Champions contre entraîneurs : pourquoi chaque équipe de développement a besoin des deux
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
