Catégories
Start-up et applications

Mettre les développeurs dans la sécurité des applications

Rendre la sécurité facile pour les développeurs, dans leurs outils préférés, tout en générant des rapports pour le RSSI est un défi auquel de nombreuses entreprises sont confrontées aujourd'hui, alors que la réalité est que les approches de sécurité de stade avancé ne peuvent pas brancher les vulnérabilités profondément dans les applications.

Pourtant, mettre carrément la responsabilité sur les développeurs est un pari, car beaucoup ne connaissent pas certains types de vulnérabilités, ou où ils pourraient se trouver, comme dans un composant open-source ou dans une API.

Les organisations relèvent donc le défi de la sécurité des applications en créant des «équipes» de développement, composées de développeurs, de testeurs, de personnel de sécurité et de l'équipe produit, pour empêcher les vulnérabilités de se frayer un chemin dans une application.

Pour créer l'équipe, Simon King, vice-président des solutions pour Synopsys Integrity Group, recommande vivement de recruter quelques experts en sécurité qui l'ont déjà fait dans le passé, «car essayer de le comprendre à partir de zéro vous prendra trop de temps et vous ne manquerez que des choses très basiques. Une fois les experts à bord, il a dit de compléter l'équipe avec des personnes des équipes produit qui savent beaucoup mieux où peuvent se situer les faiblesses.

Ensuite, il recommande de mettre en place un e-learning pour se former à nouveau dans l'organisation et éventuellement pousser le personnel de sécurité dans les équipes produit, d'où émergeront les champions de la sécurité.

Quatre niveaux de sécurité
King a expliqué que de nombreuses entreprises doivent passer par quatre niveaux de sécurité: la sécurité en tant que centre de coûts, en tant que conformité, en tant que technologie et, finalement, en tant que facilitateur commercial. Du point de vue du centre de coûts, a-t-il dit, les organisations se demandent quels outils acheter qui «coche la case» pour un problème de sécurité particulier. La sécurité en tant que conformité définir politiques qui une équipe centrale essaie de imposer. En tant que technologie, les organisations cherchent à intégrer ces solutions dans leur pipeline pour tirer parti des outils des développeurs.

King a déclaré qu'ils conduisaient ensuite un changement culturel qui poussait les équipes de sécurité à agir comme la police pour les intégrer réellement aux équipes de développement «  afin qu'ils réfléchissent aux choses dès le départ, comme 'que pouvons-nous faire' au lieu de 'que devons-nous faire maintenant que nous avons déjà écrit le code et l'avons testé? ». Enfin, seules quelques-unes des entreprises les plus matures de la planète sont au point où elles considèrent la sécurité comme un catalyseur commercial. Cela, dit-il, est un changement assez fondamental «qui permet alors les genre de pensée qui dit maintenant que les données sont des données super-sécurisées, que pourrions-nous en faire que nous ne pouvions pas envisager de faire auparavant parce que nous ne faisions pas confiance qui a accès aux données, par exemple."

Dans ce type d'environnement, les développeurs devraient effectuer autant de tests que possible à partir du moment où un objet existe, a expliqué King. À partir du moment où un développeur accède à un référentiel public pour extraire du JavaScript pour un projet open-source, a-t-il déclaré, vous voulez vous assurer qu'il s'agit de la bonne version, qu'il n'y a pas de vulnérabilités connues associées et que les licences sont conformes aux politiques de l'entreprise. , parce que vous ne voulez pas le découvrir tard dans le cycle de développement. L'analyse statique et l'analyse open-source pour la composition logicielle doivent donc être effectuées dès le début. Ensuite, au fur et à mesure que le logiciel passe dans le pipeline, des tests dynamiques sur les API qui connectent les applications et les services à l'architecture système devra être fait plus tard dans le processus, de par sa nature même.

«Et puis peut-être au milieu du chemin, vous allez commencer à regarder les conteneurs dans lesquels vous courez», a déclaré King. «Qu'y a-t-il dans ce modèle, toutes les différentes couches de l'application au conteneur lui-même, puis finalement certaines vulnérabilités ne se manifestent que dans des architectures de déploiement assez complexes, et vous allez donc faire des tests de stylet et des choses comme ça assez tardivement . »

Ce que propose Synopsys
Pour aider les organisations, Synopsys rassemble des services logiciels gérés, des services professionnels et des outils. L'entreprise fait BSIMMdes entretiens basés sur l'évolution des pratiques de sécurité de l'industrie et inversement pour proposer des processus d'analyse comparative, d'évaluation et de cartographie. «Ce sont des plans d'action pour dire, comment allez-vous de l'endroit où vous êtes à l'endroit où vous voulez être», a expliqué King.

L'équipe des services professionnels prend en charge la mise en œuvre et l'adoption des outils à grande échelle. King était très enthousiasmé par les outils, qui couvrent le spectre des tests de sécurité statiques à l'analyse de vulnérabilité open-source en passant par les tests de stylet – créant un environnement de sécurité des applications holistique.

Synopsys dispose de laboratoires de recherche travaillant sur les bases de connaissances de plusieurs pétaoctets de l'entreprise et les tests qu'ils écrivent pour vérifier les vulnérabilités, tandis que les équipes de services professionnels fournissent à l'entreprise un aperçu approfondi de leurs clients car elles travaillent en étroite collaboration avec leurs équipes en contact avec les clients. King a déclaré: "Nous apportons cette expertise, cette intimité client, qui est autrement difficile à atteindre."

Contenu fourni par SD Times et Synopsys

https://sdtimes.com/ "width =" 242 "height =" 53 "srcset =" http://www.cardagram.fr/wp-content/uploads/2020/09/Mettre-les-developpeurs-dans-la-securite-des-applications.png 479w, https: // sdtimes .com / wp-content / uploads / 2020/09 / download-300x66.png 300w, https://sdtimes.com/wp-content/uploads/2020/09/download-150x33.png 150w, https: // sdtimes .com / wp-content / uploads / 2020/09 / download-400x88.png 400w, https://sdtimes.com/wp-content/uploads/2020/09/download-320x70.png 320w, https: // sdtimes .com / wp-content / uploads / 2020/09 / download-270x59.png 270w, https://sdtimes.com/wp-content/uploads/2020/09/download-100x22.png 100w "tailles =" (max -largeur: 242px) 100vw, 242px "/></i></p>
<p><!-- AddThis Advanced Settings above via filter on the_content --><!-- AddThis Advanced Settings below via filter on the_content --><!-- AddThis Advanced Settings generic via filter on the_content --><!-- AddThis Share Buttons above via filter on the_content --><!-- AddThis Share Buttons below via filter on the_content --><!-- AddThis Share Buttons generic via filter on the_content -->              </div>

		</div><!-- .entry-content -->

	</div><!-- .post-inner -->

	<div class=

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *