Les avantages de l'analyse comparative des compétences en matière de sécurité pour les développeurs
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusión:
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
L'attention croissante portée au code sécurisé et aux principes de sécurité dès la conception nécessite que les développeurs soient formés à la cybersécurité dès le début du SDLC, avec des outils tels que le Trust Score de Secure Code Warrior qui permettent de mesurer et d'améliorer leurs progrès.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusión:
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusión:
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité met l'accent sur l'importance d'un code sécurisé. La Maison Blanche Stratégie nationale de cybersécurité et de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) Sécurisé dès la conception cette initiative, ainsi que les initiatives et la législation d'autres pays, place la responsabilité de la sécurité sur les épaules des producteurs de logiciels. Pour garantir la sécurité dès le début du cycle de vie du développement logiciel (SDLC), autrefois considéré comme une bonne chose, il est désormais essentiel pour les entreprises de protéger leurs données et leurs systèmes et d'éviter les répercussions réglementaires en cas de violation.
La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation en cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré actuel, a consisté à développer de nouvelles applications, des mises à niveau et des services le plus rapidement possible, de plus en plus à l'aide de modèles d'IA génératifs fonctionnant rapidement, et à laisser les équipes de sécurité résoudre les problèmes de cybersécurité plus tard dans le SDLC. C'est une manière inefficace de corriger la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la publication de vulnérabilités logicielles dans l'écosystème.
Les développeurs doivent être formés pour écrire du code sécurisé dès le départ et être capables de détecter le code non sécurisé généré par l'IA ou lorsqu'il est présent dans les logiciels open source et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes et organisations de développement, il s'agit d'un territoire inconnu. Comment savent-ils que les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?
Certaines entreprises qui suivent une formation pour développeurs ont jugé utile d'établir un ensemble de compétences de base permettant aux développeurs d'acquérir et de mesurer leurs progrès par rapport à des critères de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un test de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le Score de confiance SCW permet aux entreprises de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.
C'est une façon de prouver que la formation au code sécurisé est efficace tout en identifiant les domaines à améliorer.
Les arguments en faveur d'une conception sécurisée
Les éditeurs de logiciels ont toutes les raisons d'intégrer la sécurité au SDLC dès le début du processus. La demande croissante d'applications et de services et la rapidité que l'IA apporte au processus de développement ont s'est avéré utile aux développeurs, qui ont rapidement adopté l'IA générative, mais cela se traduit inévitablement par logiciel buggy rejetés dans le pipeline. Plus il y a de code généré, plus il y a de défauts, et recherches récentes a constaté que près des trois quarts des applications (quelle que soit la manière dont elles ont été créées) contiennent au moins une faille de sécurité, et près de 20 % d'entre elles sont considérées comme critiques.
Rattraper les vulnérabilités plus tard dans le SDLC prend trop de temps et coûte trop cher. L'Institut national des normes et de la technologie (NIST) a trouvé que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du SDLC, et que les corriger pendant la phase de déploiement/maintenance peut prendre 30 à 100 fois plus de temps.
Tout cela souligne l'importance d'appliquer la sécurité au début du cycle de développement, qui s'est révélée non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs, qui travaillent avec les équipes de sécurité au lieu de les laisser fonctionner comme des entités distinctes, sont les mieux placés pour intégrer la sécurité au début du SDLC. De plus, les développeurs formés aux meilleures pratiques en matière de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.
La beauté des points de repère
Le parcours de base pour les entreprises consiste à établir une base de compétences en matière de sécurité, à proposer des formations et à vérifier, à la fois aux organisations et aux régulateurs, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations de tous les secteurs économiques, mais ce n'est pas obligatoire.
L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui comptent de nombreux développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des petites organisations ont tendance à montrer une grande variation dans la manière dont elles appliquent les principes de sécurité dès la conception. Néanmoins, ils peuvent également bénéficier d'une approche qui inclut des scores de confiance et s'amélioreront probablement plus rapidement.
Trust Score utilise des indicateurs de référence pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation aux repères et aux meilleures pratiques du secteur. Il permet non seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, afin de permettre à l'organisation d'optimiser ses programmes de formation et de perfectionnement.
À travers les CISA secteurs d'infrastructures critiques pour lesquelles des données étaient disponibles, la plupart des organisations sont à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance pour des secteurs allant des services financiers à la base industrielle de défense en passant par la santé, l'informatique et la fabrication de produits critiques ont chuté dans la même fourchette, soit un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.
Les secteurs d'infrastructures critiques non inclus dans le classement Trust Score, tels que les opérations chimiques, énergétiques et nucléaires, ne créent généralement pas leurs propres logiciels et s'appuient plutôt sur d'autres secteurs, notamment l'informatique. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire être compromise) ne fait que montrer à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.
Conclusión:
La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu une approche sécurisée dès la conception impérative pour les organisations qui souhaitent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ceux-ci ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur fournit la formation dont ils ont besoin et montre comment il est appliqué.
Un programme qui inclut des benchmarks, soutenus par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de sécurité dès la conception.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
