurs et les administrateurs doivent tous deux assumer la responsabilité de traiter les vulnérabilités et, en particulier, les codes préoccupants.

Il est évident qu'un programme favorisant une meilleure formation et de meilleures pratiques en matière de code de sécurité est nécessaire. Cette nécessité apparaît clairement lorsque l'on interroge les développeurs et les administrateurs sur leurs préoccupations en matière de codage sécurisé. Notre étude* montre que ces deux groupes partagent les mêmes préoccupations fondamentales. Cependant, en raison de leurs rôles différents, ils divergent sur la question de savoir laquelle de ces préoccupations est la plus urgente.

La principale préoccupation des développeurs est « l'inclusion de code reproduisant les vulnérabilités antérieures ». Cela n'est pas surprenant, car les développeurs sont évalués sur la qualité de leur code. Aucun développeur ne souhaite être à l'origine d'un code non sécurisé, c'est-à-dire d'un code nécessitant des modifications et ralentissant le travail de l'équipe.

La deuxième priorité des développeurs est de gérer les erreurs commises par leurs collègues. Le respect des délais et la responsabilité vis-à-vis du code figurent également parmi les priorités. Le fait qu'il soit difficile d'apprendre à sécuriser le code souligne une fois de plus la nécessité d'adopter une nouvelle approche en matière de formation à la sécurité du code.

En revanche, les gestionnaires adoptent davantage une approche descendante.

En tant que gestionnaires et responsables d'équipe, ce qu'ils considèrent comme le plus important est la responsabilité vis-à-vis du code. Si l'équipe produit un code de mauvaise qualité, le problème est confié au gestionnaire.

Le code reproduisant les vulnérabilités antérieures est le deuxième point. Le fait que le processus d'apprentissage soit complexe est le troisième point. Si l'approche actuelle de la formation au code de sécurité ne fonctionne pas correctement, les administrateurs se rendent compte qu'une nouvelle approche est nécessaire.

Les obstacles à l'adoption des pratiques de codage sécurisé

Lorsque nous avons interrogé les responsables sur les obstacles qui empêchent leur organisation d'adopter des pratiques de codage sécurisé, deux éléments ressortent clairement : la communication et la formation.

45 % ont identifié le manque de communication entre les parties prenantes et la direction comme un obstacle majeur. 42 % ont exprimé leur préoccupation concernant le manque de compétences en codage sécurisé chez les nouveaux employés. Parallèlement, 40 % ont signalé un manque de temps et de ressources pour la formation.

Il existe des obstacles liés aux processus et aux ressources humaines qui peuvent entraver la mise en œuvre réussie des pratiques de code de sécurité à l'échelle de l'organisation.

Cependant, malgré ces défis complexes, il est toujours possible de réaliser des progrès. Le manque de compétences en codage sécurisé chez les nouveaux employés, ainsi que l'insuffisance de la formation et des ressources, sont des problèmes plus faciles à résoudre.

Les développeurs sont en première ligne pour lutter contre les vulnérabilités. Cependant, bénéficient-ils du soutien, des outils et de la formation nécessaires pour remplir leur rôle dans le contrat de sécurité ?

Selon leurs préoccupations, la réponse courte est « non ».

En réalité, une éducation adéquate ne devrait pas être perçue comme un cours magistral.

Secure Code Warrior, qui est à l'avant-garde des changements en matière de codage sécurisé, adopte une approche centrée sur l'humain qui encourage activement les développeurs à acquérir et à maîtriser les techniques de codage sécurisé. Notre plateforme d'apprentissage éprouvée offre une formation contextuelle et hautement pertinente qui s'intègre dans les workflows préférés des équipes de développement et de sécurité. Elle permet non seulement d'identifier les vulnérabilités, mais aussi de les prévenir avant même qu'elles ne surviennent.

Ce type de formation pratique constitue une opportunité d'améliorer ses compétences. En effet, il peut avoir un impact positif uniquement sur les développeurs qui s'efforcent sincèrement de corriger les vulnérabilités et de collaborer avec les autres membres de l'équipe afin de créer un code de meilleure qualité.

Pour en savoir plus et découvrir l'impact potentiel sur la capacité de votre équipe à « repartir de zéro » avec le code de sécurité sans compromettre la sécurité et à accélérer les lancements, Veuillez prendre rendez-vous pour une démonstration dès maintenant..

Transition de la réponse à la prévention : l'évolution de la sécurité des applications. Secure Code Warrior et Evans Data Corporation 2020

Le BSIMM 8 est disponible. C'est remarquable. Il s'agit de la seule étude à grande échelle sur les pratiques de sécurité mises en œuvre par les grandes entreprises pour développer des logiciels sécurisés.

