En 2021, nous inaugurons une nouvelle ère pour le légendaire Top 10 de l'OWASP. Cette dernière version révèle des bouleversements importants, les failles d'injection ayant finalement été supprimées de la première place au profit de vulnérabilités Broken Access Control. De nouveaux articles, tels que Insecure Design et Software and Data Integrity Failures, montrent une tendance vers des catégories de vulnérabilités, plutôt que vers des bogues de sécurité autonomes, ce qui prouve que le paysage des menaces et la surface d'attaque potentielle des bogues les plus courants s'élargissent.

L'OWASP a toujours été l'autorité de référence pour les problèmes de sécurité les plus courants et les plus insidieux rencontrés dans les logiciels que nous utilisons au quotidien, et s'il existe une base de référence sur laquelle les entreprises devraient s'efforcer, c'est de conquérir ce top 10 avec l'aide de développeurs formés à la sécurité. Bien que de nombreuses entreprises en soient conscientes, nous devons commencer à élargir le réseau en améliorant les compétences des développeurs si l'on veut un jour réduire le gouffre en matière de compétences en cybersécurité et avoir un impact positif sur la sécurité des logiciels face à une demande effrénée de code.

Ce livre blanc analysera le nouveau Top 10 de l'OWASP, notamment :

• L'impact des catégories de vulnérabilité par rapport aux problèmes individuels
• Pourquoi la sécurité architecturale fait l'objet d'une attention renouvelée
• La valeur du Top 10 de l'OWASP comme point de référence et les raisons pour lesquelles les entreprises doivent établir leur propre liste de priorités en matière de perfectionnement des développeurs
• Pourquoi les solutions centrées sur l'humain pour réduire les vulnérabilités constituent une approche plus holistique que la défense basée sur des outils.

‍

Donnez aux développeurs les moyens d'améliorer la productivité et la sécurité du code

Secure Code Warrior est l'une des quatre entreprises citées dans le rapport Gartner® Cool Vendors™ in Software Engineering : Enhancing Developer Productivity.

Selon Gartner, les ingénieurs logiciels ont du mal à naviguer dans des environnements de code complexes et à améliorer la sécurité des systèmes qu'ils développent tout en restant productifs. Les responsables de la sécurité et de l'ingénierie devraient prendre en compte les fournisseurs les plus intéressants de cette étude, qui proposent des solutions innovantes qui aident les entreprises à améliorer la productivité des développeurs et à atténuer les risques de sécurité.

Accédez au rapport complet dès maintenant.

‍

Lisez le rapport Gartner Cool Vendors in Software Engineering : Enhancing Developer Productivity, publié par Arun Batchu, Marty Resnick et Manjunath Bhat le 16 mai 2022.

‍ *_{GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde et est utilisée ici avec autorisation. Tous droits réservés. Le badge GARTNER COOL VENDOR est une marque commerciale et une marque de service de Gartner, Inc. et/ou de ses filiales et est utilisé ici avec autorisation. Tous droits réservés. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs ayant obtenu les meilleures notes ou toute autre désignation. Les publications de recherche de Gartner reflètent les opinions de l'organisation Gartner Research & Advisory et ne doivent pas être interprétées comme des déclarations factuelles. Gartner décline toute garantie, expresse ou implicite, concernant cette étude, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.}

‍

Suscitez l'intérêt des équipes de développeurs pour l'amélioration des compétences en matière de code sécurisé.
‍La formation à la sécurité peut sembler n'être qu'un obstacle de plus dans le flux de travail d'un développeur, mais cette page d'une page met en évidence les avantages qu'elle peut apporter à celui-ci.

‍

Paysafe는 금융 거래를 신뢰 기반 경험으로 전환하는 데 기여하며, 연간 1,520억 달러 이상의 거래량을 처리하는 안전하고 원활한 플랫폼을 제공하는 것이 단순한 기본 규정 준수 기준을 충족하는 데 그치지 않음을 잘 알고 있습니다. 지난 4년간 페이세이프는 Secure Code Warrior 파트너십을 통해 개발자 위험 관리에 대한 포괄적인 접근 방식을 지속적으로 추진해 왔습니다. Secure Code Warrior 애플리케이션 보안 프로그램은 다음과 같은 기업 전반의 요구 사항에 긍정적인 영향을 미쳤습니다:

과제: Paysafe 내 코드 보안 표준 개선

다국적 온라인 결제 서비스 제공업체인 Paysafe는 PCI DSS 규정 준수 요건을 단순히 충족하는 것을 넘어 안전한 코딩을 항상 전략적 우선순위로 여겨왔습니다. 전문가 주도의 정규 대면 교육 세션과 역량 평가가 초기 노력의 일부였지만, Paysafe의 목표는 애플리케이션 보안에 대한 최상의 접근 방식을 보장하고 엔지니어가 처음부터 안전한 코드를 작성하도록 함으로써 안전한 코딩 이니셔티브의 범위와 규모를 지속적으로 확대하는 것이었습니다.

