Catégories
Start-up et applications

La formation sur le code sécurisé en tête des agendas de développement logiciel 2021

Il y a un débat très controversé dans toute la communauté de développement logiciel qui, étonnamment, ne pas découlent de la pandémie mondiale – si Fonctionnalité ou performance classe la priorité un quand on parle de codage sécurisé.

Dans la précipitation pour répondre aux besoins de développement logiciel, il est généralement admis que, bien que la «perfection du code sécurisé» soit l'objectif, atteindre la perfection «totale» n'est pas réaliste (les gens font des erreurs, les exigences changent et ne sont pas corrigées, etc.). Par conséquent, si la perfection n’est pas réalisable, Fonctionnalité du code (le code fait-il ce qu'on lui a demandé) ou le performance de code (lisibilité, modularité, élégance, etc.) d'une importance primordiale?

Aspect fondamental du développement d'applications d'entreprise et mobiles, le codage sécurisé vise à garantir que le code est aussi propre que possible. Un code sans erreur protège tout le cycle de vie du développement logiciel contre les défauts, les bogues et les failles de renseignement qui entraînent des failles de sécurité. Même la plus petite erreur de programmation peut entraîner une panne de sécurité à grande échelle qui affecte négativement le déploiement et le succès des applications, conduisant finalement à une propriété intellectuelle et des données compromises.

CONTENU CONNEXE: 2020: Les problèmes de sécurité augmentent à mesure que le monde devient soudainement plus numérique

Un engagement envers les principes de codage sécurisé peut être motivé de n'importe où au sein d'une organisation, car de nombreux acteurs sont directement impliqués dans le succès des applications logicielles d'entreprise et mobiles. Bien que l'informatique «soit souvent malmenée» pour sa rigidité et son contrôle sur ce qu'il faut ou ne pas faire en matière de sécurité, il est essentiel que chaque couche de l'équipe de développement logiciel (du CTO / CSO aux gestionnaires et développeurs AppSec , à ceux du côté des entreprises et des clients) s'efforcent de manière proactive d'éliminer (ou à tout le moins de réduire) les vulnérabilités logicielles.

Cependant, si les programmeurs en première ligne n'ont pas les compétences appropriées, ainsi que le support de formation nécessaire, pour s'assurer que le code créé est aussi proche de la «perfection» que possible, l'initiative est vouée à l'échec avant même qu'elle ne commence ( c'est-à-dire que le code soit fonctionnel ou performant n'a pas d'importance de toute façon). C'est là que réside le conflit qui se propage au sein des équipes de développement (alors que cela ne devrait vraiment pas être le cas) et pourquoi une formation adéquate devient la réponse non négociable à la question de ce qui compte le plus.

La formation produit un meilleur code, des coûts et des risques réduits
La plupart sont conscients du coût estimé des bogues logiciels (plus de 60 milliards de dollars selon l’Institut national des normes et de la technologie du Département du commerce), alors que le niveau élevé de risque calculé est incommensurable.

Nous savons aussi que (c'est-à-dire à quel moment) dans le cycle de vie du développement logiciel, un bogue peut avoir une incidence sur les efforts de correction, ainsi que sur le coût et le risque global qui en découlent. Les développeurs doivent faire leur part en cherchant à créer le code le plus précis et le plus sécurisé possible, ce qui signifie adhérer aux exigences AppSec définies par l'organisation et les organismes de normalisation de l'industrie.

Bien qu'il incombe aux entreprises de conserver le code au plus haut niveau, elles ne peuvent pas supposer que les développeurs «ont juste» le savoir-faire nécessaire pour y parvenir. Les programmeurs sortant de l'université apprennent à peine la valeur et la pratique du codage sécurisé, et comment il corrige les vulnérabilités.

Fournir des opportunités continues de développement des compétences DevTeam et de formation avancée dans le cadre des objectifs de code sécurisé d'une entreprise, ainsi que lier les priorités AppSec définies à des mesures de performance, fait une différence significative en termes de motivation, de performance et d'intégration de la sécurité. En outre, les programmeurs acquièrent une base de connaissances équivalente qui approuve un environnement dans lequel eux aussi peuvent passer plus de temps à écrire et à déployer un bon code, plutôt que de corriger les erreurs.

