Mise en place d'une approche cohérente de la sécurité dirigée par les développeurs
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En réponse à des failles de sécurité majeures, telles que la campagne SolarWinds, qui a utilisé un processus de mise à jour logicielle pour infecter plus de 18 000 utilisateurs du célèbre logiciel de gestion Orion, dont de nombreuses grandes entreprises et agences gouvernementales, des efforts de sécurité plus efficaces dirigés par les développeurs sont de plus en plus sollicités. Les organisations de toutes tailles commencent à remettre en question leur « chaîne d'approvisionnement logicielle » et exigent que les développeurs qui élaborent leurs logiciels aient des compétences et des connaissances en matière de sécurité vérifiées.
Même le gouvernement des États-Unis appelle à de meilleures pratiques de sécurité dirigées par les développeurs et à un renforcement de la chaîne d'approvisionnement logicielle. Ces concepts constituent un élément clé d'un décret sur l'amélioration de la cybersécurité du pays publié par le président Biden.
Dans l'ensemble, la communauté des développeurs s'est montrée réceptive à l'idée de déplacer la sécurité plus tôt dans le cycle de vie du développement logiciel (SDLC) grâce à des programmes et à des mouvements tels que DevSecOps. Lors d'une récente enquête, la communauté des développeurs a déclaré qu'elle appréciait la formation en matière de sécurité qu'elle avait reçue pour soutenir cet effort.
Vulnérabilités logicielles continuent d'être exploités, et même les développeurs admettent qu'ils laissent parfois des vulnérabilités dans leur code.
Pourquoi ?
L'enquête a confirmé que la rédaction de code de qualité était une priorité absolue pour la communauté du développement. Cependant, l'enquête a également identifié plusieurs raisons pour lesquelles la formation dispensée aux développeurs, bien que considérée comme utile, est loin d'atteindre l'objectif de sécurisation de la chaîne d'approvisionnement logicielle. 33 % ont déclaré qu'ils présentaient toujours des vulnérabilités dans leur code car, même après la formation dispensée, ils ne savaient toujours pas comment identifier ou corriger les vulnérabilités connues. Et une écrasante majorité de 92 % ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Il est clair que la communauté des développeurs apprécie la formation qui leur est dispensée. Cependant, lorsqu'on les a interrogés sur les obstacles à l'adoption de pratiques de codage sécurisées, le manque de temps a été cité comme principale raison, suivi par un cinquième des personnes interrogées citant l'absence d'une approche cohérente comme cause. La formation était davantage perçue comme un événement ponctuel que comme une partie d'un effort stratégique continu visant à intégrer la sécurité dans les flux de travail des développeurs et à l'utiliser au quotidien.
Les développeurs ne sont donc pas en mesure de développer et de conserver des compétences de codage sécurisées dans le cadre d'un programme cohérent et continu au sein de leurs organisations. Nous pouvons également conclure que la formation actuellement reçue n'est pas particulièrement efficace ou complète étant donné que de nombreux développeurs affirment ne pas être en mesure d'identifier et de corriger les vulnérabilités courantes.
92 % des développeurs ont déclaré avoir besoin d'au moins un certain niveau de formation supplémentaire en matière de sécurité, tandis que 92 à 50 % ont déclaré qu'il leur fallait beaucoup plus de formation.
Que peuvent faire les organisations pour remédier à la situation ?
Il est intéressant de constater que les développeurs ont déclaré à une écrasante majorité qu'ils avaient besoin de plus de formation en matière de sécurité. Bien qu'ils aient apprécié la formation qu'ils ont reçue, il se peut qu'ils soient simplement satisfaits de tout ce qu'ils peuvent obtenir.
Lorsqu'on leur a demandé de commenter les moyens d'améliorer leur formation, leurs véritables réflexions sur la question ont commencé à faire surface. En général, la plupart des formations dispensées aux développeurs étaient limitées, non interactives, ne ciblaient que légèrement leurs responsabilités professionnelles et ne faisaient pas partie d'un plan global ou continu visant à améliorer les compétences et la sensibilisation de leur organisation en matière de sécurité. Selon les développeurs interrogés, si les organisations souhaitent améliorer l'efficacité de la formation proposée, elle doit être présentée comme faisant partie d'une approche globale visant à mettre davantage l'accent sur la sécurité dans l'ensemble du SDLC. De plus, les développeurs avaient des demandes spécifiques pour valoriser leur formation. L'une des suggestions les plus populaires était d'inclure davantage de cas d'utilisation et d'exemples pratiques de situations qu'ils étaient susceptibles de rencontrer du point de vue de la sécurité. Une autre réponse populaire pour améliorer l'efficacité a été que l'enseignement couvre à terme des scénarios de plus en plus complexes ou difficiles, une initiative qui nécessiterait probablement également une approche plus cohérente et un plan à long terme pour l'apprentissage continu et le développement des compétences. Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif. En général, les formations dans le cadre desquelles les utilisateurs se contentent de regarder une vidéo ou d'écouter une conférence sans possibilité d'apprentissage pratique et contextuel ne sont pas considérées comme efficaces ou particulièrement utiles lorsqu'il s'agit d'enseigner une compétence complexe et (perçue comme étant) difficile, telle que le codage sécurisé.
Les développeurs ont également souligné la nécessité d'une plus grande interactivité et peut-être même d'ajouter un élément compétitif.
Quels autres éléments sont importants lors de l'adoption d'une approche de sécurité cohérente ?
La formation est bien entendu essentielle lorsqu'il s'agit d'améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Et il est indispensable de veiller à ce que l'apprentissage soit continu, interactif, pertinent et contextuel. Mais une approche véritablement cohérente visant à améliorer la sensibilisation à la sécurité va encore plus loin.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs. Par exemple, les développeurs sont traditionnellement évalués en fonction de la rapidité avec laquelle ils peuvent coder. Cependant, une approche cohérente de la sécurité peut impliquer de modifier ces indicateurs et valeurs de longue date. Au lieu de cela, les évaluations pourraient mettre l'accent non plus sur la récompense de la vitesse brute, mais plutôt sur les développeurs capables de créer un code de qualité qui soit également sécurisé, c'est-à-dire exempt de vulnérabilités.
Cela pourrait également impliquer la communauté des développeurs elle-même dans le cadre de cet effort. Au lieu de simplement confier la sécurité aux développeurs, envisagez de créer ou de nommer des champions de la sécurité issus de la communauté. Il s'agirait de développeurs talentueux et sensibilisés à la sécurité qui se distingueront soit en matière de formation, soit dans le cadre de nouvelles évaluations de métriques ciblées. Ils devraient également être disposés à aider d'autres développeurs à améliorer leurs compétences, améliorant ainsi la communauté du développement de l'intérieur.
Une approche véritablement cohérente doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Pour en savoir plus
Livre blanc : Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle
Livre blanc : L'approche préventive de la sécurité logicielle axée sur les développeurs
Livre blanc : Le DevSecOps Superbowl : comment les champions de la sécurité peuvent aider votre équipe à remporter la victoire contre les vulnérabilités à un stade avancé
Rapport : L'état de la sécurité pilotée par les développeurs 2022
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
