Mise en place d'une approche cohérente de la sécurité dirigée par les développeurs
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