La gamification, une stratégie de formation clé
Certainement, intégrité devrait être une caractéristique de tous les développeurs (c'est-à-dire que les entreprises veulent du code fonctionnel, fonctionne bien et est de haute qualité), mais les entreprises se retrouvent toujours confrontées au défi de s'assurer que toutes les personnes ayant un rôle dans le cycle de vie des logiciels et des applications d'entreprise partagent le même niveau d'engagement envers le codage idéaux. Une stratégie qui fonctionne bien pour les équipes distribuées et hybrides est la gamification. De manière générale, les codeurs ont tendance à aimer la concurrence et cela va plus loin que le simple désir de gagner la première place dans un classement. Le technicien et joueur autoproclamé Brent Hale résume assez bien les avantages des codeurs qui jouent assez bien dans l'article, "6 raisons pour lesquelles les programmeurs devraient commencer à jouer aux jeux vidéo."

L'intégration des concepts de gamification dans les principes de codage sécurisé aidant les développeurs à devenir plus conscients de la sécurité, le marché réagit avec la croissance des entreprises qui offrent de tels services et solutions. Par exemple, Guerrier du code sécurisé offre des moyens d'améliorer les compétences et les résultats de codage sécurisé grâce à des tournois, des cours, des évaluations et plus encore. Si les entreprises ne peuvent pas s'attendre à ce que les développeurs soient des «experts» en sécurité, elles peuvent certainement exiger d'eux qu'ils deviennent des «champions» de la sécurité en tant que première ligne de défense organisationnelle.

Considérations relatives à la formation virtuelle
La réalité actuelle de la mi-pandémie signifie que les équipes sont encore plus réparties qu'avant que COVID ne crée des environnements de travail à distance obligatoires. Les cours de formation au niveau de l'entreprise ont également été touchés, comme le sont maintenant les cours en personne. Nous avons inauguré une ère moderne de formats eLearning virtuels en ligne et les entreprises sont agréablement surprises par la valeur générée par la possibilité d'apprendre avec n'importe qui, de n'importe où et à tout moment.

Lorsque vous considérez les «apprenants» impliqués dans la formation au code sécurisé (développeurs, concepteurs, data scientists, testeurs, etc.), n'oubliez pas qu'ils sauront, très rapidement, si ce qu'ils vivent ou non apporte de la valeur. Ils sont également intimement familiarisés avec la technologie, contrairement à l’utilisateur professionnel moyen.

Par conséquent, il est important pour les directeurs techniques, les directeurs informatiques, les directeurs généraux et les vice-présidents de l’ingénierie d’organiser des cours de formation et de développement sur les plates-formes eLearning les plus modernes, efficaces et faciles à utiliser. Bien qu'un éventail de modèles (par exemple, l'apprentissage en ligne, à distance et / ou à distance) soit accessible en fonction du type d'instructeur / apprenant / besoins en contenu, il est important de prendre en compte quelques objectifs clés lors de la création de programmes de formation virtuels au codage sécurisé:

  1. Mettre en œuvre la formation via un modèle cloud natif,
  2. Établir des paramètres de codage sécurisés et des attentes de performance dès le départ,
  3. Avoir une flexibilité dans les méthodes d'enseignement et la gestion du temps pour répondre aux différents styles d'apprenants,
  4. Rendre l'apprentissage à distance amusant et flexible pour l'apprenant et l'instructeur,
  5. Augmentez les niveaux d'engagement avec des outils intelligents qui prennent en charge les mesures et la responsabilité, et
  6. Structurer les cours pour répondre au développement de compétences uniques et non techniques.

En outre, il est essentiel de noter que, bien que pratique pour la communication générale au quotidien, la nature rudimentaire des outils de collaboration audio, vidéo et / ou chat grand public (Zoom, WebEx, Google Meet, WebEx, Slack, etc.) ne sont pas des plates-formes suffisantes. sur lequel exécuter des programmes de formation et de développement eLearning virtuels de qualité qui permettront d'obtenir les résultats de codage sécurisés souhaités.

De toute évidence, la fonctionnalité et les performances du code sont toutes deux importantes. L'investissement accru de 2021 dans la formation et le développement de code sécurisé renforcera cela, mais mettra l'accent sur la création du code le plus propre possible pour contrecarrer les vulnérabilités de sécurité qui conduisent à des cyberattaques et à des actifs de données compromis.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *