La « sécurité » n'est pas un gros mot : comment une approche positive transformera votre programme de sécurité
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité. Il existe toutefois une meilleure approche.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Publié à l'origine sur Blogue DevSecCon.
Ayant été des deux côtés de la barrière, je ne connais que trop bien les tensions qui peuvent survenir entre l'équipe de développement et les spécialistes AppSec lorsqu'il s'agit de faire respecter les meilleures pratiques en matière de sécurité.
C'est difficile ; en fin de compte, la principale priorité d'un développeur est de fournir des fonctionnalités logicielles. Ils doivent être beaux, fonctionnels et permettre de mettre en valeur la puissance de l'application. Les pratiques de développement agiles étant généralement utilisées de nos jours, ces fonctionnalités doivent être mises en œuvre dans des délais stricts... et la sécurité figure rarement en tête de liste des préoccupations alors que d'autres enjeux sont en jeu.
La sécurité est considérée comme le domaine de compétence de l'équipe AppSec, qui a la tâche peu enviable de scanner le code (ou pire encore, de le réviser manuellement, ligne par ligne) et de signaler à l'équipe de développement que son code n'est pas sécurisé, voire totalement inutilisable. Ce sont les bâtons dans la boue qui permettent de distinguer leur bon travail, de stopper l'innovation et, en général, de créer un casse-tête pour les développeurs. En fin de compte, de nombreux problèmes de sécurité ne peuvent être résolus que très simplement. Une seule ligne de code pourrait peut-être renforcer une porte dérobée vulnérable en quelques minutes.
Mais voici le problème. La « sécurité » étant synonyme d'expérience négative, les développeurs ne s'y intéressent tout simplement pas aussi étroitement qu'ils le devraient. Ces correctifs en une ligne ne se produisent pas : après tout, les gars d'AppSec rencontrent continuellement les mêmes problèmes. Cela doit être assez exaspérant pour eux de continuer à signaler des failles d'injection SQL, plus de vingt ans après leur découverte (et leur correction ultérieure).
Ce que nous avons fait jusqu'à présent ne fonctionne pas aussi efficacement que nous l'espérions. Nous devons nous concentrer sur la réparation du lien entre les développeurs et les spécialistes de la sécurité des applications, en nous efforçant de créer une culture de sécurité positive dans laquelle les développeurs reçoivent les outils et la formation nécessaires pour avoir un réel impact dans l'espace.
Qui sait ? Ils pourraient même en tomber amoureux comme moi !
La sécurité positive est le moyen le plus rapide et le plus simple d'améliorer la sécurité des applications
Ville « et non, il ne s'agit pas d'une question de résultats intangibles. Il s'agit d'un ingrédient absolument essentiel à la recette du succès du codage sécurisé.
Les développeurs détiennent la clé pour améliorer la sécurité dès le début de la production, en écrivant du code sécurisé en premier lieu. En créant une culture de sécurité positive et en suscitant l'intérêt des développeurs pour la sécurité des applications, les vulnérabilités courantes peuvent être supprimées avant même qu'elles ne soient numérisées ou révisées manuellement dans AppSec Land.
C'est il est trente fois plus coûteux de corriger des vulnérabilités dans un code déjà validé, donc trouver une formation qui tire parti des points forts des développeurs, qui suscite de l'intérêt et qui fonctionne réellement constitue une étape importante dans la réduction des coûts futurs liés à l'identification et à la correction de ces vulnérabilités récurrentes.
Les initiatives positives, centrées sur les développeurs, favorisent la mise en place d'une culture de sécurité adaptée.
Lorsque tout le monde est sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité, une culture de sécurité positive est un sous-produit positif et vital.
Les initiatives positives et évolutives axées sur les développeurs favorisent la mise en place d'une culture de sécurité adaptée. Il est essentiel de faire appel à l'esprit créatif et à la résolution de problèmes des développeurs pour les convaincre, ainsi que pour garantir que les nouvelles recrues puissent répondre rapidement aux attentes de l'équipe en matière de sécurité. Entrer en contact pour un aperçu de l'évolution de la relation entre les développeurs en matière de sécurité et des idées pour déployer un programme de sensibilisation à la sécurité efficace dans vos propres organisations.
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.