Développeurs soucieux de la sécurité : AppSec a besoin de vous !
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Les développeurs sont bien placés pour faire un saut lucratif dans AppSec.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
