Établir des habitudes sécurisées pour le développement de logiciels en 2023 – Help Net Security
Au début d’une nouvelle année, il n’est pas rare que les gens saisissent l’occasion d’adopter de meilleures pratiques et principes et adoptent de nouvelles façons de penser dans leur vie personnelle et professionnelle.
Les équipes de développement logiciel s’efforcent toujours de maîtriser leur métier, d’améliorer leurs pratiques et de fournir des applications et des services sécurisés, d’autant plus que les risques de sécurité des applications augmentent et que les attentes sont plus élevées que jamais (53 % des développeurs sont désormais censés assumer l’entière responsabilité de la sécurité au sein de leur organismes).
Pourtant, malgré des failles continues dues à un code non sécurisé, la formation au codage sécurisé pour les équipes de développement est encore presque totalement absente des programmes d’informatique des meilleures universités américaines. Face à ce dilemme AppSec, il est vital que 2023 devienne l’année des nouvelles habitudes sécurisées tout au long du cycle de vie du développement logiciel (SDLC).
Renforcer les habitudes de sécurité grâce à l’éducation à la sécurité
Les résolutions du Nouvel An peuvent échouer rapidement. Parfois, un manque de concentration ou d’engagement peut être le produit d’une connaissance, d’une éducation ou d’un soutien insuffisants pour conduire un changement de comportement durable. Les membres du SDLC n’ont peut-être pas la compréhension approfondie de la sécurité des applications dont ils ont besoin – et peuvent ne pas savoir exactement comment les failles du code auront un impact sur le produit, l’entreprise et le client et ce qui doit être fait pour remédier à la faille.
Pour permettre des habitudes plus sûres aux développeurs et à tous ceux qui prennent en charge la livraison de code sécurisé, l’éducation et un état d’esprit axé sur la sécurité doivent devenir des priorités. La sensibilisation est une bonne chose, mais ils doivent être en mesure d’acquérir une connaissance et une compréhension approfondies de la manière de mettre en œuvre les principes de sécurité clés nécessaires pour résoudre les anciens et les nouveaux types de vulnérabilités de code.
Prenons l’exemple des failles d’injection : cette catégorie de vulnérabilités figure dans le Top 10 de l’OWASP depuis dix ans et reste l’une des trois failles les plus critiques des applications Web. Les vulnérabilités d’injection sont également parmi les plus faciles à atténuer. Cela peut prendre aussi peu que 10 minutes de formation pour expliquer aux développeurs comment résoudre ce problème. Mais les développeurs qui cherchent à réduire le risque de vulnérabilités SQLi dans leur code ne pourront pas s’engager dans une habitude de sécurité durable s’ils ne sont pas d’abord formés sur les principes de base de la vulnérabilité et sur la manière de prévenir des failles similaires. La formation peut amorcer le changement et améliorer la sécurité des applications.
Bien sûr, l’éducation sur SQLi ne sera pas pertinente pour tout le monde. Chaque rôle au sein du SDLC devra adopter différentes habitudes de sécurité pour mieux prendre en charge le codage sécurisé.
Responsables du développement
Bien qu’ils n’écrivent peut-être pas eux-mêmes du code, les responsables du développement doivent devenir plus responsables du développement d’applications avec moins de vulnérabilités. Une habitude sûre pour ces professionnels pourrait être de considérer la sécurité comme une fonction de bouée de sauvetage (c’est-à-dire une priorité non négociable), ce qui signifie que s’il y a des vulnérabilités dans le code, une application ne sera pas livrée.
Chefs de produits et de projets
Les organisations sont souvent confrontées à des silos de sécurité et à une mauvaise collaboration entre les équipes. Les chefs de produit et de projet doivent travailler de manière plus proactive avec les développeurs pour s’assurer que les exigences sont détaillées et que la sécurité est considérée comme une priorité dans toute nouvelle application ou service. Par exemple, les discussions sur la modélisation des menaces doivent avoir lieu tôt dans le processus de conception pour augmenter la productivité.
Ingénieurs logiciels et expérience utilisateur (UX)
Les revues de code régulières sont déjà une habitude pour ceux qui développent du code. Les développeurs et les experts UX qui souhaitent mieux comprendre où les concepts de sécurité sont appliqués peuvent se tourner vers des collègues de confiance et demander que les revues de code intègrent également une évaluation de leur sécurité. En empilant les examens généraux et les examens de sécurité, ces nouvelles habitudes sécurisées sont plus susceptibles de devenir durables.
Responsables de l’assurance qualité (AQ)
Les responsables de l’assurance qualité doivent considérer la sécurité comme la fonctionnalité lorsqu’ils examinent les stratégies de rapidité de mise sur le marché. S’assurer que l’automatisation des tests valide non seulement la qualité mais aussi la sécurité d’une application sera donc une habitude sécurisée cruciale pour réduire le nombre de vulnérabilités présentes après la publication.
Toutes ces habitudes sont des changements relativement petits et réalisables qui pourraient avoir un impact significatif sur la sécurité des applications. Pourtant, sans une éducation persistante et programmatique sur l’importance de la sécurité et sur la manière de la réaliser, ces habitudes subiront le sort de la plupart des résolutions du Nouvel An et se dissoudront avec le temps.