Veracode julkaisi elokuussa 2020 sovellusturvallisuuden käytäntöihin ja nykyaikaisiin kehitystapoihin liittyvän tutkimuksen. Sen mukaan yli puolet organisaatioista ei tarjoa sovelluskehittäjille yhden vuoden aikana välttämättä ainuttakaan tietoturvaan keskittyvää koulutusta.
Se on liian vähän.
Ohjelmistokehitys on jatkuvassa ja nopeassa muutoksessa. Asia on kyllä tiedossa — näiden samojen organisaatioiden mielestä tietoturvallisuuden asiantuntijoiden tehtävä olisi kouluttaa sovelluskehittäjiä niin, etteivät nämä koodaisi merkittäviä tietoturvaongelmia sovelluksiin alkuunkaan. Missä kohtaa siis on katkos?
Horisontissa näkyy yhteisöllisyyttä
Kommunikointiin liittyvät häiriötekijät ja eriävät prioriteetit koulutustarpeissa tietoturva- ja sovelluskehitystiimien välillä ovat osa ongelmaa. Kehittäjien halutaan ”shift left” eli ottamaan enemmän vastuuta turvallisesta koodista aikaisemmassa vaiheessa ohjelmistokehityksen elinkaarta. Tämän tahtotilan tueksi on tärkeää tarjota kehittäjille myös riittävää ja oikeanlaista koulutusta, jotta voitaisiin luoda maailmanluokan sovelluksia — sellaisia, joissa tietoturva on sisäänrakennettuna alusta alkaen.
Täydelliseksi ratkaisuksi tähän kohtaanto-ongelmaan yritys voi hankkia suunnittelutiimin käyttöön esim. Veracode Security Labs Enterprise Editionin.
Eikä se maksa mitään.
Aitoa koodia ja oikeita ongelmia
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen. Työkalut on rakennettu vuorovaikutteisiksi, jotta käytännön harjoittelun saa käyntiin vaikka saman tien.
Enterprise Edition sisältää ominaisuuksia, jotka tukevat kehitystiimejä opetussuunnitelmilla, käyttöönottostrategioilla ja edistymisraportoinnilla. Yhteisöversio tarjoaa valikoituja aiheita ja kertaluonteisia labraharjoituksia kaikille, jotka haluavat vahvistaa tietoturvaosaamistaan. Vaikka organisaatioiden ja tiimien skaalautuvuuden mahdollistavia eroja näissä Veracode Security Labsin versioissa onkin, yksittäisille kehittäjille edut ovat täsmälleen samat:
Lisää kyvykkyyttä hyödyntää ja korjata todellisia haavoittuvuuksia, jotta opitaan myös etsimään niitä epävarman koodin seasta
- Nopeaa ja asianmukaista korjausopastusta suosituimmille ohjelmointikielille
- Helppoa ja hauskaa käytännön harjoittelua, joka mahdollistaa ammatillisen kasvun
- Tietoturvaosaamisen parantamista samalla, kun luodaan itseluottamusta interaktiivisten harjoitteiden avulla
Jokaiselle jotakin
Yhteisöversiossa on katettuna aiheita aloittelijasta edistyneeseen. Veracode on luvannut kasvattaa ajan myötä labraharjoitteiden ja -haasteiden määrää entisestään. Esimerkkejä:
- Yleisimmät ReactJS-sudenkuopat
- Bash-komentotulkin käyttö
- HTTP-injektiot
- Replay-hyökkäykset
Jokaiselle jotakin
- Valitse haluamasi harjoitus.
- Käytä live-päätettä muodostamaan yhteys konttiympäristöön, jossa haavoittuva sovellus sijaitsee.
- Etsi haavoittuvuus ja korjaa se koodieditorilla.
Kun on kyse tietoturva-aukkojen poistamisesta ja prioriteettien mukauttamisesta, koulutus on avainasemassa. Mutta koulutus ei ole välttämättä kaikille sopiva tapa.
Haluatpa sitten ilmoittaa koko kehittäjäryhmäsi räätälöityyn koulutusohjelmaan tai tarkastelet kehittäjäkoulutusta yksilöllisen kasvun polkuna, Veracode Security Labs auttaa varmistamaan, että kaikki ovat samalla sivulla silloin, kun pohdittavina ovat ohjelmistokehityksen kriittiset turvallisuuskysymykset.
Ota Veracode Security Labs Community Edition omaksesi
Miten käytännössä
Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.
Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
Veracode State of Software Security 12
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Veracode SoSS 11: Open Source Edition
Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.
