Pour aider les développeurs à éliminer la bête de la cybercriminalité, la formation est une quête en deux parties
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
목차
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger시작하는 데 도움이 되는 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