Cette étude a été menée par des experts en sécurité des applications sous la supervision de Gary McGraw. Elle garantit la cohérence et l'exactitude des données collectées et fournit des informations précieuses sur les tâches quotidiennes de 300 000 développeurs. Une présentation récente a fait référence aux chiffres BSIMM, qui indiquent qu'il y a en moyenne deux experts en sécurité des applications pour 100 développeurs.

Cependant, cela n'a pas été le cas depuis le BSIMM4. Selon le rapport BSIMM8, ce chiffre est désormais bien inférieur, avec seulement 1,6 expert en sécurité des applications pour 100 développeurs. Compte tenu de la pénurie de talents, il ne serait pas efficace d'embaucher davantage d'experts en sécurité des applications. Il est plus important que jamais de fournir aux développeurs les outils et la formation nécessaires pour qu'ils puissent écrire du code sécurisé directement utilisable et évolutif au sein de leur organisation.

En outre, selon le rapport, l'activité la plus courante dans les pratiques de formation consiste à dispenser une formation de sensibilisation à tous les employés (67 %). Nous avons commencé à mettre en correspondance les tâches effectuées parSecure Code Warrior SCW) avec les pratiques de formation et avons découvert que cette solution permettait de réaliser les 12 activités de niveau 1 (réalisées par la plupart des entreprises) à niveau 3 (réalisées par un très petit nombre d'entreprises) dans le cadre des pratiques de formation.

Une solution unique applicable à l'ensemble des exercices pratiques. Parmi les 12 cas d'utilisation, le cas le plus intéressant concernant la solution Secure Code Warrior est le suivant.

• Niveau 1 : Formation à la sensibilisation
• Niveau 1 : Formation individuelle à la demande
• Niveau 2 : Amélioration des satellites par la formation (SCW Metric)
• Niveau 3 : Récompenses obtenues via le programme d'études (badge SCW)
• Niveau 3 : Formation pour les fournisseurs ou les sous-traitants (évaluation SCW)
• Niveau 3 : Hébergement d'événements de sécurité logicielle externe (mode tournoi SCW)
• Niveau 3 : Identification des satellites par entraînement (métrique SCW)

Êtes-vous certain que la solution actuellement utilisée répond à ces pratiques ?

Au début du mois de novembre, l'université de Cambridge a publié une étude intitulée « Trojan Horse-Source ». Cette étude se concentrait sur la manière dont il était possible de dissimuler des portes dérobées dans le code source et les commentaires à l'aide de caractères de formatage directionnels. Cela peut être utilisé pour créer du code que le compilateur interprète différemment des vérificateurs de code humains.

Bien qu'il y ait eu des cas d'utilisation malveillante d'Unicode, par exemple pour masquer l'extension réelle d'un nom de fichier, cette vulnérabilité est nouvelle. Inversion de la dernière partie du nom de fichier. Selon des études récentes, de nombreux compilateurs ignorent les caractères Unicode du code source sans avertissement, tandis que les éditeurs de texte, y compris les éditeurs de code, peuvent réorganiser les lignes contenant des commentaires et du code sur cette base. Par conséquent, les éditeurs peuvent afficher le code et les commentaires dans un ordre différent de celui utilisé par les compilateurs pour l'analyse syntaxique. Il en va de même même lorsque le code et les commentaires sont intervertis.

Pour en savoir plus, veuillez continuer votre lecture. Si vous souhaitez essayer la simulation de piratage de Trojan Source, veuillez accéder directement au service gratuit. Découvrez par vous-même les missions publiques.

Texte bidirectionnel

L'une de ces attaques de type « trojan source » utilise l'algorithme Unicode Bidi (bidirectionnel). Cet algorithme gère l'alignement des textes dont l'ordre d'affichage diffère, comme l'anglais (de gauche à droite) et l'arabe (de droite à gauche). Il est possible de réorganiser les groupes et d'afficher l'ordre des caractères à l'aide de caractères de formatage directionnel.

Le tableau ci-dessus contient certains caractères de remplacement Bidi liés à l'attaque. Par exemple,

RLI e d o c 피디

L'acronyme RLI signifie « séparation de droite à gauche ». Il sépare le texte du contexte (distingué par PDI). Cliquez sur « Pop Directional Isolate » et lisez de droite à gauche. Le résultat est le suivant.

c o d e

Cependant, les compilateurs et les interpréteurs ne traitent généralement pas les caractères de contrôle de format, y compris les remplacements bidirectionnels, avant d'analyser le code source. Si les caractères de spécification de direction sont simplement ignorés, l'analyse se déroule comme suit.

e d o c

Un vin ancien dans une nouvelle bouteille ?

Bien entendu, ce n'est pas une nouveauté. Dans le passé, des caractères de direction étaient utilisés. Ils étaient insérés dans les noms de fichiers afin de dissimuler leur nature malveillante. Une pièce jointe à un e-mail nommée « myspecialexe.doc » pouvait sembler tout à fait innocente si elle n'avait pas étéremplacée de droite à gauche(RLO), révélant ainsi que son nom réel était « myspecialcod.exe ».

Les attaques par injection SQL consistent à insérer des caractères de formatage directionnel dans les commentaires et les chaînes de caractères du code source. Dans ce cas, aucune erreur de syntaxe ou de compilation ne se produit. Ces caractères de contrôle modifient l'ordre d'affichage de la logique du code, ce qui fait que le compilateur lit quelque chose de complètement différent de ce que lit l'utilisateur.

Par exemple, un fichier contenant les octets suivants dans l'ordre :

Les caractères de spécification de direction sont réorganisés comme suit.

Si le caractère de spécification de direction n'est pas explicitement appelé, le code est rendu comme suit.

RLO remplace l'accolade fermante de la dernière ligne par une accolade ouvrante, et inversement. L'exécution de ce code produit le résultat suivant : « Vous êtes administrateur ». Bien que la vérification d'administrateur ait été commentée, l'examen des caractères de contrôle donne l'impression que cette vérification existe toujours.

(Source : https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx)

Quel impact cela pourrait-il avoir sur vous ?

De nombreux langages tels que C, C++, C#, JavaScript, Java, Rust, Go, Python, etc. sont vulnérables aux attaques, et il est présumé que d'autres langages le sont également. et l'on suppose que d'autres le sont également. À présent, les développeurs expérimentés peuvent froncer les sourcils en voyant des caractères directionnels dans le code source, mais les débutants feraient mieux de hausser les épaules et de ne pas y prêter attention. De plus, la visualisation de ces caractères varie considérablement selon l'IDE, il n'y a donc aucune garantie qu'ils seront détectés.

Cependant, comment cette vulnérabilité a-t-elle pu s'introduire dans le code source au départ ? Tout d'abord, cela peut se produire lorsque l'on utilise du code source provenant de sources non fiables, dont la contribution malveillante passe inaperçue. Deuxièmement, cela peut également se produire simplement en copiant-collant du code trouvé sur Internet. La plupart d'entre nous, développeurs, avons déjà procédé de cette manière. La plupart des organisations dépendent des composants logiciels de plusieurs fournisseurs. Cela soulève la question de la fiabilité et de la confiance que l'on peut accorder à ce code. Comment identifier le code source contenant des portes dérobées cachées ?

À qui incombe la responsabilité ?

D'une part, le compilateur et le pipeline de construction ne doivent pas autoriser les lignes de code source comportant plus d'une direction, à moins que la direction ne soit strictement limitée aux chaînes de caractères et aux commentaires.À titre indicatif, les caractères de formatage directionnel des chaînes de caractères ou des commentaires peuvent prolonger le changement de direction jusqu'à la fin de la ligne s'ils ne sont pas supprimés. En règle générale, les éditeurs de code doivent explicitement afficher et mettre en évidence les caractères Unicode suspects, tels que les homoglyphes et les caractères de formatage directionnel. Depuis novembre, GitHub ajoute désormais un symbole d'avertissement et un message à toutes les lignes de code contenant du texte Unicode bidirectionnel. Cependant, la position de ces caractères dans la ligne n'est pas mise en évidence. Cela signifie que des changements d'orientation malveillants peuvent toujours s'infiltrer discrètement.

La communication entre les développeurs et les réviseurs de code est essentielle, c'est pourquoi nous avons créé un guide expliquant les vulnérabilités. Cet exercice est actuellement disponible en Java, C#, Python, GO et PHP.

Pour en savoir plus, nous vous invitons à essayer notre produit, la simulation de source Trojan (mission publique), et à consulter la recherche sur la source Trojan.

Simulation Java

Simulation en C

Simulation en PHP

Simulation dans GO

Simulation en Python

Qu'est-ce que l'analyse statique ?

L'analyse statique consiste à analyser automatiquement le code source sans exécuter l'application.

Lorsque l'analyse est effectuée pendant l'exécution du programme, on parle d'analyse dynamique.

L'analyse statique est principalement utilisée pour détecter les éléments suivants :

• Vulnérabilité de sécurité.
• Problème de performance.
• Non-conformité aux normes.
• Utilisation d'une structure de programmation obsolète.

Comment fonctionne l'outil d'analyse statique ?

Le concept fondamental commun à tous les outils d'analyse statique consiste à analyser le code source afin d'identifier des modèles de codage spécifiques pouvant nécessiter une attention particulière.

Cela peut être aussi simple que « Les classes de test JUnit 5 n'ont pas besoin d'être publiques ». Ou cela peut être aussi complexe à identifier que « Entrée de chaîne non fiable utilisée dans une instruction d'exécution SQL ».

Les outils d'analyse statique implémentent cette fonctionnalité de différentes manières.

• Technique d'analyse syntaxique du code source pour générer un arbre syntaxique abstrait (AST)
• Correspondance d'expressions régulières de texte,
• Il s'agit de la combinaison ci-dessus.

Les expressions régulières pour le texte sont très flexibles et faciles à écrire, mais elles peuvent souvent entraîner de nombreux faux positifs et ignorent le contexte du code environnant.

La correspondance AST traite le code source non seulement comme un fichier rempli de texte, mais également comme un code de programme, ce qui permet une correspondance plus précise et adaptée au contexte, et réduit le nombre de faux positifs signalés pour le code.

Analyse statique dans l'intégration continue

L'analyse statique est fréquemment effectuée au cours du processus d'intégration continue (CI) afin de générer des rapports sur les problèmes de conformité. L'examen de ces rapports permet d'évaluer objectivement la base de code au fil du temps.

Certains utilisateurs configurent les outils d'analyse statique pour qu'ils mesurent uniquement certaines parties du code et ne signalent que les sous-ensembles de règles, afin de les utiliser comme mesure objective de la qualité du code.

L'objectivité est garantie par les règles utilisées, car l'évaluation du code ne change pas avec le temps. Il est clair que la combinaison des règles utilisées et de leur composition relève d'une décision subjective, et chaque équipe choisit d'utiliser des règles différentes selon le moment.

Bien que l'analyse statique dans CI soit utile, elle peut entraîner un retard dans le retour d'information aux programmeurs. Les programmeurs ne reçoivent pas de retour d'information pendant qu'ils codent, mais seulement plus tard, lorsqu'ils exécutent le code à l'aide d'un outil d'analyse statique. Un autre inconvénient de l'analyse statique dans CI est qu'il est facile d'ignorer les résultats.

Il est généralement possible de configurer des indicateurs de seuil dans le processus de compilation afin que l'équipe puisse accorder davantage d'attention aux résultats de l'analyse statique lorsque les indicateurs sont dépassés (par exemple, le nombre de règles déclenchées), ce qui entraîne l'échec de la compilation.

Analyse statique dans l'IDE

Il existe de nombreux plug-ins IDE qui exécutent des règles d'analyse statique dans l'IDE de manière périodique, selon les besoins ou lorsque le code est modifié, afin d'obtenir un retour plus rapide.

Ainsi, lorsque le programmeur écrit du code, l'IDE peut détecter les violations de règles. Afin de rendre plus difficile le non-respect des règles, il est possible de configurer les violations pour qu'elles soient affichées sous forme de code souligné dans l'éditeur.

Je considère personnellement que cette approche est utile pour améliorer le codage, en particulier lorsque l'on travaille avec de nouvelles bibliothèques prises en charge par les outils d'analyse statique. Il est possible que des faux positifs ou des règles non pertinentes génèrent un certain bruit. Cependant, ce problème peut être résolu en configurant l'outil d'analyse statique pour ignorer certaines règles spécifiques, ce qui nécessite une étape supplémentaire.

Modification du code basée sur des règles d'analyse statique

Dans la plupart des outils d'analyse statique, la modification des règles incombe au programmeur. Par conséquent, le programmeur doit comprendre la cause de la violation des règles et la méthode de correction.

Il existe peu d'outils d'analyse statique permettant de corriger les violations. En effet, les corrections sont souvent déterminées par l'équipe, les technologies utilisées et le style de codage convenu.

Règles de base

Lorsque des outils d'analyse statique sont fournis avec des règles par défaut, cela peut induire en erreur quant à la qualité de ces règles. Il est facile de croire qu'elles couvrent tous les problèmes auxquels un programmeur peut être confronté et toutes les situations dans lesquelles elles doivent être appliquées. Parfois, les situations dans lesquelles les règles doivent être appliquées sont subtiles et difficiles à détecter.

Nous espérons que l'utilisation d'outils d'analyse statique pour examiner plus en détail les règles et les violations permettra aux programmeurs de développer des techniques pour détecter et prévenir les problèmes dans le contexte de domaines spécifiques.

Si des règles contextuelles sont requises pour le domaine, il est possible que l'outil d'analyse statique ne dispose pas de règles correspondant au domaine ou à la bibliothèque, et qu'il soit également difficile de configurer et d'étendre l'outil.

성가심

Il n'y a rien d'insurmontable parmi ces « désagréments ».

• Faux positif
• Modifications insuffisantes
• Configuration pour contourner les règles
• Ajouter des règles contextuelles

Cependant, il est regrettable que cet argument soit souvent utilisé comme prétexte pour ne pas utiliser d'outils d'analyse statique, car ceux-ci peuvent s'avérer extrêmement utiles de différentes manières.

• Mettre l'accent sur une approche plus efficace pour les développeurs juniors
• Obtention rapide de commentaires sur les violations de codage évidentes
• Le programmeur identifie des problèmes complexes qu'il n'a jamais rencontrés auparavant.
• Veuillez souligner que le programmeur a adopté une approche de codage appropriée (si aucune violation n'a été signalée).

Outil d'analyse statique basé sur IDE

En tant que contributeur individuel au projet, j'apprécie particulièrement les outils d'analyse statique fonctionnant dans l'IDE, car ils me permettent d'obtenir rapidement des commentaires sur le code.

Cela complète tous les processus d'examen des demandes de pull et l'intégration CI qui peuvent être présents dans le projet.

Je m'efforce de trouver des outils qui me permettent de prendre l'avantage et d'améliorer mon flux de travail personnel.

Lorsque l'outil est exécuté dans l'IDE, l'interface graphique et l'approche de configuration étant identiques, il peut être souhaitable de comparer les différents outils.

Les outils peuvent comporter des fonctionnalités ou des ensembles de règles qui se recoupent, mais il est conseillé d'installer plusieurs outils afin de tirer pleinement parti de leurs avantages.

Les outils d'analyse statique IDE que nous utilisons activement lors du codage sont les suivants :

• Vérification IntelliJ intégrée - Modèles de codage courants
• Spot Bug - Erreurs courantes
• Sonarint - Utilisation habituelle
• Style de vérification - Modèle de style général
• Sensei de Secure Code Warrior Sensei Création de règles personnalisées

Ils sont tous utilisés car ils se complètent et se renforcent mutuellement.

Inspection IntelliJ

Si vous utilisez IntelliJ, vous utilisez déjà cette vérification.

Il s'agit de règles d'analyse statique marquées dans l'IDE. Certaines d'entre elles proposent également une option QuickFix permettant de réécrire le code afin de résoudre le problème.

Il est possible de définir ou de désactiver des règles et de sélectionner le niveau d'erreur à utiliser lors de la mise en évidence dans l'IDE.

Il existe de nombreuses fonctionnalités d'inspection IntelliJ remarquables. Je le sais, car j'ai lu toutes les informations à ce sujet pendant que je rédigeais cet article. J'utilise IntelliJ Inspections par défaut et je ne l'ai pas encore configuré. Cependant, pour tirer le meilleur parti de l'inspection, il est nécessaire de lire attentivement les informations, d'identifier les éléments liés à votre style de codage et de configurer le niveau d'alerte afin de pouvoir les vérifier dans le code.

L'avantage d'IntelliJ Inspecing est qu'il est fourni gratuitement avec l'IDE et qu'il contribue à développer la mémoire musculaire de la manière suivante.

• Vérification des avertissements et des erreurs dans le code source lors de l'écriture du code.
• En plaçant votre souris sur le code marqué d'un drapeau, vous pouvez déterminer s'il y a violation des règles.
• Veuillez utiliser Alt+Entrée pour appliquer QuickFix au problème.

Spot Bug

Le plugin Spot Bugs pour IntelliJ identifie les erreurs dans le code à l'aide d'une analyse statique.

Vous pouvez configurer SpotBugs dans les paramètres par défaut d'IntelliJ afin de pouvoir analyser le code. Les règles effectivement utilisées se trouvent dans l'onglet Detector.

J'ai l'habitude d'écrire et de réviser le code, puis d'utiliser SpotBugs. Ensuite, je procède à l'analyse des fichiers du projet, y compris les sources de test.

Cette approche facilite l'identification des bogues, du code mort et des optimisations évidentes. Il est également nécessaire d'examiner certaines des violations signalées afin de déterminer les mesures à prendre.

SpotBugs identifie les problèmes, mais ne fournit pas de solution QuickFix pour les résoudre.

SpotBugs est facile à configurer et constitue, à mon avis, un avis objectif et secondaire que l'on peut consulter dans mon IDE.

Sona Lint

Plug-in Sonar Lint.

Dans les paramètres par défaut d'IntelliJ, il est possible de configurer SonarLint afin de sélectionner les règles de validation du code.

