Pour aider les développeurs à éliminer la bête de la cybercriminalité, la formation est une quête en deux parties
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