« 우리에게는 단순히 교육 실시 확인란에 체크하는 것으로 만족하지 않았습니다. 우리의 목표는 직원들이 진행 중인 발전 사항을 지속적으로 파악하도록 하는 것입니다. 우리는 항상 개선하고 더 많은 것을 이루기 위해 노력합니다. 엔지니어링 팀과 보안 팀이 협력하기를 원합니다. 스스로 성장할 수 있는 팀은 더 많은 정보를 갖추고 더 나은 코드를 설계합니다."라고 Paysafe의 인재 개발 파트너인 보얀 흐리스토프(Boyan Hristov)는 설명합니다.

Paysafe의 비전은 보안을 왼쪽으로 이동시키는 것이었습니다. 즉, 소프트웨어 개발 라이프사이클의 각 단계에 안전한 코딩 관행을 통합하는 보안 의식이 있는 엔지니어를 양성하는 것이었습니다. 이를 달성하기 위해 그들은 PCI 표준 준수를 위한 감사 증거를 제공할 뿐만 아니라 깊고 지속적인 문화적 변화를 이끌어낼 수 있는 확장 가능하고 참여도 높은 지속적인 프로그램이 필요했습니다. 여기에는 개발자들이 보안 분야의 최신 동향을 선도할 수 있도록 지원하는 재미있는 학습 경험, 정기적인 대회, 지속적인 교육이 포함되었습니다.

해결책: Secure Code Warrior 통한 첨단 접근법

페이세이프는 개발자용 리스크 관리 플랫폼인 Secure Code Warrior 도입하여 안전한 코딩 관행을 발전시키고, 엔지니어의 참여를 유도하며, 개발 주기에 보안을 조기에 통합하는 Secure Code Warrior . 그들의 '보안 챔피언' 프로그램은 시간이 지남에 따라 성장해 왔으며, Secure Code Warrior 사이버 위험 예방 목표 달성에 핵심적인 역할을 Secure Code Warrior .

페이세이프는 개발자들이 플랫폼과 유기적으로 소통할 수 있도록 지원했으며, 매력적인 상금이 걸린 토너먼트와 같은 재미있는 활동을 장려하여 개발자들의 참여와 열정을 이끌어냈습니다. 프로그램 초기 배포 시, 회사는 PCI 규정 준수 요건을 충족하기 위해 일부 평가를 필수로 지정했으며, 다른 콘텐츠와 활동은 선택 사항으로 제공했습니다.

프로그램이 점차 확대됨에 따라 경영진은 추가 지원을 제공하며 개발팀과 정보보안팀의 목표를 더욱 일치시켰습니다. 이를 통해 Paysafe 팀은 프로그램을 한 단계 발전시키고, 지정된 KPI와 성공 인센티브를 포함한 보다 공식적인 인증 프로그램을 도입할 수 있었습니다.

프로그램의 다음 단계는 OWASP의 10대 표준 주제에 집중했으며, 개발자들이 다양한 성공 단계를 거쳐 진전할 수 있도록 인증 단계를 마련했습니다. 현재 이 프로그램은 규모와 성숙도 면에서 새로운 차원에 도달하여 정규직부터 비정규직 근로자에 이르기까지 모든 수준의 개발자를 위한 기본 기준을 높였습니다.

지난 4년간 SCW와 구축한 파트너십을 매우 소중히 여깁니다. 우리는 함께 애플리케이션 보안에 초점을 맞춘 교육을 제공하고, SDLC의 초기 단계에서 가능한 한 빨리 안전한 코드를 개발하겠다는 공동의 약속을 바탕으로 보안 팀과 엔지니어링 팀 간의 관계를 강화할 수 있었습니다."라고 Paysafe의 IT 보안 책임자 앨런 오스본(Alan Osborne)은 말했습니다.

CISO, CTO 및 엔지니어링 리더십의 지속적인 지원과 협력을 바탕으로, Paysafe는 Secure Code Warrior 프로그램을 지속적으로 Secure Code Warrior . 현재 이 프로그램은 비즈니스 요구사항과 긴밀히 연계되어 실질적인 성과를 제공하며, 내부 팀에게 지속적으로 관련성과 흥미를 유지하고 있습니다.

결과: 조직 전체에 걸친 안전한 코드에 대한 새로운 표준

Paysafe의 애플리케이션 보안 이니셔티브는 4년 전 시작된 이래 지속적으로 발전해 왔습니다. Secure Code Warrior 파트너십을 통해 Paysafe는 개발자를 위한 포괄적인 위험 관리 접근 방식이 조직 전체에 미칠 수 있는 상당한 영향을 입증했습니다.

Paysafe의 SAST 스캔 데이터 분석 결과, Secure Code Warrior 구성된 팀이 개발한 애플리케이션은 초기 개발 단계 분석에서 탐지된 취약점이 현저히 감소한 Secure Code Warrior . 개발자가 SCW 플랫폼에 더 적극적으로 참여한 팀에서는 초기 분석 시 탐지된 취약점 수가 더욱 감소했습니다.

Secure Code Warrior 가장 높은 활동 수준과 참여도를 보인 팀은 초기 개발 단계에서 발견되는 취약점이 해마다 현저히 감소하는 것을 Secure Code Warrior , 이는 안전한 코딩 습관을 강화하기 위한 역량 기반의 지속적인 교육이 제공하는 부가가치를 입증합니다. 초기 단계부터 안전한 코드를 작성함으로써 해당 팀과 SDLC(소프트웨어 개발 수명주기)의 다른 팀들은 상당한 시간을 절약할 수 있었습니다. 개발 초기 단계에서 취약점을 사전에 방지함으로써 코드 취약점을 식별하고 기록하며 재작업해야 하는 필요성을 제거하여 수천 시간의 개발 시간을 절감했습니다. 이는 개발자 생산성 45% 향상으로 이어졌으며, 안전한 코딩 기술 역량 강화와 일상적인 개발 프로세스 개선의 이점을 입증했습니다. 엔지니어링 팀과 AppSec 팀 모두에게 윈윈 솔루션이었습니다.

Paysafe의 안전한 코드에 대한 헌신은 회사가 차별화되고 SCW Trust^Score® 금융 서비스^{벤치마크에서} 4위를 달성하는 데 기여했습니다. 이 성과에 자부심을 느끼지만, Paysafe의 보안 코드 이니셔티브에 대한 헌신은 여기서 멈추지 않습니다. Secure Code Warrior 파트너십을 통해 얻은 성과를 바탕으로 Paysafe는 프로그램을 더욱 발전시키기 위해 노력하고 있습니다.

Secure Code Warrior 개발자 생산성 향상, 제품 및 개선 사항의 시장 출시 가속화, 그리고 시간이 지남에 따라 비용과 위험을 크게 줄이는 데Secure Code Warrior »라고 Paysafe의 IT 보안 책임자 앨런 오스본(Alan Osborne)은 말합니다. "개발자 교육 강화로 뒷받침되는 보안 코딩은 단순한 이점이 아니라, 개발자의 역량과 경험, 능력을 강화하면서 실질적인 투자 수익을 창출하는 검증된 투자임을 입증했습니다."

이어서, Paysafe는 추가적인 거버넌스 및 위험 관리 조치를 프로세스에 통합함으로써 보안 기준을 보다 운영적으로 구현하고자 합니다. SCW Trust Agent는 Secure Code Warrior 오랜 파트너십을 심화하며 사이버 보안 우수성에 대한 헌신을 입증하고 Secure Code Warrior .

Dans un récent rapport d'Aberdeen, 8 organisations sur 9 n'étaient au courant d'aucun problème de conformité ou de vulnérabilité dans leur base de code. Pour la seule entreprise qui a identifié des problèmes, ce qu'elle savait ne représentait que 9,5 % des problèmes réels finalement découverts lors d'un audit logiciel. Cela représente à la fois une lacune en matière d'évitement et de remédiation lorsqu'il s'agit de gérer les risques de sécurité et de conformité.

Il est important de combler cette lacune pour aider les équipes d'ingénierie et leurs dirigeants à mieux comprendre l'impact des logiciels libres sur la capacité d'une organisation à créer et à fournir des solutions sans risque. Une partie de la solution consiste à créer un processus en boucle fermée visant à former les développeurs à l'importance de la sécurité et de la conformité ainsi qu'à la manière d'atténuer les risques, tout en établissant les bons outils pour la découverte et la correction.

