Certains articles de veille peuvent faire l'objet de traduction automatique.
Tout comme la technologie elle-même, les outils, les techniques et les processus optimaux de développement de code évoluent rapidement. Nous, les humains, avons un besoin insatiable de plus de logiciels, de plus de fonctionnalités, de plus de fonctionnalités… et nous le voulons plus rapidement que jamais, plus qualitatif et en plus: Sécurisé.
Avec une estimation 68% des organisations subissant des attaques zero-day des vulnérabilités non divulguées / inconnues en 2019, il s’agit d’une tendance à la hausse que nous devons aborder en tant qu’industrie en expédiant un code sécurisé à une vitesse raisonnable.
Alors que de nombreuses personnes et organisations passent de Waterfall à Agile – et que tout le monde n’y est pas encore, soyons réalistes – ils rencontrent déjà un nouveau problème.
Les équipes de développement et leurs homologues des opérations travaillent toujours en silos, ce qui cause encore des maux de tête aux responsables du développement et à leurs homologues de l’entreprise. Dans cet environnement, comment les petites équipes travaillant de manière Agile peuvent-elles tenir cette promesse d’un déploiement plus rapide et d’une livraison plus rapide?
Le mot à la mode / méthodologie de développement (ancien, et nous y reviendrons dans une minute), DevOps, a été créé pour fusionner les fonctions des développeurs et des équipes opérationnelles lors de la création de nouveaux logiciels. Essentiellement, il s’agissait d’aider les développeurs à s’approprier la mise en production, au lieu de le jeter par-dessus la clôture à l’équipe d’exploitation et d’en faire leur responsabilité.
Ils peuvent sans aucun doute expédier plus rapidement – même quelques fois par jour – ce qui semble jouer dans l’allée de l’Agile. Cependant, DevOps crée toujours une grande équipe mixte d’ingénieurs et de personnel d’exploitation, qui peut ne pas être alignée sur Agile dans la réalité. En fin de compte, nous avons établi à ce stade que DevOps est davantage une évolution de l’Agile, similaire à bien des égards et complémentaire dans leur différence.
Le pipeline d’intégration et de déploiement automatisé et continu qui apparaît dans un environnement DevOps fonctionnel est essentiel pour permettre des versions fréquentes, mais pas aussi suffisant au niveau de l’équipe – et c’est là qu’Agile intervient.
Agile permet aux équipes, en particulier aux petites équipes, de suivre le rythme de ces versions rapides et de l’évolution des exigences, tout en restant concentrées sur les tâches et collaboratives. Cela semble certainement idéal – et le processus peut garder les équipes sur la bonne voie avec l’objectif final – mais ce n’est pas sans problèmes.
Un logiciel créé à l’aide des meilleures pratiques DevOps a encore le potentiel de trébucher lors du premier combat de boss: l’équipe de sécurité. Lorsque le code est examiné par des spécialistes traditionnels / Waterfall AppSec, avec des outils ou une revue manuelle complexe, ils trouvent souvent des risques et des vulnérabilités inacceptables qui doivent ensuite être corrigés après coup.
Le processus de mise à niveau des correctifs de sécurité dans les applications terminées est ennuyeux pour les responsables du développement et leurs équipes déjà sollicitées et n’est ni rapide ni facile. Économiquement, c’est aussi beaucoup plus cher pour l’organisation.
Alors, si le monde passe au-delà de Waterfall, Agile et maintenant DevOps, quelle est la solution? Et si vous gérez une équipe de développeurs (ou si vous en êtes vous-même), quel est votre rôle pour suivre le rythme de ces changements d’approche?
Les techniques de développement sont en constante évolution, mais heureusement, celle-ci n’est pas un si grand changement. Les organisations ont juste besoin de mettre le « Sec » dans « DevOps » … et ainsi, DevSecOps est né. L’un des principaux objectifs de DevSecOps est de faire tomber les barrières et d’ouvrir la collaboration entre les équipes de développement, les opérations et, enfin et surtout, les équipes de sécurité.
DevSecOps est devenu à la fois une tactique d’ingénierie logicielle et une culture qui prône l’automatisation et la surveillance de la sécurité tout au long du cycle de vie du développement logiciel.
Cela peut sembler être un autre processus au niveau de l’organisation, peut-être un avec « trop de cuisiniers » quand il s’agit d’un développeur avec une longue liste de fonctionnalités à construire. Cependant, la méthodologie DevSecOps ouvre la possibilité aux développeurs soucieux de la sécurité de vraiment briller.
DevSecOps: un avenir radieux pour les développeurs avertis
Pourquoi un codeur – et même ses responsables – voudraient-ils se mettre au courant de DevSecOps?
Tout d’abord, il est bon de savoir que c’est une initiative brillante, et pas seulement dans la quête de protéger le monde des cyberattaques coûteuses. Les experts disent que la demande de le personnel talentueux de la cybersécurité monte en flèche sans aucune fin en vue. Ceux qui maîtrisent DevSecOps peuvent s’attendre à une carrière longue et rentable.
La sécurité de l’emploi des ingénieurs DevSecOps est encore plus assurée, car contrairement aux tactiques de cybersécurité traditionnelles telles que l’analyse des vulnérabilités avec un éventail d’outils logiciels, DevSecOps nécessite des personnes qui savent comment mettre en œuvre la sécurité pendant qu’elles codent.
