En 2021, nous inaugurons une nouvelle ère pour le légendaire Top 10 de l'OWASP. Cette dernière version révèle des bouleversements importants, les failles d'injection ayant finalement été supprimées de la première place au profit de vulnérabilités Broken Access Control. De nouveaux articles, tels que Insecure Design et Software and Data Integrity Failures, montrent une tendance vers des catégories de vulnérabilités, plutôt que vers des bogues de sécurité autonomes, ce qui prouve que le paysage des menaces et la surface d'attaque potentielle des bogues les plus courants s'élargissent.

L'OWASP a toujours été l'autorité de référence pour les problèmes de sécurité les plus courants et les plus insidieux rencontrés dans les logiciels que nous utilisons au quotidien, et s'il existe une base de référence sur laquelle les entreprises devraient s'efforcer, c'est de conquérir ce top 10 avec l'aide de développeurs formés à la sécurité. Bien que de nombreuses entreprises en soient conscientes, nous devons commencer à élargir le réseau en améliorant les compétences des développeurs si l'on veut un jour réduire le gouffre en matière de compétences en cybersécurité et avoir un impact positif sur la sécurité des logiciels face à une demande effrénée de code.

Ce livre blanc analysera le nouveau Top 10 de l'OWASP, notamment :

• L'impact des catégories de vulnérabilité par rapport aux problèmes individuels
• Pourquoi la sécurité architecturale fait l'objet d'une attention renouvelée
• La valeur du Top 10 de l'OWASP comme point de référence et les raisons pour lesquelles les entreprises doivent établir leur propre liste de priorités en matière de perfectionnement des développeurs
• Pourquoi les solutions centrées sur l'humain pour réduire les vulnérabilités constituent une approche plus holistique que la défense basée sur des outils.

‍

Donnez aux développeurs les moyens d'améliorer la productivité et la sécurité du code

Secure Code Warrior est l'une des quatre entreprises citées dans le rapport Gartner® Cool Vendors™ in Software Engineering : Enhancing Developer Productivity.

Selon Gartner, les ingénieurs logiciels ont du mal à naviguer dans des environnements de code complexes et à améliorer la sécurité des systèmes qu'ils développent tout en restant productifs. Les responsables de la sécurité et de l'ingénierie devraient prendre en compte les fournisseurs les plus intéressants de cette étude, qui proposent des solutions innovantes qui aident les entreprises à améliorer la productivité des développeurs et à atténuer les risques de sécurité.

Accédez au rapport complet dès maintenant.

‍

Lisez le rapport Gartner Cool Vendors in Software Engineering : Enhancing Developer Productivity, publié par Arun Batchu, Marty Resnick et Manjunath Bhat le 16 mai 2022.

‍ *_{GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde et est utilisée ici avec autorisation. Tous droits réservés. Le badge GARTNER COOL VENDOR est une marque commerciale et une marque de service de Gartner, Inc. et/ou de ses filiales et est utilisé ici avec autorisation. Tous droits réservés. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs ayant obtenu les meilleures notes ou toute autre désignation. Les publications de recherche de Gartner reflètent les opinions de l'organisation Gartner Research & Advisory et ne doivent pas être interprétées comme des déclarations factuelles. Gartner décline toute garantie, expresse ou implicite, concernant cette étude, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.}

‍

Suscitez l'intérêt des équipes de développeurs pour l'amélioration des compétences en matière de code sécurisé.
‍La formation à la sécurité peut sembler n'être qu'un obstacle de plus dans le flux de travail d'un développeur, mais cette page d'une page met en évidence les avantages qu'elle peut apporter à celui-ci.

‍

Paysafe ayuda a transformar las transacciones financieras en experiencias basadas en la confianza, y la empresa sabe que proporcionar una plataforma segura y fluida que procesa más de 152 000 millones de dólares en volumen de transacciones anualizadas no se limita al simple cumplimiento de las normas básicas de conformidad. Durante los últimos cuatro años, Paysafe ha seguido promoviendo un enfoque integral de la gestión de riesgos de los desarrolladores gracias a su asociación con Secure Code Warrior, cuyo programa de seguridad de aplicaciones ha demostrado tener un impacto positivo en las necesidades generales de la empresa, entre las que se incluyen:

El reto: mejorar las normas de seguridad en materia de código dentro de Paysafe.