Par défaut, SonarLint s'exécute en temps réel et signale les problèmes dans le code en cours d'édition.

SonarLint ne fournit pas de fonctionnalité de correction rapide, mais les documents relatifs aux rapports d'infraction sont généralement clairs et bien documentés.

Nous avons constaté que SonarLint est utile pour identifier les nouvelles fonctionnalités Java connues dans les versions récentes de Java.

Style de vérification

Le plugin Check Style fournit un ensemble de règles relatives au formatage et à la qualité du code.

Le plugin Checkstyle est fourni avec Sun Check et Google Check.

Leur définition peut être simple. Trouvé en ligne.

CheckStyle apporte le plus de valeur ajoutée lorsque le projet a pris le temps de créer son propre ensemble de règles. Il est alors possible de configurer le plugin IDE pour qu'il utilise cet ensemble de règles, et les programmeurs peuvent effectuer une analyse avant de valider le code dans l'intégration continue.

CheckStyle est fréquemment utilisé comme plugin de défaillance de compilation dans le processus CI lorsque le nombre de violations CheckStyle dépasse un seuil défini.

Monsieur

Nous utilisons une analyse statique basée sur l'AST (arbre syntaxique abstrait) pour la correspondance de code et la génération de QuickFixs, ce qui nous permet d'identifier très précisément les codes problématiques.

AST permet aux QuickFixs liés aux recettes de comprendre le code environnant. Par exemple, lorsque vous ajoutez une nouvelle classe au code, l'importation de cette classe n'est ajoutée qu'une seule fois au fichier source et n'est pas ajoutée à chaque remplacement.

Sensei a été conçu pour faciliter la création de règles de correspondance personnalisées qui n'existent pas dans d'autres outils ou qui sont difficiles à configurer.

Au lieu de modifier les fichiers de configuration, toutes les configurations peuvent être effectuées dans l'interface graphique. Lorsque vous créez une nouvelle recette, l'interface graphique vous permet de vérifier facilement le code correspondant à la recette. De plus, lorsque vous définissez des QuickFixs, vous pouvez comparer instantanément l'état antérieur et l'état postérieur du code. Vous pouvez ainsi créer facilement des recettes adaptées à chaque situation (par exemple, des recettes uniques réservées à une équipe, à une technologie ou même à un programmeur individuel).

J'utilise Sensei en complément d'autres outils d'analyse statique. Par exemple, la plupart des outils d'analyse statique détectent les problèmes, mais ne les résolvent pas. Une utilisation courante de Sensei consiste à reproduire les recherches de correspondance d'autres outils dans Sensei et à les étendre à Quick Fix. Cela présente l'avantage que les modifications personnalisées appliquées sont déjà conformes aux normes de codage du projet.

Il arrive parfois que je crée Sensei qui existent déjà dans l'ensemble d'intentions IntelliJ, car le rapport d'intention ne correspond pas parfaitement au contexte que j'ai créé ou parce que la correction rapide fournie par IntelliJ ne correspond pas au modèle de code que je souhaite utiliser.

Je préfère renforcer les outils existants plutôt que de les remplacer complètement.

Sensei peut également s'avérer très utile pour identifier les variations contextuelles des règles communes. Par exemple, si vous utilisez une bibliothèque SQL qui n'est pas prise en charge par les outils d'analyse statique, mais que les règles SQL générales du moteur d'analyse statique s'appliquent toujours, vous pouvez utiliser Sensei pour créer une variante de ces règles spécifique à la bibliothèque.

Sensei ne fournit pas autant de recettes générales que les outils d'analyse statique mentionnés précédemment. La force de Sensei réside dans sa capacité à créer facilement de nouvelles recettes avec des QuickFix configurées pour s'adapter à des styles de codage et des cas d'utilisation spécifiques.

Remarque : nous développons actuellement un référentiel public de recettes afin de couvrir les cas d'utilisation courants. Vous pouvez le trouver ici.

Résumé

J'ai tendance à privilégier les outils qui fonctionnent ensemble, qui sont configurables et qui peuvent être facilement adaptés à des situations spécifiques. J'utilise depuis plusieurs années les outils d'analyse statique de l'IDE, qui m'aident à identifier les problèmes et à mieux comprendre les langages de programmation et les bibliothèques que j'utilise.

Nous utilisons tous les outils mentionnés précédemment de manière combinée.

