Plateformes d'apprentissage agiles : Le retour sur investissement de la sécurité axée sur les développeurs

Dans un paysage logiciel en évolution rapide, les développeurs sont désormais responsables de la sécurité des produits dès leur conception. Dans ce rapport conjoint de Secure Code Warrior et Accenture, nous explorons les défis liés à la formation traditionnelle en matière de sécurité et les coûts d'opportunité liés à la perturbation des flux de travail des développeurs. Entrez dans une version agile de Plateforme D'apprentissage pour un code sécurisé, qui réduit les vulnérabilités de moitié tout en améliorant la productivité. 

Dans ce livre blanc, nos experts de Secure Code Warrior et d'Accenture analysent la situation : 

• Comment calculer le retour sur investissement de l'apprentissage agile en tenant compte de facteurs tels que les licences, les salaires et le temps de remédiation. 
• Découvrez comment Accenture intègre Secure Code Warrior, transformant la formation au code sécurisé et soulignant la valeur de la formation des développeurs.
• Secure Code Warrior les utilisateurs bénéficient d'une augmentation de 148 % de la productivité des développeurs, d'une réduction du nombre de vulnérabilités et d'une accélération des cycles de publication, ce qui rend la sécurité proactive financièrement viable.

‍

Qu'est-ce que les Devlympics ?

Les Devlympics sont un événement mondial annuel tournament organisé par Secure Code Warrior sur son site agile Plateforme D'apprentissage pour tester les compétences des développeurs en matière de code sécurisé.

Pendant les 24 heures de tournament, des développeurs du monde entier ont participé à des défis de codage offensifs et défensifs dans les langages de programmation de leur choix. Les développeurs ont eu l'occasion de se mesurer à leurs pairs dans un large éventail de compétences et de s'affronter pour gagner des points et se hisser au sommet du classement.

Dans ce rapport, vous trouverez une vue d'ensemble des résultats des Devlympics 2023, ainsi qu'une analyse approfondie des forces et des opportunités mises en évidence par des centaines de développeurs à travers les défis relevés. En outre, nous avons mis en évidence les tendances pour chaque secteur, chaque langue et les CWE (Common Weakness Enumerations) les plus courants auxquels les développeurs se sont attaqués pour vous aider à passer à la vitesse supérieure dans l'apprentissage du code sécurisé.

Ce que les développeurs disent des Devlympics et Secure Code Warrior

"Secure Code Warrior est une plateforme idéale pour se mesurer à d'autres participants et améliorer ses compétences.

"Secure Code Warrior adopte une approche interactive, semblable à celle de l'examen du code. 

"Secure Code Warrior est l'une des meilleures plateformes qui vous forme par le biais de concours intéressants."

"Excitant, palpitant, j'ai adoré ! 

Les développeurs aiment Secure Code Warrior

Nous avons interrogé plus de 200 participants après l'événement, et les chiffres montrent que les développeurs aiment la compétition.

Engagement des développeurs

La participation des développeurs aux Devlympics continue d'augmenter d'année en année, avec plus de 1000 développeurs participant aux 2023 tournament. Les Devlympics ont attiré l'attention du monde entier, des professionnels de la sécurité et des développeurs de divers secteurs et disciplines de programmation. Avec une participation deux fois plus importante que l'année dernière, nous constatons que les développeurs sont de plus en plus désireux d'apprendre à coder de manière sécurisée. En développant une communauté de développeurs compétents en matière de sécurité, les Devlympics continuent de mettre en évidence la valeur des développeurs en tant que première ligne de défense dans la protection de votre code contre les vulnérabilités.

‍

Industries présentes aux Devlympics

Le code sécurisé est important pour tous les secteurs, mais pour certains d'entre eux, il est absolument essentiel. Des secteurs comme la banque et les services financiers ainsi que la technologie ont occupé les premières places en ce qui concerne le nombre de développeurs participant à l'enquête. Cela montre l'importance de l'attention et de l'importance que ces secteurs accordent au code sécurisé.

‍

Langues jouées par l'industrie

Les différents secteurs utilisent une variété de langages de programmation - dont 6 catégories différentes (Web, Mobile, Front-End, API, Cloud et Mashup) avec plus de 30 langages différents disponibles. Voici quelques-uns des langages dont nous avons constaté la tendance dans différents secteurs d'activité.