Como proveedor multinacional de pagos en línea, Paysafe siempre ha considerado la codificación segura como una prioridad estratégica que va más allá del simple cumplimiento de los requisitos de conformidad con la norma PCI DSS. Aunque sus primeros esfuerzos incluyeron sesiones formales de formación presencial impartidas por expertos y evaluaciones de competencias, el objetivo de Paysafe siempre ha sido ampliar continuamente el alcance y la magnitud de su iniciativa de codificación segura, garantizando un enfoque de primera clase en materia de seguridad de las aplicaciones y asegurándose de que los ingenieros escriban código seguro desde el principio.

«Para nosotros, nunca se ha conformado con marcar una casilla indicando que hemos impartido una formación. Nuestro objetivo es mantener a nuestro personal al corriente de los avances en curso. Siempre nos esforzamos por mejorar y hacer más. Queremos que los equipos de ingeniería y los equipos de seguridad colaboren. Los equipos que pueden desarrollarse por sí mismos están mejor informados y diseñan un código mejor», explica Boyan Hristov, socio de desarrollo personal en Paysafe.

La visión de Paysafe era desplazar la seguridad hacia la izquierda, formando ingenieros conscientes de la seguridad que integraran prácticas de codificación seguras en cada etapa del ciclo de vida del desarrollo de software. Para lograrlo, necesitaban un programa evolutivo, atractivo y continuo que no solo proporcionara pruebas de auditoría para cumplir con la norma PCI, sino que también provocara un cambio cultural profundo y duradero. Esto incluía experiencias de aprendizaje lúdicas, torneos periódicos y formación continua para ayudar a los desarrolladores a mantenerse a la vanguardia de las tendencias del sector en materia de seguridad.

La solución: un enfoque de vanguardia con Secure Code Warrior

Paysafe ha adoptado la plataforma de gestión de riesgos para desarrolladores de Secure Code Warrior ayudar a desarrollar prácticas de codificación seguras, involucrar a los ingenieros e integrar la seguridad en una fase más temprana del ciclo de desarrollo. Su programa Security Champions ha ido creciendo con el tiempo, y Secure Code Warrior un papel fundamental en la consecución de los objetivos de prevención de riesgos cibernéticos.

Paysafe permitió a los desarrolladores participar de manera orgánica en la plataforma, fomentando actividades lúdicas como torneos con atractivos premios para involucrar y entusiasmar a los desarrolladores. Durante la implementación inicial del programa, la empresa hizo obligatorias algunas evaluaciones para cumplir con los requisitos de conformidad con la normativa PCI y propuso otros contenidos y actividades opcionales.

A medida que el programa ganaba terreno, la dirección aportó un apoyo adicional, alineando aún más los objetivos de los equipos de desarrollo y seguridad de la información. Esto permitió al equipo de Paysafe llevar el programa al siguiente nivel e introducir programas de certificación más formales con KPI designados e incentivos por el éxito.

La siguiente fase del programa se centró en los 10 temas estándar principales de OWASP, con etapas de certificación que permitían a los desarrolladores avanzar a través de diferentes niveles de éxito. Hoy en día, el programa ha alcanzado un nuevo nivel de alcance y madurez, elevando los estándares básicos para los desarrolladores de todos los niveles, desde empleados a tiempo completo hasta trabajadores ocasionales.

«Apreciamos mucho la colaboración que hemos establecido con SCW durante los últimos cuatro años. Juntos, hemos podido ofrecer formación específica sobre la seguridad de las aplicaciones y reforzar las relaciones entre nuestros equipos de seguridad e ingeniería, basadas en un compromiso común para desarrollar código seguro desde el principio y lo antes posible en el ciclo de vida del desarrollo de software», afirma Alan Osborne, director de seguridad informática de Paysafe.

Gracias al apoyo y la coordinación continuos del director de seguridad de la información, el director de tecnología y los directivos de ingeniería, Paysafe se ha asociado con Secure Code Warrior desarrollar continuamente su programa. En la actualidad, el programa está estrechamente alineado con las necesidades de la empresa, ofrece resultados tangibles y sigue siendo relevante e interesante para los equipos internos.

Resultados: una nueva norma para el código seguro en toda la organización.