• Les intentions IntelliJ permettent généralement d'identifier rapidement les problèmes courants liés au code à l'aide de QuickFix.
• SpotBugs identifie les erreurs mineures que j'aurais pu manquer et signale les problèmes de performance.
• SonarLint identifie les fonctionnalités Java que je ne connaissais pas et me fournit des méthodes supplémentaires pour modéliser le code.
• L'utilisation de CheckStyle permet de respecter le style de codage convenu, qui s'applique également pendant l'intégration continue.
• Sensei permet de créer des QuickFixs afin de compléter les scénarios courants détectés par les outils d'analyse statique et de créer des recettes techniques ou des projets spécifiques difficiles à configurer avec d'autres outils.

---

Dans IntelliJ, veuillez installer Sensei à l'aide de « Préférences\Plug-ins » (Mac) ou « Paramètres\Plug-ins » (Windows), puis recherchez le « code de sécurité Sensei ».

Vous trouverez des exemples de code et des recettes pour des cas d'utilisation courants dans le projet «sensei » du compte Secure Code Warrior .

https://github.com/securecodewarrior/sensei-blog-examples

En savoir plus sur Sensei

Une méthode efficace pour améliorer la posture de sécurité d'une organisation consiste à renforcer les compétences des développeurs en matière de bonnes pratiques de codage sécurisé, grâce à un cadre comprenant des références et des benchmarks conçus pour fournir aux développeurs les parcours d'apprentissage spécifiques dont ils ont besoin. Cependant, le codage sécurisé n'est pas un problème qui peut être résolu en une seule fois. Il doit être intégré dans l'ADN de l'organisation et devenir un mode de vie. Les développeurs doivent non seulement se déplacer vers la gauche ou commencer par la gauche, mais aussi continuer à se déplacer vers la gauche.

Il ne suffit pas de simplement fournir une formation. L'organisation doit s'assurer que les développeurs ont bien assimilé la formation et qu'ils appliquent les meilleures pratiques dans le cadre de leurs tâches quotidiennes dès le début du cycle de vie du développement logiciel (SDLC). Il est essentiel de suivre les performances des développeurs par rapport aux normes internes et aux références du secteur, et de mesurer les progrès réalisés afin d'évaluer efficacement le retour sur investissement de la formation.

Secure Code Warriors Trust Score offre une visibilité sur les performances individuelles des développeurs et évalue les performances globales de l'organisation en agrégeant les données.Il identifie les domaines nécessitant des améliorations tout en démontrant l'efficacité des programmes de perfectionnement des compétences. Il facilite également la conformité à diverses exigences réglementaires, qu'elles soient liées au Règlement général sur la protection des données (RGPD), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ou autres.

Nos recherches indiquent que la formation au code de sécurité est efficace. Le Trust Score, qui utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage obtenus par plus de 250 000 apprenants dans plus de 600 organisations, démontre son efficacité pour éliminer les vulnérabilités et améliore l'efficacité des initiatives.

La formation contribue à renforcer la sécurité — lorsque les développeurs reçoivent une formation,

Pendant de nombreuses années, l'utilisation des meilleures pratiques de sécurité dès le début du cycle de vie du développement logiciel (SDLC) semblait être un objectif ambitieux dans l'industrie du logiciel. C'est une bonne chose à long terme, mais ce n'est pas une priorité aujourd'hui. Cependant, avec l'accélération constante du développement logiciel et la multiplication des cybermenaces sophistiquées et destructrices qui ciblent souvent les vulnérabilités logicielles, le codage sécurisé est devenu indispensable. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) place le code sécurisé au premier plan. Il s'agit d'une initiative internationale en pleine expansion qui vise à promouvoir la conception sécurisée.

Nos recherches ont démontré une corrélation évidente entre l'approche Secure by Design et la réduction des vulnérabilités logicielles.L'analyse des données relatives à la réduction des vulnérabilités chez 26 % des clients SCW a révélé que la formation des développeurs avait permis de réduire les vulnérabilités logicielles de 22 % à 84 %. Cette fourchette s'explique par plusieurs variables, notamment la taille de l'entreprise concernée (les résultats sont d'autant plus spectaculaires que l'entreprise est petite et compte relativement peu de développeurs), le fait que le groupe d'apprentissage se soit concentré ou non sur un problème spécifique, et Dans ce cas, le taux de défauts était plus élevé.

Les résultats des grandes entreprises étaient relativement similaires. Dans les entreprises comptant plus de 7 000 développeurs, on peut s'attendre à une réduction des vulnérabilités de 47 % à 53 % grâce à l'amélioration des compétences des développeurs en matière de sécurité. Par exemple, une entreprise comptant plus de 10 000 développeurs (qui n'est ni la plus performante sur la plateforme ni celle qui affiche les meilleurs résultats) a vu ses vulnérabilités diminuer de 53 %.

