Pour aider les développeurs à éliminer la bête de la cybercriminalité, la formation est une quête en deux parties
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