Si vous êtes développeur, ingénieur ou spécialiste de la sécurité, écoutez nos experts Alex Rybak, directeur de la gestion des produits chez Revenera, et Matias Madou, directeur technique de Secure Code Warrior, discuter des points suivants dans ce webinaire :

- L'importance de mettre en œuvre une gouvernance continue tout au long du cycle de vie du développement logiciel.
- Pourquoi une nomenclature logicielle (sBOM) est la meilleure amie d'un responsable de l'ingénierie.
- Le développement de solutions fiables commence par la définition de politiques interfonctionnelles convenues pour identifier et corriger les risques.
- L'entrée en vigueur de réglementations sectorielles nécessitant des changements structurels pour soutenir la gestion de la conformité et de la sécurité.
- Le rôle que jouent désormais les entreprises dans la sécurisation de la formation des développeurs grâce à des programmes tels que la microformation pour une initiative de gestion open source plus robuste.

TL ; ESSAYER

À propos de Colgate-Palmolive

Colgate-Palmolive Company est une marque de produits de consommation marquante connue et appréciée par les foyers du monde entier. Bien qu'elle soit vieille de plus de deux siècles, il s'agit d'une entreprise innovante en pleine croissance qui tire parti du numérique pour réimaginer un avenir plus sain pour les humains, leurs animaux de compagnie et la planète.

상황

Colgate-Palmolive, comme presque toutes les autres organisations, connaît une transformation numérique afin de mieux servir ses clients, ce qui a entraîné un changement dans la façon dont l'organisation aborde la sécurité des applications.

Alex Schuchman, CISO chez Colgate-Palmolive, l'explique ainsi :

« Il est très important pour nous de protéger les données de nos clients et d'être ainsi en mesure de renforcer la confiance, non seulement dans nos produits, mais aussi dans les interactions numériques que nos clients entretiennent avec nous. »

Mais pour Alex, le défi était de sécuriser la source des éventuelles violations des données des clients, à savoir le code lui-même.

« Le fait de travailler sur la conception des applications m'a été très utile lorsque je suis passé à mon rôle de CISO. Je comprends la difficulté de récupérer des tickets auprès d'AppSec ou la frustration de ne pas respecter les délais à cause de retouches. Par conséquent, mon objectif en tant que CISO n'était pas seulement de renforcer la sécurité dans le cycle de vie du développement logiciel, mais également de rationaliser la manière dont elle est mise en œuvre. »

액션

Colgate-Palmolive a relevé ce défi en divisant sa formation en matière de sécurité en plusieurs parties. Cela l'a rendu plus acceptable pour les développeurs, qui ont pu l'intégrer à leur flux de travail, au lieu de suivre une formation de conformité longue et monolithique à laquelle ils étaient habitués. En tirant parti de l'approche agile et contextuelle de Secure Code Warrior pour l'apprentissage sécurisé du code, les développeurs ont pu comprendre les vulnérabilités dans le contexte de leurs projets réels, ce qui a permis d'accroître l'engagement et de conserver à long terme les compétences en matière de codage sécurisé.

« Je voulais mettre en œuvre ces meilleures pratiques tout en maintenant l'engagement des développeurs », explique Alex. « Nous avons encore mandaté des parties essentielles du programme, mais le fait de maintenir la gestion de la formation et d'écouter les commentaires des développeurs a contribué au succès du programme. »

Colgate-Palmolive a mis en œuvre un flux de travail Okta qui gère le référentiel GitHub, permettant uniquement aux développeurs ayant réussi des évaluations SCW spécifiques d'accéder aux pull requests, comme illustré dans le schéma ci-dessous.

결과

Selon Alex, « Nous avons compris que pour optimiser le succès, nous avions besoin de l'implication de nos développeurs dès le départ. Nous avons donc veillé à ce que les développeurs sachent qu'ils joueraient un rôle essentiel dans le succès du programme. En conséquence, nous avons constaté qu'il y avait une bien meilleure relation entre notre équipe de sécurité et nos développeurs, et nous avions vraiment l'impression de travailler en équipe sur le programme. Nous continuons à développer et à étendre le programme de maturité en matière de sécurité, en nous appuyant sur le succès que nous avons déjà connu. »

주요 포인트

1. Définissez clairement les objectifs du programme et mettez l'accent sur la contribution et l'engagement des développeurs. Les développeurs sont plus susceptibles d'adhérer à un programme d'apprentissage de code sécurisé intégré à leur flux de travail et intégré aux outils de développement qu'ils utilisent au quotidien.
2. L'utilisation d'un outil SSO tel qu'Okta pour accéder au référentiel de code incite l'équipe. Seuls les développeurs ayant obtenu une note de passage à des cours et à des évaluations spécifiques du SCW sont autorisés à effectuer des pull requests.
3. Au fil du temps, développez une culture de sécurité qui favorise une relation de travail solide entre les équipes AppSec et de développement.

‍