Catégories
Start-up et applications

Alors que les développeurs prennent le flambeau de la gestion de la sécurité, les opportunités de formation et les mesures peuvent entretenir le feu

https://sdtimes.com/ "srcset =" http://www.cardagram.fr/wp-content/uploads/2020/09/Alors-que-les-developpeurs-prennent-le-flambeau-de-la-gestion.png 490w, https://sdtimes.com/wp -contenu / uploads / 2019/01 / programmer-1653351_640-1-300x208.png 300w, https://sdtimes.com/wp-content/uploads/2019/01/programmer-1653351_640-1-150x104.png 150w, https : //sdtimes.com/wp-content/uploads/2019/01/programmer-1653351_640-1-115x80.png 115w, https://sdtimes.com/wp-content/uploads/2019/01/programmer-1653351_640- 1-400x278.png 400w, https://sdtimes.com/wp-content/uploads/2019/01/programmer-1653351_640-1-259x180.png 259w, https://sdtimes.com/wp-content/uploads/ 2019/01 / programmer-1653351_640-1-72x50.png 72w, https://sdtimes.com/wp-content/uploads/2019/01/programmer-1653351_640-1.png 640w "tailles =" (largeur max: 490px) 100vw, 490px "/>

<p>Les services de sécurité avaient la responsabilité principale de garantir les objectifs de sécurité, mais à mesure que le rythme de développement s'est accéléré, les organisations ont déplacé la sécurité vers la gauche, ce qui confère une partie de cette responsabilité aux développeurs.</p>
<p><span style=Des opportunités éducatives appropriées, un changement de culture vers l'adoption de la sécurité et une utilisation efficace des outils là où cela compte réellement sont les principaux moyens de provoquer ce changement. Après tout, les organisations qui offrent un encadrement et une formation à leurs développeurs voient une triple amélioration dans la correction des résultats de sécurité, selon Cody Betram et Patrick McNeil, architectes principaux de solutions chez Veracode, qui ont discuté des problèmes de sécurité dans un récent séminaire en ligne avec SD Times.

CONTENU CONNEXE: Quel est le rôle des développeurs dans la sécurité des applications?

«Pour ce qui est de ce que j'ai appris à l'université, cela n'a pas vraiment aidé à créer un code sécurisé et je pense que la plupart des développeurs écriraient un code plus sécurisé s'ils savaient vraiment comment. Je pense que le défi consiste à développer ces connaissances grâce à des opportunités éducatives pour les développeurs et à ne pas s'attendre à ce qu'ils apprennent tout lorsque vous leur dirigez un coup de feu de l'e-learning ou quelque chose comme ça, mais en leur donnant des choses très ciblées et spécifiques à surveiller », a déclaré McNeil .

Cela peut signifier une formation sur les types de CWE les plus courants ou des opportunités d'apprentissage en ligne telles que Security Labs, où les développeurs peuvent s'entraîner avec du vrai code. Cependant, il est important de montrer aux développeurs où ils devraient détourner leur attention en premier lieu. Cela signifie identifier quels aspects sont les meilleurs pour l'automatisation et lesquels nécessitent une perspective humaine.

Les outils peuvent être très efficaces pour résoudre des problèmes tels que les scripts intersites et l'injection SQL, mais les développeurs doivent donner la priorité aux aspects de sécurité tels que savoir à quels points mettre l'authentification dans l'application ou les choses qui nécessitent une logique métier.

«L’analyse statique de ce type de problème ressemblera davantage à une IRM et indiquera exactement le problème, et tous ces symptômes sont liés à ce problème fondamental. Les choses qu'un humain doit toujours faire est la logique métier. Vous devez réellement penser à la fonctionnalité prévue d'une application et y a-t-il des choses indésirables qu'un attaquant pourrait faire? », A déclaré Bertram.

C’est là qu’un programme de champion de la sécurité – dans lequel un développeur senior ou des personnes souhaitant entrer dans un métier de la sécurité prennent la tête des objectifs de sécurité de leur équipe – peut être une mesure efficace pour accroître la sécurité.

«J'ai vu des clients réussir à intégrer un champion de la sécurité dans un programme particulier et à leur donner une liste de contrôle qui dit:« Hé, si vous travaillez sur quelque chose qui a quelque chose à voir avec l'authentification ou la mise en place d'un nouveau microservice, ce sont les les fois où vous voulez faire appel à un membre de l'équipe de sécurité et vous apprendrez beaucoup de ces informations », a déclaré McNeil.

Il est également essentiel de pouvoir collecter des métriques pour vendre la valeur de la sécurité en tant que «fonctionnalité» plutôt qu’en drain de ressources. Au fur et à mesure que les changements de processus sont mis en place, les équipes doivent suivre les métriques pour voir si elles ont vraiment un impact ou non et c'est l'un des aspects sur lesquels les développeurs et les équipes de sécurité peuvent travailler ensemble.

Il s'agit également de quantifier les vulnérabilités qui nécessitent le plus d'attention pour améliorer les économies de coûts sous forme de prévention des violations.

«J'ai récemment lu que quelqu'un avait déboursé 10 millions de dollars parce que quelqu'un avait pris pied dans son réseau et avait implanté un logiciel malveillant de ransomware et chiffré tous ses fichiers. Ensuite, ils ont payé pour obtenir la clé de déchiffrement. Une injection de commande qui prend pied dans un réseau qui permettrait à quelqu'un d'exécuter ce type de commande? Je suis comme si c'était un problème de 10 millions de dollars! », A déclaré Bertram. «Comme si cela pouvait vraiment être quantifié.»

Une façon de mettre en œuvre des incitations pour s'attaquer à ces priorités dans une organisation où si un développeur installait un outil sur son IDE et exécutait un certain nombre d'analyses, il obtenait des points. S'ils résolvaient les défauts avec une certaine gravité, ils obtenaient plus de points.

«En fin de compte, les participants se sont amusés avec cela et ont vu qu'il y avait un impact réel mesurable pour eux, donc ce n'était pas seulement une façon d'apprendre, mais un moyen pour eux de se débarrasser d'une bonne partie de leur dette de sécurité», McNeil m'a dit.

Une autre façon d'aborder la hiérarchisation consiste à intégrer d'abord le pipeline CI / CD et à effectuer une analyse asynchrone juste pour découvrir où se trouve réellement la dette de sécurité. Les développeurs peuvent ensuite prendre des décisions prioritaires en fonction de l'application.

«La culture va devoir venir du haut vers le bas, la sécurité va subir beaucoup de pression pour fournir un code sécurisé, et les équipes de développement le sont aussi, mais il faut en quelque sorte (de fond en comble) rappeler à la direction que Il existe 3 façons de DevOps et la troisième consiste vraiment à identifier les moyens d'améliorer le processus et d'itérer, et cela inclut d'avoir le temps de faire des burndowns de sécurité, d'avoir des opportunités de formation et de se concentrer sur les moyens d'améliorer le processus à l'avenir, » Dit McNeil.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *