Les avantages de l'analyse comparative des compétences en matière de sécurité pour les développeurs
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
결론
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
결론
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
결론
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
결론
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