Comme l’ont noté les analystes de Booz, Allen et Hamilton dans leur blog intitulé 5 mythes sur l’adoption de DevSecOps, les organisations veulent (et ont besoin) de DevSecOps, mais ne peuvent tout simplement pas l’acheter. Ils nécessitent des équipes interfonctionnelles intégrant les technologies et collaborant tout au long du cycle de vie du développement logiciel, ce qui nécessite des personnes qualifiées, une gestion du changement et un engagement continu de la part de multiples parties prenantes.
Selon Booz, Allen et Hamilton, les entreprises peuvent acheter des applications et des outils pour aider avec certains aspects de DevSecOps, comme les logiciels de gestion des versions, «mais ce sont vraiment vos équipes de livraison qui y parviennent». Ce sont eux qui conduisent l’amélioration continue offerte par DevSecOps et son changement de culture et de paradigme.
Les organisations ne peuvent pas «acheter» un programme DevSecOps viable; il doit être construit et maintenu, à l’aide d’une gamme d’outils, de connaissances internes et de conseils qui élèvent la culture de la sécurité, tout en ayant un sens commercial. Ce n’est pas facile, mais c’est loin d’être impossible.
Comment vous pouvez botter le cul dans le mouvement DevSecOps
L’une des premières étapes sur la voie de devenir – ou de soutenir la mise à niveau – d’un ingénieur DevSecOps consiste à réaliser qu’il s’agit autant d’une culture qu’un ensemble de techniques. Cela nécessite la volonté de mettre en œuvre la sécurité dans le cadre de chaque morceau de code que vous créez et le désir de protéger de manière proactive votre organisation en recherchant activement les failles de sécurité et les vulnérabilités pendant que vous codez, en les corrigeant bien avant leur mise en production. La plupart des ingénieurs DevSecOps prennent leur profession et leurs compétences très au sérieux. L’organisation professionnelle DevSecOps même a un manifeste énonçant leurs croyances.
Le manifeste est un peu lourd, car les manifestes sont rarement une lecture légère. Mais au cœur, il y a quelques vérités que tous les grands ingénieurs DevSecOps devraient apprendre à adopter, comme:
- Sachez que l’équipe de sécurité des applications est votre alliée. Dans la plupart des organisations, les spécialistes AppSec sont en désaccord avec les développeurs, car ils renvoient toujours le code terminé pour plus de travail. Les équipes AppSec n’ont souvent pas beaucoup d’amour, même pour les développeurs, car elles peuvent retarder la mise en production du code terminé en introduisant des bogues de sécurité courants. Cependant, un ingénieur DevSecOps intelligent réalisera que les objectifs des équipes de sécurité sont finalement les mêmes que ceux des développeurs et des codeurs. Vous n’êtes pas obligé d’être les meilleurs amis, mais établir une relation de travail calme et collaborative est essentiel au succès.
- Pratiquez et affinez vos techniques de codage sécurisé. Si vous pouvez trouver des façons dont les applications sont vulnérables pendant qu’elles sont encore en cours de création, la fermeture de ces failles peut arrêter les futurs pirates. Bien sûr, cela nécessite à la fois une compréhension des vulnérabilités et des outils pour les corriger. Pour les développeurs novices en matière de sécurité – même le Top 10 OWASP – le Blog de Secure Code Warrior Les pages peuvent donner un aperçu des vulnérabilités les plus courantes et les plus dangereuses que vous rencontrerez, ainsi que des conseils pratiques et des défis pour tester vos connaissances. L’aspect le plus important est de garder la sécurité à l’esprit et de prendre du temps pour une formation de petite taille qui vous aide à tirer parti des connaissances existantes. Il est courant que les interactions d’un développeur avec la sécurité soient assez banales, voire négatives, mais l’amélioration des compétences en sécurité est une excellente évolution de carrière. De plus, cela ne doit pas être une corvée, en particulier avec un réseau de soutien offrant une formation, et le temps de le faire réellement dans les heures de travail.
- N’oubliez pas: les superstars de DevSecOps contribuent à une culture de sécurité positive dans leur organisation. Au lieu de se concentrer sur les objectifs du passé, comme la livraison rapide d’applications indépendamment de leurs problèmes inhérents, il est important de faire de la recherche et de la correction des vulnérabilités lors du développement de code une priorité absolue. La sécurité doit être considérée comme le travail de chacun, et chacun doit partager l’adulation et les récompenses qui découlent du déploiement d’applications efficaces et hautement sécurisées à chaque fois.
Vous pouvez contribuer à cultiver une culture de sécurité incroyable au sein de votre organisation en défendant le codage sécurisé et les meilleures pratiques de sécurité à partir de zéro, en recommandant des solutions de formation et en veillant à ce qu’aucun codeur ne soit laissé pour compte dans le monde dynamique et rapide de DevSecOps.
Le seul bon code est sécurisé et compétent, les développeurs soucieux de la sécurité sont des pièces vitales du puzzle. Les récompenses personnelles et professionnelles valent certainement l’effort, et avec des milliards d’enregistrements de données personnelles compromis chaque année (et de plus en plus), nous avons besoin de vous. Prenez votre place en première ligne et aidez à vous défendre contre les méchants dans notre monde numérique.
Vous souhaitez faire vos premiers pas vers un avenir plus sûr? Guerrier du code sécurisé ont beaucoup de ressources gratuites, je recommanderais de commencer ici: « Le guide tactique en cinq points pour les développeurs sécurisés » Papier blanc.
//l &&! o && (jQuery.ajax ({url: "https://thehackernews.com/feeds/posts/default?alt=json-in-script&max-results=4", tapez: "get", cache:! 1, dataType: "jsonp", succès: function (e) {for (var t = "", r = "", s = 0; s
Poster un commentaire