‍

Ne peut pas s'arrêter, ne veut pas s'arrêter

Les joueurs des Devlympics ont passé en moyenne près de 3 heures sur la plateforme, ce qui représente un total de 4 152 heures de jeu.

Certains développeurs en tête du classement sont passés à la vitesse supérieure. Les 20 joueurs ayant le plus de temps de jeu ont joué en moyenne 14 heures sur le site tournament. C'est ça, le dévouement !

‍

Développeurs de la pile complète

Lors des Devlympics, 41 % des développeurs ont joué dans au moins deux langues différentes, et près d'un quart d'entre eux ont joué dans plus de trois langues.

Selon Stack Overflow, les développeurs qui produisent du code dans au moins deux langues sont considérés comme des développeurs complets.

Votre programme de formation garantit-il que les développeurs sont formés à toutes les technologies dans lesquelles ils codent ? Avec plus de 63 langages et frameworks différents, la plateforme Secure Code Warrior vous couvre.

‍

‍

Tendances de la pile technologique

Le code sécurisé est d'une importance primordiale pour le code accessible au public.

Dans tous les secteurs d'activité, les développeurs ont joué avec des langages Web ou API.

Java Spring et Docker Basic ont pris les premières places en tant que langages individuels les plus joués sur le site tournament.

‍

‍

‍

Communauté de champions de la sécurité

Les meilleurs des meilleurs ont participé aux Devlympics de cette année - la majorité d'entre eux sont déjà des clients de Secure Code Warrior - et les résultats en témoignent ! Dans tous les secteurs d'activité, les joueurs des Devlympics ont obtenu des résultats bien supérieurs à la référence sectorielle que Secure Code Warrior a notée pour les évaluations sur sa plateforme.

Comme nous continuons à construire notre communauté de développeurs champions de la sécurité sur la plateforme Secure Code Warrior , nous nous attendons à ce que ces chiffres deviennent de plus en plus prometteurs chaque année.

Principales vulnérabilités - Web et API

Les développeurs qui ont participé aux Devlympics ont montré de bons niveaux de compétence dans les catégories du Top 10 de l'OWASP pour les failles d'injection et les composants tiers vulnérables. Nous sommes optimistes et pensons que ces vulnérabilités finiront par disparaître des listes du Top 10 de l'OWASP au fil du temps.

L'assignation en masse reste un problème majeur. Le niveau de compétence des développeurs était l'un des plus faibles pour cette vulnérabilité particulière. Étant donné le manque d'outils et de tests automatisés dans ce domaine, il s'agit d'une véritable source d'inquiétude qui doit être surveillée de près. Une meilleure formation dans ce domaine permettra également d'alléger la pression exercée sur les équipes de sécurité chargées de traiter cette vulnérabilité particulière.

‍

‍

Les 25 faiblesses logicielles les plus dangereuses selon le CWE

La liste des 25 faiblesses logicielles les plus dangereuses de Common Weakness Enumeration (CWE) fournit aux développeurs une liste annuelle des faiblesses logicielles les plus courantes et les plus importantes à l'heure actuelle.

#Le n°1 CWE-787 Corruption de mémoire, le n°9 CWE-352 Falsification de requête intersite et le n°10 CWE-434 Téléchargement de fichiers ont obtenu les scores de précision les plus bas pendant les Devlympics. 

Les vulnérabilités liées à l'injection, telles que l'injection SQL #3 SWE-89, l'injection de commande OS #5 CWE-78 et le Path Traversal #8 CWE-22, ont fait partie des CWE les mieux notés lors des Devlympics. Nous nous attendons à ce que ces vulnérabilités soient moins bien classées dans les listes de l'industrie telles que le CWE Top 25 ou l'OWASP Top 10, à mesure que les compétences des développeurs s'améliorent.

‍

Faiblesse de l'ordre

‍

Conclusion

Les Devlympics 2023 démontrent que les développeurs du monde entier s'engagent et apprennent en participant au site tournament. L'impact se fera sentir au-delà de la fierté ressentie lors de la compétition, mais les scénarios du monde réel permettent de retenir facilement leurs connaissances et de passer de la pratique à l'application.

Secure Code Warrior est l'outil agile de pointe pour le code sécurisé Plateforme D'apprentissage qui permet aux développeurs d'acquérir les compétences nécessaires pour écrire du code sécurisé.

Avec Secure Code Warrior, vous pouvez organiser votre propre tournament comme les Devlympics pour vos équipes de développement. Réunissez votre équipe pour une compétition ludique et amusante où ils apprendront tout sur la localisation, l'identification et la correction des vulnérabilités des logiciels.

‍

Rejoignez la communauté grandissante

Notre vision est d'inspirer une communauté mondiale de développeurs compétents en matière de sécurité pour qu'ils adoptent une culture de codage préventive et sécurisée. Notre objectif est de renforcer la résilience en matière de sécurité en minimisant l'occurrence des attaques, des menaces et des risques, afin que vous puissiez conduire le changement, innover et accélérer. Nous pensons que le coaching et le mentorat font partie intégrante de l'adhésion à notre communauté de développeurs !

Inscrivez-vous aux Devlympics 2024 et suivez-nous sur X pour rester au courant de toutes les annonces.

‍

‍

TL;DR

Sage est une multinationale britannique de logiciels d'entreprise qui fournit aux entreprises des logiciels et des services simples et faciles à utiliser pour la paie, les ressources humaines et les finances. En 2017, elle est la deuxième société technologique du Royaume-Uni, le troisième fournisseur mondial de logiciels de planification des ressources d'entreprise et le premier fournisseur des petites entreprises, avec plus de 6 millions de clients dans le monde.

Situation 

Avant de travailler avec Secure Code Warrior, Sage a commencé à définir son réseau de champions de la sécurité pendant environ 10 ans. Malgré le solide réseau de développeurs axés sur la sécurité, la formation était sporadique et n'était pas structurée de manière à se concentrer sur la réduction des risques. 

Sage a reconnu qu'il était important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une période de temps avec une approche flexible. Le programme de Sage a lié ses objectifs à la réduction des risques et à l'impact matériel de ce programme. Lors du pilotage du programme avec certaines unités commerciales, l'accent a été mis sur la manière de mesurer la réduction des risques et de la répercuter sur l'entreprise afin d'obtenir l'adhésion des développeurs et de la direction générale. 

Action

Mads Howard, responsable de la sécurité centrée sur les personnes chez Sage, a travaillé avec des développeurs pour comprendre les profils des champions de la sécurité. Elle a rencontré des développeurs dans chaque unité opérationnelle et a mené des entretiens avec eux pour comprendre ce qui les motive, comment ils aiment apprendre et quelles sont les limites qu'ils voient dans leur travail. Avec son équipe, elle s'est efforcée d'établir des relations avec les développeurs et leurs chefs d'équipe, et a insisté sur l'importance de faire preuve de souplesse dans leur approche.

Mads met l'accent sur l'établissement de relations,

"Nous avons passé beaucoup de temps à établir des relations avec les chefs d'équipe de développement, les chefs d'équipe d'ingénierie et les chefs de produit - les personnes qui contrôlent le temps consacré à l'éducation pendant les cycles de sprint.

Selon Mads, il s'agissait également d'étendre leur réseau de champions de la sécurité,

"Le réseau des champions de la sécurité a été considéré comme un élément clé de ce programme. Pour que les produits puissent passer par ce programme, nous avons dû prendre au sérieux le rôle d'un champion de la sécurité et lui fournir une solide formation en la matière. 

L'objectif des équipes de sécurité globale de Sage était de mettre en œuvre un programme de contrôle de la sécurité qui prenne en compte les besoins d'apprentissage des développeurs dans un environnement technologique complexe et de choisir un partenaire qui travaille en parallèle avec leurs outils de sécurité existants pour aider à la gestion des vulnérabilités. 

Il était important que l'éducation soit considérée comme un aspect important d'un programme de contrôle de sécurité mature. Ils se sont concentrés sur la mesure de la réduction des risques : 

• Amélioration de la note de risque
• Âge de la vulnérabilité Réduction de l'arriéré de vulnérabilités
• Temps de résolution
• Pas de vulnérabilités fermées vs. vulnérabilités ouvertes
• Nombre de problèmes par ligne de code écrit par Sage (pas de tiers)

Pour Mads,

"La prochaine étape pour Sage en tant qu'entreprise est de démontrer que l'amélioration des compétences par le biais d'un programme de codage sécurisé intégré dans les flux de travail des développeurs permet de réduire les risques de manière mesurable".

Résultats

Mads a souligné l'importance du partenariat et des conseils que Secure Code Warrior lui a fournis, à elle et à son équipe,

"Je dirais honnêtement que nous n'aurions pas été en mesure d'aller aussi loin et de construire une sorte de programme qui a ce niveau de maturité en termes de différentes couches ou d'équipe de développement à travers différentes technologies sans le soutien de Secure Code Warrior." 

Une fois que Mads et son équipe ont terminé leurs entretiens et obtenu l'adhésion des développeurs, elle a commencé à mettre en œuvre Secure Code Warrior dans le cadre d'un programme plus large de culture de la sécurité. 

Les résultats, selon Mads, sont les suivants,

"Sage compte aujourd'hui plus de 200 champions de la sécurité inscrits au programme, et si un champion de la sécurité consacre 3,5 heures par semaine (ou 10 % de son temps) à l'acquisition de compétences, il peut plaider en faveur d'un programme de codage sécurisé, d'une formation continue et de la valeur qu'il leur apporte." 

Avec l'adhésion des dirigeants et des objectifs mesurables en matière de réduction des risques, Mads a pu commencer à mesurer le succès non seulement en fonction du nombre de personnes sur une plateforme et des heures de jeu, mais aussi en fonction du temps nécessaire pour corriger les vulnérabilités, de l'âge des vulnérabilités, puis en comparant avec les nouvelles fonctionnalités qui ont été développées pour les clients afin d'obtenir un point de vue holistique sur la réduction des vulnérabilités. Pour une équipe, l'impact ressenti a été énorme, avec une réduction de 82 % du temps moyen pour corriger une vulnérabilité.. 

Toutefois, Howard a ajouté que ce qui importait le plus était ce qui n'était pas quantifiable, à savoir l'engagement et la volonté des équipes de s'impliquer dans le programme.

Principaux enseignements

L'expérience de Sage souligne la pertinence d'une formation à la sécurité bien planifiée et exécutée, l'importance d'une approche flexible et intégrée - une leçon à retenir pour toute organisation visant à mettre en place un programme de codage robuste et sécurisé. Selon Mads, il est important de se rappeler que c'est en travaillant avec les développeurs, et non contre eux, que l'on peut mettre en œuvre un programme de contrôle de la sécurité efficace et intégrer la sécurité dans la culture de l'entreprise. 

• La création d'une culture de la sécurité ne se fait pas du jour au lendemain. Il est important de consacrer du temps à l'établissement de relations et à l'intégration de la sécurité sur une certaine période, et d'y consacrer des ressources. 
• Reliez tout à la réduction des risques et concentrez-vous sur l'impact matériel d'un programme de codage sécurisé.
• Concentrez-vous sur la manière dont vous pouvez mesurer cette réduction des risques pour la répercuter sur l'entreprise, afin que le programme soit perçu comme ayant un impact et une réussite tant par les développeurs que par les dirigeants. 

Pour les développeurs qui souhaitent devenir des champions de la sécurité, elle et son équipe ont également donné ce conseil : 

• Créez autour de vous un réseau de personnes intéressées par la sécurité et participez à des conférences et à des exposés. Passez du temps à vous informer sur les sujets qui vous intéressent. 
• Gardez à l'esprit que la culture d'une organisation ne changera pas du jour au lendemain et qu'il faudra du temps pour qu'elle se développe et mûrisse. 

‍

Transcription de la vidéo

La formation traditionnelle au code sécurisé fait bâiller vos développeurs. N'est-ce pas ?

Grâce à l'approche d'apprentissage agile des guerriers du code sécurisé, les développeurs apprennent rapidement grâce à des micro-coupures courtes d'une formation très pertinente juste à temps.

Coding labs, notre expérience d'apprentissage IDE simulée, change la donne Avec coding labs, vos développeurs apprennent par la pratique dans un environnement IDE entièrement interactif qui s'exécute dans un navigateur.

Les développeurs écrivent du code et corrigent les vulnérabilités du monde réel.