Las iniciativas de seguridad de las aplicaciones de Paysafe han mejorado desde que comenzaron hace cuatro años. Gracias a su asociación con Secure Code Warrior, Paysafe ha demostrado el considerable impacto que un enfoque holístico de la gestión de riesgos para los desarrolladores puede tener en toda la organización.

El análisis de los datos de escaneo SAST realizado por Paysafe reveló que las aplicaciones desarrolladas por equipos formados con Secure Code Warrior una reducción notable de las vulnerabilidades detectadas durante los primeros análisis de desarrollo. El número de vulnerabilidades detectadas durante el primer análisis disminuyó aún más en los equipos cuyos desarrolladores participaban más activamente en la plataforma SCW.

El equipo con el mayor nivel de actividad y compromiso en Secure Code Warrior observado una reducción significativa, año tras año, de las vulnerabilidades descubiertas durante las primeras fases de desarrollo, lo que pone de relieve el valor añadido de una formación continua basada en las competencias para reforzar los hábitos de codificación segura. La creación de un código seguro desde el principio permitió a su equipo y a otros equipos del SDLC ahorrar mucho tiempo. Se ahorraron miles de horas de desarrollo al eliminar la necesidad de identificar, registrar y reelaborar las vulnerabilidades del código, previniéndolas desde el inicio del desarrollo. Esto se tradujo en una mejora del 45 % en la productividad de los desarrolladores, lo que permitió demostrar las ventajas de actualizar las competencias en materia de código seguro y mejorar el proceso de desarrollo diario. Una solución beneficiosa tanto para los equipos de ingeniería como para los equipos de AppSec.

El compromiso de Paysafe con el código seguro le ha ayudado a destacar y a alcanzar el cuarto puesto en el SCW Trust^{Score® dentro} del índice de referencia de servicios bancarios y financieros. Aunque se trata de un logro del que se sienten orgullosos, el compromiso de Paysafe con las iniciativas de código seguro no se detiene ahí. Animada por los resultados obtenidos gracias a su asociación con Secure Code Warrior, Paysafe busca mejorar aún más el programa.

Secure Code Warrior ha ayudado a aumentar la productividad de los desarrolladores, acelerar nuestra capacidad para comercializar productos y mejoras, y reducir considerablemente los costes y los riesgos a lo largo del tiempo», afirma Alan Osborne, director de seguridad informática de Paysafe. «Hemos demostrado que la codificación segura, respaldada por una formación mejorada para los desarrolladores, no es solo una ventaja, sino una inversión probada que genera un retorno real al tiempo que refuerza las habilidades, la experiencia y las capacidades de nuestros desarrolladores».

A continuación, Paysafe pretende hacer que sus normas de seguridad sean más operativas incorporando medidas adicionales de gobernanza y gestión de riesgos en su proceso, SCW Trust Agent profundizando su larga colaboración con Secure Code Warrior demostrando su compromiso con la excelencia en materia de ciberseguridad.

Dans un récent rapport d'Aberdeen, 8 organisations sur 9 n'étaient au courant d'aucun problème de conformité ou de vulnérabilité dans leur base de code. Pour la seule entreprise qui a identifié des problèmes, ce qu'elle savait ne représentait que 9,5 % des problèmes réels finalement découverts lors d'un audit logiciel. Cela représente à la fois une lacune en matière d'évitement et de remédiation lorsqu'il s'agit de gérer les risques de sécurité et de conformité.

Il est important de combler cette lacune pour aider les équipes d'ingénierie et leurs dirigeants à mieux comprendre l'impact des logiciels libres sur la capacité d'une organisation à créer et à fournir des solutions sans risque. Une partie de la solution consiste à créer un processus en boucle fermée visant à former les développeurs à l'importance de la sécurité et de la conformité ainsi qu'à la manière d'atténuer les risques, tout en établissant les bons outils pour la découverte et la correction.

Si vous êtes développeur, ingénieur ou spécialiste de la sécurité, écoutez nos experts Alex Rybak, directeur de la gestion des produits chez Revenera, et Matias Madou, directeur technique de Secure Code Warrior, discuter des points suivants dans ce webinaire :

- L'importance de mettre en œuvre une gouvernance continue tout au long du cycle de vie du développement logiciel.
- Pourquoi une nomenclature logicielle (sBOM) est la meilleure amie d'un responsable de l'ingénierie.
- Le développement de solutions fiables commence par la définition de politiques interfonctionnelles convenues pour identifier et corriger les risques.
- L'entrée en vigueur de réglementations sectorielles nécessitant des changements structurels pour soutenir la gestion de la conformité et de la sécurité.
- Le rôle que jouent désormais les entreprises dans la sécurisation de la formation des développeurs grâce à des programmes tels que la microformation pour une initiative de gestion open source plus robuste.

TL ; ESSAYER

À propos de Colgate-Palmolive

Colgate-Palmolive Company est une marque de produits de consommation marquante connue et appréciée par les foyers du monde entier. Bien qu'elle soit vieille de plus de deux siècles, il s'agit d'une entreprise innovante en pleine croissance qui tire parti du numérique pour réimaginer un avenir plus sain pour les humains, leurs animaux de compagnie et la planète.

Situación

Colgate-Palmolive, comme presque toutes les autres organisations, connaît une transformation numérique afin de mieux servir ses clients, ce qui a entraîné un changement dans la façon dont l'organisation aborde la sécurité des applications.

Alex Schuchman, CISO chez Colgate-Palmolive, l'explique ainsi :

« Il est très important pour nous de protéger les données de nos clients et d'être ainsi en mesure de renforcer la confiance, non seulement dans nos produits, mais aussi dans les interactions numériques que nos clients entretiennent avec nous. »

Mais pour Alex, le défi était de sécuriser la source des éventuelles violations des données des clients, à savoir le code lui-même.

« Le fait de travailler sur la conception des applications m'a été très utile lorsque je suis passé à mon rôle de CISO. Je comprends la difficulté de récupérer des tickets auprès d'AppSec ou la frustration de ne pas respecter les délais à cause de retouches. Par conséquent, mon objectif en tant que CISO n'était pas seulement de renforcer la sécurité dans le cycle de vie du développement logiciel, mais également de rationaliser la manière dont elle est mise en œuvre. »

Acción

Colgate-Palmolive a relevé ce défi en divisant sa formation en matière de sécurité en plusieurs parties. Cela l'a rendu plus acceptable pour les développeurs, qui ont pu l'intégrer à leur flux de travail, au lieu de suivre une formation de conformité longue et monolithique à laquelle ils étaient habitués. En tirant parti de l'approche agile et contextuelle de Secure Code Warrior pour l'apprentissage sécurisé du code, les développeurs ont pu comprendre les vulnérabilités dans le contexte de leurs projets réels, ce qui a permis d'accroître l'engagement et de conserver à long terme les compétences en matière de codage sécurisé.

« Je voulais mettre en œuvre ces meilleures pratiques tout en maintenant l'engagement des développeurs », explique Alex. « Nous avons encore mandaté des parties essentielles du programme, mais le fait de maintenir la gestion de la formation et d'écouter les commentaires des développeurs a contribué au succès du programme. »

Colgate-Palmolive a mis en œuvre un flux de travail Okta qui gère le référentiel GitHub, permettant uniquement aux développeurs ayant réussi des évaluations SCW spécifiques d'accéder aux pull requests, comme illustré dans le schéma ci-dessous.

Résultats

Selon Alex, « Nous avons compris que pour optimiser le succès, nous avions besoin de l'implication de nos développeurs dès le départ. Nous avons donc veillé à ce que les développeurs sachent qu'ils joueraient un rôle essentiel dans le succès du programme. En conséquence, nous avons constaté qu'il y avait une bien meilleure relation entre notre équipe de sécurité et nos développeurs, et nous avions vraiment l'impression de travailler en équipe sur le programme. Nous continuons à développer et à étendre le programme de maturité en matière de sécurité, en nous appuyant sur le succès que nous avons déjà connu. »

Principaux points à retenir

1. Définissez clairement les objectifs du programme et mettez l'accent sur la contribution et l'engagement des développeurs. Les développeurs sont plus susceptibles d'adhérer à un programme d'apprentissage de code sécurisé intégré à leur flux de travail et intégré aux outils de développement qu'ils utilisent au quotidien.
2. L'utilisation d'un outil SSO tel qu'Okta pour accéder au référentiel de code incite l'équipe. Seuls les développeurs ayant obtenu une note de passage à des cours et à des évaluations spécifiques du SCW sont autorisés à effectuer des pull requests.
3. Au fil du temps, développez une culture de sécurité qui favorise une relation de travail solide entre les équipes AppSec et de développement.

‍