Développeurs soucieux de la sécurité : AppSec a besoin de vous !
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