Les laboratoires de codage les invitent automatiquement à fournir un retour d'information contextuel en temps réel, dont ils ont besoin. Cette approche d'apprentissage pratique à l'intérieur de l'IDE simulé maintient leur engagement et est beaucoup plus pertinente pour leur travail quotidien. Il en résulte des gains de productivité mesurables en termes de réduction des risques, d'évitement des reprises coûteuses et de correction plus rapide des vulnérabilités.

Les laboratoires de codage sont très différents des autres options de formation à la sécurité. Ils n'exigent pas des développeurs qu'ils créent de nouvelles machines virtuelles.

Il offre une formation pratique avec l'interface utilisateur que les développeurs connaissent et apprécient.

Il fait progresser les développeurs en leur suggérant des extraits de code et en leur apportant des réponses pas à pas adaptées à leurs erreurs.

Et il épargne aux développeurs les cours inefficaces et les occasions orientées vers la conformité. C'est pourquoi les clients de Secure Code Warrior constatent des gains de productivité deux à trois fois mesurables en termes de réduction des risques, d'évitement des reprises coûteuses et de correction plus rapide des vulnérabilités.

Réservez une démonstration pour voir les laboratoires de codage en action dès aujourd'hui.

‍

Transcription de la vidéo

Assurer la sécurité de votre application devient chaque jour plus difficile et plus coûteux. Les failles de sécurité sont plus fréquentes et plus coûteuses que jamais, la conformité réglementaire continue d'être complexe, et l'approche traditionnelle de l'apprentissage du code sécurisé ne parvient pas à impliquer vos développeurs ou à réduire votre profil de risque.

Secure Code Warrior est le site agile Plateforme D'apprentissage pour l'éducation au code sécurisé avec le contenu de sécurité le plus profond et le plus à jour de l'industrie.

Tout comme les pratiques de livraison agile ont révolutionné le développement de logiciels en divisant le travail en petits sprints, Secure Code Warrior incorpore les principes d'apprentissage agile dans la formation au code sécurisé afin que les développeurs puissent intérioriser et utiliser de nouvelles compétences plus rapidement.

Notre plateforme fournit des micro-coupures de contenu d'apprentissage directement intégrées dans le flux de travail du développeur.

Les expériences d'apprentissage sont intégrées dans la boîte à outils des développeurs, au moment où ils en ont besoin, dans GitHub, Jira, etc.

En utilisant une approche d'apprentissage agile, SCW offre aux développeurs de multiples voies d'apprentissage, que ce soit par le biais de directives pédagogiques, de vidéos, de défis pratiques ou dans nos laboratoires de codage de l'expérience d'apprentissage ID E dans le navigateur. tournaments Avec Secure Code Warrior et notre approche d'apprentissage agile, vos développeurs intérioriseront de nouvelles compétences plus rapidement et plus efficacement parce qu'ils apprennent par la pratique dans le contexte d'un travail quotidien réel au sein des outils de développement qu'ils utilisent déjà tous les jours, sans interrompre leur flux.

C'est pourquoi les clients de Secure Code Warrior constatent des gains commerciaux deux à trois fois supérieurs dans de multiples domaines.

Secure Code Warrior est le leader de la formation au code sécurisé et la seule plateforme construite sur les principes de l'apprentissage agile. Réservez une démonstration et apprenez-en plus dès aujourd'hui.

Contexte

Netskope, leader mondial de la SASE, aide les organisations à appliquer les principes de confiance zéro et les innovations AI/ML pour protéger les données et se défendre contre les cybermenaces. Rapide et facile à utiliser, la plateforme Netskope offre un accès optimisé et une sécurité en temps réel pour les personnes, les appareils et les données, où qu'ils se trouvent. Netskope aide les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur toute activité liée au cloud, au web et aux applications privées. Des milliers de clients font confiance à Netskope et à son puissant réseau NewEdge pour faire face à l'évolution des menaces, aux nouveaux risques, aux changements technologiques, aux changements organisationnels et de réseau, ainsi qu'aux nouvelles exigences réglementaires.

Situation

La vitesse d'innovation de l'informatique en nuage et de l'intelligence artificielle a considérablement accéléré le cycle de vie du développement logiciel. James Robinson, RSSI chez Netskope, a reconnu que la façon de former les développeurs en répondant aux objectifs de conformité avec des vidéos sur le développement sécurisé dans une poignée de langages seulement n'était pas viable sur le marché actuel. L'adoption rapide de ces langages et l'évolution rapide de son organisation ont créé un défi pour que les développeurs de Netskope restent au fait des nouveaux langages et des nouvelles technologies, mais aussi pour qu'ils restent compétents en matière de sécurité.

Netskope a tenté de créer davantage de connexions personnalisées afin d'élargir les langages et la couverture des développeurs, mais l'engagement restait très faible et la formation a rapidement commencé à nuire à la productivité. James souhaitait modifier son approche afin que les développeurs soient enthousiasmés par le sujet grâce à des approches d'apprentissage plus pratiques.

Action

Les formations annuelles ou ad hoc n'abordaient pas de manière globale la variété des outils SAST, l'infrastructure comme les scanners de code, et pouvaient être intégrées dans les étapes de sécurité CI et CD de Netskope. Netskope devait être en mesure d'intégrer la participation des développeurs à la sécurité dans le processus d'analyse et de test. Cela a permis d'établir une base pour la formation au développement sécurisé, en complément des exigences de conformité.

Déplacement vers la gauche

Lorsque Netskope a commencé à discuter du "glissement à gauche", la question s'est posée de savoir ce que ce glissement à gauche signifiait réellement. Jusqu'où faut-il aller ? La direction a pris la décision de changer le nom en interne pour parler d'"adoption en libre-service". En principe, cela a permis de donner aux développeurs les moyens d'être proactifs en matière de formation au code sécurisé. En travaillant avec Secure Code Warriorils ont mis en place un programme qui a rendu le contenu de la sécurité visible et accessible aux développeurs afin qu'ils ne s'égarent pas vers des solutions non validées.

Capacité d'action et valeur ajoutée

Le contenu personnalisable et la myriade d'activités d'apprentissage pratiques proposées par la conférence ont également ouvert la voie à des conversations plus ouvertes et productives entre les équipes de sécurité et de développement. Secure Code Warrior ont également ouvert la voie à des conversations plus ouvertes et plus productives entre les équipes de sécurité et de développement. Lorsque les développeurs ont commencé à comprendre la valeur de la formation, au-delà de la simple conformité, ils se sont davantage engagés et ont été intrigués par la sécurité. Cela a également permis d'examiner les vulnérabilités critiques et récurrentes afin de créer davantage de contenu éducatif pour compléter leur programme.

Résultats

Après avoir lancé son programme, Netskope s'est efforcé de recueillir les commentaires des développeurs pour s'assurer qu'ils tiraient le meilleur parti de la plateforme. Les résultats ont été extrêmement positifs.

Selon James Robinson, RSSI chez Netskope :

Notre équipe de développeurs, grâce en grande partie à la plateforme Secure Code Warrior, a réussi à passer à gauche en adoptant une approche d'apprentissage en libre-service plus attrayante qui met les parcours d'apprentissage entre les mains des développeurs plus rapidement. Plus important encore, nous avons le sentiment d'obtenir un meilleur retour sur investissement avec nos efforts de formation des développeurs en raison d'une plus grande participation et du fait que ces efforts ne sont plus perçus comme une activité à cocher, imposée par la conformité. Le résultat de tout cela est que nous permettons à nos développeurs de devenir des champions de la sécurité.

Principaux enseignements

• ‍Les organisationsqui n'investissent pas dans une solide équipe de sécurité des applications laissent leur code introduire davantage de risques . En fin de compte, elles perdent du temps et de l'argent à corriger les vulnérabilités et à résoudre les problèmes de sécurité.‍
• Profitez d'un programme qui vous permet de gagner du temps en vous contentant de quelques apprentissages clés chaque mois grâce à un contenu pertinent, plutôt qu'une formation annuelle d'une heure axée sur la conformité. Le temps gagné grâce à la formation des développeurs se traduira par une réduction des travaux nécessaires pour corriger des vulnérabilités qui n'auraient pas dû être introduites en premier lieu.‍
• Il existe un nouveau mandat pour coder des solutions en nuage à grande échelle. Il y a quelques années, on s'attendait à ce que les développeurs s'investissent pleinement dans la sécurisation du code à l'aide d'un seul langage de programmation. Ce n'est plus le cas aujourd'hui sur le marché de la haute technologie. Vous devez choisir plusieurs langages qui s'alignent le mieux sur l'infrastructure et les applications en nuage qu'une entreprise souhaite développer et poursuivre.