Bien entendu, une approche large et uniforme n'est pas nécessaire pour une formation efficace. Elle doit être adaptée à l'environnement de travail du développeur et au type de développement qu'il effectue.

Les entreprises doivent d'abord établir les compétences de base nécessaires pour permettre aux développeurs d'écrire du code sécurisé aussi naturellement qu'ils écrivent du code. Les programmes de perfectionnement doivent être composés de formations pratiques et agiles utilisant des scénarios réels adaptés au type de travail effectué et au langage utilisé. Ils doivent également être suffisamment flexibles pour s'adapter au calendrier de travail.

Pour les développeurs, l'ensemble des compétences requises va au-delà de la simple écriture de code. Les développeurs doivent être capables de vérifier les assistants d'intelligence artificielle et les logiciels créés par des tiers (par exemple, les référentiels open source). Les développeurs ont largement adopté les modèles d'IA générative et ont généralement apprécié leur capacité à générer plus de code plus rapidement.Cependant, 76 % des personnes interrogées ont déclaré que le code généré par l'IA était plus sûr que le code généré par l'homme, tandis que 56,4 % ont déclaré que l'IA générait encore des erreurs de manière occasionnelle ou fréquente. La même enquête a révélé que 80 % des développeurs ignoraient les politiques de sécurité relatives au code généré par l'IA, ce qui suggère que les problèmes liés à ce type de code ne sont pas résolus.

Dans l'approche Secure-by-Design, les développeurs ne travaillent pas séparément de l'équipe de sécurité, mais collaborent avec elle afin de résoudre ces problèmes dès le début du cycle de vie du développement logiciel (SDLC) et d'identifier et de corriger les défauts avant que le code ne soit mis en production.

Le score de confiance mesure les performances individuelles et celles des entreprises.

Il est également essentiel de dispenser une formation continue. Les entreprises doivent adopter une culture axée sur la sécurité qui s'applique à tous les niveaux, du plus haut poste au plus bas. L'accent doit être mis sur l'amélioration continue et l'application des meilleures pratiques de sécurité tout au long du cycle de vie du développement logiciel (SDLC). La technologie et les cybercriminels ne cessent d'évoluer, tout comme la cybersécurité. Pour les organisations qui développent des logiciels, des développeurs formés à la sécurité constituent la base.

Il est donc tout aussi important de démontrer l'efficacité de la formation que de la dispenser. Les scores de confiance permettent non seulement d'évaluer les performances individuelles des développeurs et de l'organisation dans son ensemble, mais aussi d'analyser en détail les données de performance afin de se concentrer sur un langage, une équipe de développeurs ou une catégorie de logiciels spécifique. Les données relatives aux performances individuelles et agrégées aident également à identifier les domaines dans lesquels la formation doit être améliorée (par exemple, si elle n'a pas l'impact souhaité sur les performances quotidiennes des développeurs).

L'organisation peut évaluer les performances des développeurs à l'aide du Trust Score et vérifier qu'ils ont acquis et utilisent les compétences nécessaires en matière de sécurité afin de déterminer s'ils sont aptes à obtenir une licence de codage. Cela permet à l'organisation d'accorder en toute confiance l'accès aux données les plus sensibles et aux projets logiciels critiques aux développeurs qualifiés, tout en refusant l'accès à ceux qui n'utilisent pas encore les outils appropriés.

Preuve d'une culture de la sécurité en pleine évolution

La cybersécurité n'est plus une simple question de sécurité. Il s'agit d'un enjeu commercial qui affecte l'intégrité des données, l'actif le plus précieux de nombreuses organisations. Les violations graves peuvent avoir un impact sur les opérations, la réputation et, potentiellement, la viabilité même de l'organisation. Avec la mise en œuvre de réglementations de plus en plus strictes, l'importance de la cybersécurité n'a pas échappé aux organismes de réglementation, qui sont prêts à intenter des poursuites contre les RSSI et, potentiellement, d'autres cadres supérieurs. Ces organismes sont prêts à engager des poursuites pénales, comme dans les cas suivants : Uber et SolarWinds.

Dans le contexte actuel, il est essentiel d'adopter une culture de la sécurité à l'échelle de l'entreprise. Étant donné qu'une grande partie de la valeur d'une entreprise réside dans ses données, ses applications et ses services, le codage sécurisé est un élément central de la culture d'entreprise. La formation, qui a démontré son efficacité dans la transformation culturelle, ainsi que la formation ciblée et l'amélioration des compétences, qui font partie intégrante de la mentalité culturelle, peuvent aider les organisations à renforcer leur posture de sécurité.

Les programmes de sécurité dirigés par les développeurs présentent une valeur certaine. Les preuves sont les suivantes : score de confiance.