최고 경영자, 회장 겸 공동 설립자
피터 다뉴
피터 단히우스는 최고 경영자, 회장, 공동 창립자입니다. Secure Code Warrior .
2020년, Pieter는 SC 어워드 유럽 2020의 다양성 챔피언 부문 최종 후보로 선정되었으며, 업계 최고의 전자 정보 보안 잡지인 사이버 디펜스 매거진(CDM)에서 올해의 최고 경영자로 편집자의 선택을 받았습니다. 2016년에는 호주 에서 가장 멋진 기술 인물(비즈니스 인사이더)의 80위였으며, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)를 수상했으며 포브스 기술 위원회의 회원입니다.
Pieter는 또한 SANS 연구소의 수석 강사로서 군사, 정부 및 민간 기관이 보안 약점에 대한 조직, 시스템 및 개인을 대상으로 평가하고 평가하는 방법에 대한 공격적인 기술을 교육합니다. 그는 또한 유럽의 사이버 보안 컨설팅 회사인 NVISO의 자문 위원으로도 활동하고 있습니다. 피터슨은 회사를 시작하기 전에 Ernst & Young 및 BAE Systems에서 근무했습니다. 그는 또한 브루콘의 공동 설립자 중 하나입니다, 이 지구상에서 가장 멋진 해킹 컨퍼런스 중 하나.
그는 초기에 정보 보안 경력을 시작했으며 벨기에에서 가장 젊은 사람 중 한 명으로 공인 정보 시스템 보안 전문가 (CISSP) 인증을 받았습니다. 그는 다양한 사이버 보안 인증서(CISA, GCFA, GCIH, GPEN, GWAP)를 수집했으며 현재 최고의 인증 GIAC 보안 전문가(GSE)를 보유한 전 세계적으로 몇 안 되는 인물 중 한 명입니다.
최고 경영자, 회장 겸 공동 설립자
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent clairement que celle-ci a été identifiée comme un domaine à risque majeur au niveau national, mais sa stratégie va-t-elle assez loin ?
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin.
Le dernier décret du gouvernement fédéral américain aborde de nombreux aspects de la cybersécurité fonctionnelle, mais pour la première fois, il décrit spécifiquement l'impact des développeurs et la nécessité pour eux de disposer de compétences et de connaissances vérifiées en matière de sécurité.
Le National Institute of Standards & Technology (NIST) a publié un livre blanc actualisé, détaillant plusieurs plans d'action visant à réduire les vulnérabilités logicielles et les cyberrisques.
J'aurais pu commencer cet article par tous les faits et chiffres indiquant une start-up florissante en pleine croissance ; ils sont indéniablement impressionnants et la trajectoire continue de notre entreprise est solide. Cependant, pour moi, ces chiffres ne reflètent pas ce dont je suis le plus fier en 2019.
Les événements marquants de notre anniversaire sont un merveilleux rappel qui nous permet de réfléchir aux fruits de notre travail, de célébrer l'équipe et d'aborder l'année à venir avec confiance. Et maintenant, sept ans après sa création, je me demande : est-ce que nous y sommes parvenus ? S'agit-il déjà d'une vraie entreprise ? Bien sûr, nous avons atteint la maturité, mais j'espère que nous ne perdrons jamais le sens de la curiosité, de la passion et du geek que nous avons depuis le début.
Cette semaine, nous célébrons officiellement les huit ans de Secure Code Warrior. D'une part, cela représente 350 fois la durée de la mission Apollo 11, et l'équivalent de 45 000 parties de football, soit 5 696 parties jouées à Super Mario Odyssey jusqu'à la fin. D'autre part, c'est juste un trentième de la durée de vie d'une tortue géante (250 ans, si vous vous demandez). Dans le monde d'une start-up à forte croissance, cela représente un parcours plein de rebondissements, de leçons et de réalisations, dont beaucoup étaient inimaginables lorsque nous avons rédigé notre plan d'affaires pour la première fois.
Laisser la sécurité des API au hasard est un moyen infaillible d'introduire des problèmes plus tard, avec des conséquences potentiellement dévastatrices au pire, et des retouches frustrantes et, au mieux, de faibles performances.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux.
Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur explique pourquoi c'est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter d'écrire ces vulnérabilités dans leurs frameworks de programmation respectifs ?
Vers la fin de l'année dernière, l'incroyable communauté de MITRE a publié sa liste des 25 erreurs logicielles les plus dangereuses de la CWE qui ont affecté le monde en 2019. Et la plupart du temps, ce n'était pas une surprise.
Notre vision est de donner aux développeurs les moyens d'être la première ligne de défense de leur organisation en rendant la sécurité très visible et en leur fournissant les compétences et les outils nécessaires pour écrire du code sécurisé dès le début.
Permettre aux développeurs d'écrire du code sécurisé dès le départ est l'occasion pour les RSSI de prendre le contrôle proactif de la situation en matière de sécurité et d'apporter des améliorations rapides, faciles et mesurables à la fois pour les équipes de sécurité et de développement.
Les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie.
Dans le domaine de la cybersécurité, nous sommes souvent comme des chasseurs. Nos yeux sont rivés sur l'horizon, à la recherche de la prochaine faille de sécurité. Cependant, cette orientation tournée vers l'avenir peut avoir l'effet surprenant de modérer notre conscience globale en matière de sécurité.
Ces événements destinés aux développeurs figurent parmi mes événements préférés du calendrier ; ils me rappellent avec humilité la communauté qui travaille sans relâche pour former et habiliter les ingénieurs et les spécialistes en logiciels à défendre la sécurité dans leur travail.
La véritable bataille à laquelle nous sommes confrontés n'est pas contre les « Script Kiddies » ou contre de dangereux syndicats organisés de cybercriminalité... il s'agit de sensibiliser davantage de personnes à la moindre violation de données.
La sécurité des logiciels est toujours une priorité pour moi, tout comme le danger très réel que représente notre mode de vie de plus en plus numérique et axé sur le partage d'informations personnelles. Après tout, nous nous trouvons dans un territoire largement non réglementé, non supervisé et parfaitement ignoré. Nous sommes dans le Far West.
Le fait de mettre l'accent sur une approche préventive, par opposition à une approche réactive, peut ne pas être largement compris en dehors de l'équipe de sécurité, en particulier si aucun incident de sécurité grave ne s'est produit.
Cette année, le PCI Security Standards Council a publié un tout nouvel ensemble de directives de sécurité logicielle dans le cadre de son cadre de sécurité logicielle PCI. Cette mise à jour vise à aligner les meilleures pratiques en matière de sécurité logicielle sur le développement logiciel moderne.
L'avènement du métaverse, le chouchou numérique du moment, ajoute une nouvelle surface d'attaque à la fois pour les vulnérabilités au niveau du code et pour l'ingénierie sociale. Et nous ne sommes tout simplement pas prêts à nous battre sur ce nouveau terrain de jeu où règne la fumée et les miroirs.
Alors que les DSI développent de manière agressive les capacités agiles de leur entreprise, les compétences de codage sécurisé seront une arme d'innovation et leur absence sera un instrument de destruction.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Mais c'est un problème qui peut être résolu.
Bien que les initiatives réglementaires s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
La récente attaque contre les référentiels GitHub met en lumière un problème bien connu dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment.
De nombreuses solutions permettent de détecter des vulnérabilités dans le code, mais la sécurité doit mettre davantage l'accent sur l'apprentissage des développeurs à suivre les directives de sécurité qui les empêcheront de commettre ces erreurs dès le départ.
Avec l'avènement du RGPD, ainsi que la révision de la stratégie suite à une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH.
La perception de ce qui constitue un acte de codage sécurisé est sujette à débat. Selon une étude récente menée en collaboration avec Evans Data, ce sentiment a été révélé noir sur blanc. L'enquête State of Developer-Driven Security 2022 explore les principales informations et expériences de 1 200 développeurs actifs, mettant en lumière leurs attitudes et leurs défis dans le domaine de la sécurité.
Alors que le codage sécurisé doit devenir une composante obligatoire du génie logiciel au niveau de l'enseignement supérieur, certaines universités jouent un rôle de premier plan en proposant une formation de premier ordre et en accordant la priorité à la sécurité dans le processus de développement dès le début. p
Les RSSI et les DSI créatifs et inspirants ont le pouvoir d'innover et de façonner notre monde numérique, mais ils peuvent également jouer un rôle déterminant dans la transformation de la culture de sécurité d'une organisation.
Bien que VxWorks ne soit pas un nom familier pour le consommateur moyen, ce produit logiciel profite à de nombreuses personnes, comme vous et moi, chaque jour. Et aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions d'appareils alimentés par VxWorks soient désormais compromis.
C'est cette période spéciale de l'année (pour nous, en tout cas) où je pense à notre dernier tour du soleil et à ce qui a été fait au cours des 365 derniers jours pour nous préparer à une nouvelle année pleine de croissance, de leçons et d'inévitables imprévus.
Ne pensez-vous pas qu'il est temps de remanier la sécurité ? C'est aussi simple que de changer la conversation et de rendre tout un peu plus positif (pour ne pas dire amusant !) pour les deux parties, en particulier pour l'équipe de développement.
Peu importe que vous formiez les cadres supérieurs à la cybersécurité ou que vous aidiez les développeurs à acquérir des compétences en matière de codage sécurisé JAVA ou C#, il y a de la place pour la créativité, la gamification et le divertissement.
Le 23 juin est une entrée spéciale dans le calendrier des geeks, à l'occasion de la Journée internationale des femmes en ingénierie. C'est l'occasion pour nous de mettre en lumière la contribution des femmes au développement de logiciels.
L'industrie de la sécurité logicielle n'est pas vraiment connue pour ses sentiments chaleureux et flous, ses observations fantaisistes et ses commentaires sur la vie, mais peut-être qu'en vieillissant, je réfléchis à l'impact que nous pouvons tous avoir dans le monde.
Compte tenu de la recrudescence des cyberattaques, qui touchent tous les types d'organisations dans tous les secteurs d'activité, la menace de violations de données coûteuses, embarrassantes et affectant les résultats financiers est bien réelle. Le problème n'est pas de diminuer, il se développe comme une tumeur.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prévoir les principaux problèmes de l'année, mais avec plus de cinq milliards d'enregistrements de données sensibles volés en 2019, nous avons pensé qu'il serait plus précis de prévoir ce qui ne se passera pas en matière de cybersécurité dans un avenir proche.
En aidant à définir les responsabilités de nos applications et logiciels au sein d'une hiérarchie stricte, et en appliquant ces politiques avec le moins de privilèges possible, nous pouvons nous assurer que nos applications et logiciels survivent et prospèrent malgré le paysage de menaces auquel ils sont confrontés.
Le plan de mobilisation pour la sécurité des logiciels libres représente une étape positive pour la sécurité axée sur les développeurs. Cependant, nous devons tous faire le point et évaluer honnêtement si notre organisation est suffisamment mature - et si nos équipes de développement possèdent le niveau de sensibilisation et de compétences en matière de sécurité requis - pour mettre en œuvre les stratégies défensives les plus récentes et les plus efficaces.
En abordant des sujets d'actualité tels que la manière de tirer le meilleur parti du budget d'une entreprise en matière de sécurité des applications, ainsi que plusieurs questions pointues posées par le public, le panel Leaders in AppSec a proposé une véritable magie matinale qui aidera les spécialistes de la sécurité à élaborer des programmes viables au sein de leurs organisations.
Plus ma fille et l'entreprise grandissent, plus je me rends compte qu'il existe de nombreuses similitudes entre le parcours d'une start-up et le parcours d'un parent pour la première fois. J'en suis à ma quatrième année pour les deux maintenant.pi
Nous ne recevons pas de conseils réalistes, ni de solutions les plus rapides, pour combattre l'assaut incessant qu'est la cybersécurité moderne. Bien entendu, chaque faille est différente à sa manière et de nombreux vecteurs d'attaque peuvent être exploités dans des logiciels vulnérables. Les conseils génériques réalisables seront limités, mais l'approche des meilleures pratiques semble de plus en plus imparfaite d'heure en heure.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
La stratégie nationale de cybersécurité de la CISA représente notre meilleure chance d'améliorer les normes logicielles à tous les niveaux et, enfin, d'inaugurer une nouvelle ère de développeurs compétents en matière de sécurité.
Bien qu'il semble inévitable que la technologie d'IA de type LLM modifie la façon dont nous abordons de nombreux aspects du travail, et pas seulement le développement de logiciels, nous devons prendre du recul et envisager les risques au-delà des gros titres. Et en tant que compagnon de codage, ses défauts sont peut-être son attribut le plus « humain ».
Tout juste après l'annonce de notre financement de série C, je suis ravi d'annoncer une nouvelle étape dans le parcours de notre entreprise. Le leader du secteur de la sécurité, Synopsys, a accueilli un nouvel ajout intéressant à sa suite de produits : Synopsys Developer Security Training, optimisé par Secure Code Warrior.
주요 리눅스 배포판에서 사용되는 데이터 압축 라이브러리 XZ Utils에 악의적인 행위자가 도입한 백도어로 인한 중대한 취약점(CVE-2024-3094)이 발견되었습니다. 이 심각한 문제는 원격 코드 실행을 유발할 수 있어 소프트웨어 개발 프로세스에 중대한 위험을 초래합니다. 이 취약점은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ Utils에 영향을 미치며, 조직들에게 긴급 패치 적용을 촉구합니다. 이번 사건은 오픈소스 소프트웨어 유지보수에 있어 커뮤니티 자원봉사자들의 핵심적 역할을 부각시키며, 소프트웨어 개발 주기 전반에 걸쳐 보안 관행과 접근 통제를 강화할 필요성을 강조합니다.
L'équipe fondatrice de Secure Code Warrior est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à aborder notre prochain chapitre, SCW 2.0, en tant que leader de la gestion des risques pour les développeurs.
Le vibe coding, c'est comme une fête entre amis à l'université, et l'IA est la pièce maîtresse de toutes les festivités, le fût. C'est très amusant de laisser libre cours à sa créativité et de voir où votre imagination peut vous mener, mais après quelques stands de fûts, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