Situation

Avant que Workday ne mette en œuvre l'apprentissage agile avec Secure Code Warrior, ils utilisaient en interne courses qui comprenait des enregistrements de présentations PowerPoint qui couvraient les 10 principales vulnérabilités de l'OWASP avec quelques exemples de pseudocode. Alex Uda, responsable du programme de formation des développeurs à la sécurité, s'est rendu compte que cela n'aidait pas son équipe et l'équipe de sécurité dans son ensemble à atteindre leurs objectifs d'amélioration de la posture de sécurité globale de Workday. Comme les développeurs se désintéressaient rapidement de leur formation, ils ont décidé de commencer à solliciter leurs commentaires et ont remarqué que deux points revenaient sans cesse :

1. Le besoin d'une formation plus pratique 
2. La nécessité d'un contenu plus spécifique à la langue
   

Action 

En travaillant avec les développeurs, Alex et son équipe ont identifié deux priorités principales pour obtenir l'adhésion des développeurs afin de créer un programme d'apprentissage du code sécurisé attrayant et réussi.

Clarté et simplicité 

La plupart des développeurs n'arrivent pas à leur poste avec des connaissances en matière de sécurité. Tout ce qui est frustrant ou qui prend du temps conduira les développeurs à s'orienter vers des solutions de contournement et de piratage. Workday a remarqué que le SCW permettait aux développeurs d'avoir une idée claire du processus, de se l'approprier et de l'intégrer dans leurs flux de travail.

Capacité d'action et valeur ajoutée 

Les développeurs veulent avant tout être en mesure d'agir sur quelque chose qui affecte la base de code/le cycle de vie, et de le faire rapidement. Pour ce faire, les développeurs ont besoin d'être éduqués sur la manière de procéder. Si vous voulez qu'un développeur s'intéresse à un sujet comme la sécurité, mettez en évidence la valeur de ces sujets.

Pour structurer le programme, Alex et son équipe ont d'abord recueilli les commentaires d'un groupe pilote de champions de la sécurité sur la plateforme et ont travaillé avec leur responsable de la réussite des clients pour mettre en œuvre leurs suggestions. Alex et son équipe ont ensuite examiné leurs outils SAST et différentes mesures du nombre d'incidents et d'événements de sécurité pour évaluer les risques les plus élevés dans leur environnement actuel et ce qui se passe dans l'ensemble de l'industrie. Ils se sont d'abord concentrés sur le top 10 de l'OWASP et sur les vulnérabilités les plus courantes et les plus risquées de Workday
‍

"En donnant aux développeurs la possibilité d'apprendre et d'agir, le SCW nous a permis d'améliorer activement la sécurité de nos logiciels. Il ne s'agit pas seulement d'écrire du code, il s'agit aussi d'opportunités de croissance et de carrière. Si Workday soutient le programme de sécurité, c'est parce qu'il s'agit d'un domaine dans lequel l'ensemble de l'entreprise est aligné, de sorte que les développeurs ont pu consacrer du temps à l'apprentissage et au développement. Le fait de consacrer deux heures par semaine à l'apprentissage sur une certaine période permet de développer la mémoire musculaire avec constance."
‍

Résultats

Traditionnellement, il est facile de considérer la sécurité comme une étape finale du processus de développement. En travaillant avec l'équipe de sécurité, les développeurs de Workday considèrent désormais la sécurité comme un élément important du cycle de développement. Ils peuvent prendre des mesures de sécurité rapidement et plus tôt dans le cycle de développement, ce qui a été l'impact le plus important de ce programme. Pour une équipe basée à Dublin, les développeurs sont passés de 4662 problèmes de sécurité - soit une moyenne de 31,08 problèmes par jour - à 0 en l'espace d'environ 18 mois.

Alex décrit la croissance du programme comme "un effet boule de neige après avoir commencé avec les champions de la sécurité les plus en vue. Au fur et à mesure que nous faisions connaître le programme et ses avantages aux dirigeants et que nous continuions à augmenter le nombre de nos membres, nous avons constaté une croissance presque naturelle due au bouche-à-oreille. Du point de vue de la formation, notre objectif est de donner à nos développeurs les compétences nécessaires pour développer du code en toute sécurité. C'est d'autant plus important que Workday continue à se développer.

