Mise en place d'une approche cohérente de la sécurité dirigée par les développeurs
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Inhaltsverzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
