Définir l’importance du code sécurisé

Les développeurs qui créent les logiciels, les applications et les programmes qui animent l’activité numérique sont devenus la pierre angulaire de nombreuses organisations. La plupart des entreprises modernes ne peuvent pas fonctionner (de manière rentable) sans applications et programmes concurrents, ni accès 24h/24 et 7j/7 à leurs sites Web et autres infrastructures.

Cependant, ces mêmes points de contact sont aussi souvent des passerelles que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et servir de tremplins pour d’autres activités criminelles telles que la fraude et les ransomwares.

Malgré l’augmentation des dépenses de cybersécurité par la plupart des organisations, et même si des mouvements comme DevSecOps transfèrent la sécurité aux développeurs qui sont la pierre angulaire des entreprises d’aujourd’hui, les attaques réussies sont encore courantes. Les développeurs comprennent l’importance de la sécurité et ont un fort désir de déployer un code sûr et de haute qualité, mais les vulnérabilités logicielles continuent d’être exploitées.

Pourquoi?

En décembre 2021, Secure Code Warrior s’est associé à Evans Data Corp pour mener l’enquête 2022 Developer-Centric State of Security Survey, la deuxième année au cours de laquelle 1 200 développeurs du monde entier ont été interrogés sur leur perception des pratiques de codage sécurisé. impact et pertinence perçue dans le cycle de vie du développement logiciel (SDLC).

L’enquête a révélé un manque de définition claire ou de compréhension de ce qui constitue un code sécurisé. Il s’avère qu’il existe un grand écart entre ce que les développeurs pensent être du code sécurisé et ce qu’il est réellement.

Il n’est pas surprenant que l’écriture de code de haute qualité soit une priorité pour la communauté du développement. Mais lorsqu’on leur a posé des questions sur le code sécurisé, seulement 29 % ont déclaré que la pratique active de l’écriture de code sans bogue était une priorité absolue. Au lieu de cela, les développeurs associent des pratiques moins sécurisées et moins fiables à la création de code sécurisé. Par exemple, examiner le code existant (37 %) et s’appuyer sur des bibliothèques externes pour le code sécurisé (37 %) sont les meilleures pratiques des développeurs en matière de codage sécurisé. La réutilisation de code déjà considéré comme sûr (32 %) est un autre choix populaire. La pratique positive d’écriture de code sans bogue a été classée n° 6, 29 % déclarant qu’il s’agissait d’une pratique de premier plan dans la création de code sécurisé.

Interrogés plus en détail, le manque de temps et l’absence d’une approche de gestion cohérente ont été cités comme des obstacles majeurs à la création de code sécurisé.

La dépendance à l’égard du code existant est l’un des facteurs qui augmente le risque que les logiciels comportent des vulnérabilités exploitables. Résoudre cette déconnexion avec ce qui constitue un code sécurisé est nécessaire pour que les développeurs créent un code sécurisé et de haute qualité.

Que peuvent faire les organisations pour corriger cette situation ?

L’un des principaux enseignements de l’enquête est que toute la communauté des développeurs est remplie de professionnels qui se soucient de leur travail. Écrire du code de haute qualité est extrêmement important pour eux en tant qu’équipe. Le problème est que, dans de nombreux cas, les organisations pour lesquelles ils travaillent n’ont pas identifié les meilleures pratiques nécessaires pour générer du code sécurisé, ni investi suffisamment de ressources pour former ou habiliter leurs développeurs à atteindre ces objectifs.

En fait, la plupart des développeurs affirment que leurs organisations n’ont même pas de définition claire de ce qu’est un code sécurisé. Dans l’un des exemples les plus troublants, 28 % des personnes interrogées ont déclaré que leur organisation considérait le code comme sûr si une violation n’était pas signalée après le déploiement de l’application ou du programme en production ou rendu public.

Cela peut aller de soi, mais dans le paysage complexe des menaces d’aujourd’hui, le simple fait d’espérer de bons résultats sans essayer peut avoir un résultat prévisible : davantage de failles de sécurité.

Heureusement, dans ce cas, il est relativement facile de commencer au moins à résoudre le problème, puis de commencer à travailler vers l’objectif d’un code sécurisé. La première, et sans doute la plus importante, consiste pour les organisations à définir le code qu’elles considèrent comme sûr. Tout ce qui va au-delà de cette définition doit être considéré comme dangereux.

Le codage sécurisé doit être défini comme la pratique d’un développeur qualifié commençant par le SDLC pour écrire du code exempt de bogues. Ce n’est que lorsque cette pratique est définie que la communauté des développeurs peut travailler vers cet objectif.

Faire de l’objectif du code sécurisé une réalité

Une fois la définition du code sécurisé établie, les organisations doivent être prêtes à soutenir ces efforts et leurs développeurs qui atteindront l’objectif de parvenir à des pratiques de code entièrement sécurisées. Ce soutien est essentiel. Sans cela, la définition du code de sécurité au sein de votre organisation, bien qu’importante, n’est rien de plus qu’un tigre de papier. Les pratiques de codage sécurisé doivent être approuvées par la direction et bénéficier de la considération, de l’autorisation et du budget appropriés pour réussir.

Cela peut nécessiter de nouveaux objectifs d’analyse comparative pour les développeurs, qui ont traditionnellement été mesurés par leur vitesse de codage. En fait, 37 % des développeurs de l’enquête ont déclaré qu’ils avaient laissé des vulnérabilités connues dans leur code qu’ils n’avaient pas eu le temps de corriger ou de coder correctement dès le départ en raison du crunch.

Au départ, cela peut signifier l’ajout de délais pour donner aux développeurs plus de temps pour coder correctement, bien que ce temps passé au début du processus de codage puisse être compensé plus tard en raison d’un besoin moindre de révisions de programme, de correctifs et de post-déploiement. Travail. L’élimination du potentiel de violations de déploiement peut en fin de compte économiser des centaines, voire des millions, en pertes de revenus, en amendes et en coûts de nettoyage.

Les développeurs ont également besoin d’une formation pratique pertinente, en particulier sur les vulnérabilités spécifiques qu’ils peuvent rencontrer, et d’une aide pour apprendre à identifier et à corriger les vulnérabilités dans leur code. Cela est particulièrement vrai étant donné que 36 % des répondants ont déclaré qu’ils aimeraient supprimer les vulnérabilités de leur code, mais qu’ils n’avaient pas les compétences ou les connaissances nécessaires pour le faire.

Vous voulez plus d’informations sur l’enquête de Secure Code Warriors auprès de 1 200 développeurs dans le monde ? Vous pouvez y accéder ici : L’état de la sécurité pilotée par les développeurs en 2022