La « sécurité » n'est pas un gros mot : comment une approche positive transformera votre programme de sécurité
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité. Il existe toutefois une meilleure approche.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