Principaux enseignements

Selon Alex, "pour réussir à faire évoluer la sécurité, il est impératif que nos développeurs aient un état d'esprit sécuritaire qui les aide à identifier les risques de sécurité pendant la phase de conception de leur logiciel. Cette démarche s'inscrit dans le cadre de notre initiative "shift left" visant à donner à nos développeurs les moyens d'économiser du temps, de l'argent et quelques maux de cœur. Plus nous améliorons l'apprentissage du code sécurisé, moins nous voyons de vulnérabilités dans nos analyses et les résultats de nos pentests.

Pour les développeurs, il est important de s'amuser lors de l'apprentissage de la sécurité
Le SCW est excellent pour montrer à quel point cela peut être passionnant. Si vous vous engagez dans l'apprentissage de la sécurité, profitez-en pleinement. Considérez-le comme un élément de votre processus de développement et de votre évolution de carrière.

‍Encouragezles développeurs à contacter l'équipe s'ils sont curieux au sujet de la sécurité
Ayez une conversation et commencez cette collaboration.‍

La sécurité comme une boîte noire ou comme un ajout à votre projet est archaïque et ne rend finalement pas service à votre logiciel.
L'intégration de la sécurité dans le processus de développement - de la même manière que nous adoptons le TDD, l'agile et le linting - améliorera le flux et la qualité des logiciels livrés aux clients.

‍

La conformité est le résultat d'une bonne sécurité, et non l'inverse. Si les développeurs apprennent et appliquent activement les concepts dans leur travail quotidien, la sécurité se développera de manière holistique dans la culture de l'entreprise.

Découvrez comment Netskope a tiré parti de la flexibilité du contenu de Secure Code Warrioret de l'approche interactive et pratique de l'apprentissage pour créer une approche programmatique de la sécurité axée sur les développeurs, tout en répondant aux exigences de conformité de leur secteur.

Pour lancer le mois de la sensibilisation à la cybersécurité, ce webinaire abordera les sujets suivants :

• Les principaux moteurs de l'activité de Netskope et la manière dont ils ont élaboré un dossier commercial pour le SCW et l'apprentissage agile du code sécurisé.
• Quelles actions ont été entreprises pour lancer le programme et quels étaient leurs objectifs ?
• Comment établir un partenariat avec les développeurs et mesurer leur engagement comme un facteur de réussite ?
• Comment le programme Warrior de Netskope a doublé la participation à la formation du SCW en deux ans

Le concept de "déplacement vers la gauche" fait partie du discours du secteur de la cybersécurité depuis le début des années 2000. La menace imminente de cyberattaques à grande échelle a nécessité une stratégie de défense au fur et à mesure que l'empreinte numérique du monde se développait.

Pourtant, près de vingt ans après que le mouvement "shift left" a promis de révolutionner la fourniture de logiciels sécurisés, nous sommes toujours confrontés à un déluge de codes non sécurisés, à de faibles niveaux de sensibilisation à la sécurité au sein des organisations et à la cybercriminalité qui en découle et dont le volume et la puissance augmentent d'année en année. D'ici 2025, on estime que les cyberattaques coûteront au monde 10,5 billions de dollars américains par an.

Le fossé des compétences en matière de cybersécurité ne cesse de se creuser, si bien que nous manquons de personnel de sécurité expérimenté depuis un certain temps. Bien qu'il s'agisse d'un point critique pour la plupart des responsables de la sécurité et des RSSI, nous ne pouvons tout simplement pas nous permettre d'attendre patiemment un changement miraculeux des circonstances. L'approche actuelle est défectueuse, et nous devons revitaliser et utiliser les ressources que nous avons sous les yeux, et la relève est vraiment possible sous la forme de développeurs compétents en sécurité.

Dans ce livre blanc, l'expert en sécurité et Secure Code Warrior CTO & Co-Founder Matias Madou, Ph.D. discutera :

• Les six piliers dont vous avez besoin pour mettre en place une formation et une habilitation efficaces en matière de sécurité pour votre cohorte de développement.
• Leçons tirées de l'expérience de dix cadres qui mettent en œuvre des programmes de sécurité au niveau de l'entreprise.
• Les pièges les plus courants à éviter sur la voie du succès.

‍