Veracode julkaisi elokuussa 2020 sovellusturvallisuuden käytäntöihin ja nykyaikaisiin kehitystapoihin liittyvän tutkimuksen. Sen mukaan yli puolet organisaatioista ei tarjoa sovelluskehittäjille yhden vuoden aikana välttämättä ainuttakaan tietoturvaan keskittyvää koulutusta.
Se on liian vähän.
Ohjelmistokehitys on jatkuvassa ja nopeassa muutoksessa. Asia on kyllä tiedossa — näiden samojen organisaatioiden mielestä tietoturvallisuuden asiantuntijoiden tehtävä olisi kouluttaa sovelluskehittäjiä niin, etteivät nämä koodaisi merkittäviä tietoturvaongelmia sovelluksiin alkuunkaan. Missä kohtaa siis on katkos?
Horisontissa näkyy yhteisöllisyyttä
Kommunikointiin liittyvät häiriötekijät ja eriävät prioriteetit koulutustarpeissa tietoturva- ja sovelluskehitystiimien välillä ovat osa ongelmaa. Kehittäjien halutaan ”shift left” eli ottamaan enemmän vastuuta turvallisesta koodista aikaisemmassa vaiheessa ohjelmistokehityksen elinkaarta. Tämän tahtotilan tueksi on tärkeää tarjota kehittäjille myös riittävää ja oikeanlaista koulutusta, jotta voitaisiin luoda maailmanluokan sovelluksia — sellaisia, joissa tietoturva on sisäänrakennettuna alusta alkaen.
Täydelliseksi ratkaisuksi tähän kohtaanto-ongelmaan yritys voi hankkia suunnittelutiimin käyttöön esim. Veracode Security Labs Enterprise Editionin.
Eikä se maksa mitään.
Aitoa koodia ja oikeita ongelmia
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen. Työkalut on rakennettu vuorovaikutteisiksi, jotta käytännön harjoittelun saa käyntiin vaikka saman tien.
Enterprise Edition sisältää ominaisuuksia, jotka tukevat kehitystiimejä opetussuunnitelmilla, käyttöönottostrategioilla ja edistymisraportoinnilla. Yhteisöversio tarjoaa valikoituja aiheita ja kertaluonteisia labraharjoituksia kaikille, jotka haluavat vahvistaa tietoturvaosaamistaan. Vaikka organisaatioiden ja tiimien skaalautuvuuden mahdollistavia eroja näissä Veracode Security Labsin versioissa onkin, yksittäisille kehittäjille edut ovat täsmälleen samat:
Lisää kyvykkyyttä hyödyntää ja korjata todellisia haavoittuvuuksia, jotta opitaan myös etsimään niitä epävarman koodin seasta
- Nopeaa ja asianmukaista korjausopastusta suosituimmille ohjelmointikielille
- Helppoa ja hauskaa käytännön harjoittelua, joka mahdollistaa ammatillisen kasvun
- Tietoturvaosaamisen parantamista samalla, kun luodaan itseluottamusta interaktiivisten harjoitteiden avulla
Jokaiselle jotakin
Yhteisöversiossa on katettuna aiheita aloittelijasta edistyneeseen. Veracode on luvannut kasvattaa ajan myötä labraharjoitteiden ja -haasteiden määrää entisestään. Esimerkkejä:
- Yleisimmät ReactJS-sudenkuopat
- Bash-komentotulkin käyttö
- HTTP-injektiot
- Replay-hyökkäykset
Jokaiselle jotakin
- Valitse haluamasi harjoitus.
- Käytä live-päätettä muodostamaan yhteys konttiympäristöön, jossa haavoittuva sovellus sijaitsee.
- Etsi haavoittuvuus ja korjaa se koodieditorilla.
Kun on kyse tietoturva-aukkojen poistamisesta ja prioriteettien mukauttamisesta, koulutus on avainasemassa. Mutta koulutus ei ole välttämättä kaikille sopiva tapa.
Haluatpa sitten ilmoittaa koko kehittäjäryhmäsi räätälöityyn koulutusohjelmaan tai tarkastelet kehittäjäkoulutusta yksilöllisen kasvun polkuna, Veracode Security Labs auttaa varmistamaan, että kaikki ovat samalla sivulla silloin, kun pohdittavina ovat ohjelmistokehityksen kriittiset turvallisuuskysymykset.
Ota Veracode Security Labs Community Edition omaksesi
Miten käytännössä
Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.
Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Veracode Webinar – Security scanning in pipelines
Tämä on webinaaritallenne 12.5.2021, jossa Julian (Veracode) ja Thomas (Mint Security) näyttävät demoja ja esittelevät ajatuksia Veracoden käyttämisestä CI/CD-putkissa.
Veracode SOSS 11 – sovellusten yleisimmät tietoturvapuutteet
Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne.
Veracode Security Labs Demo
Saku talks about Veracode Security Labs and gives a hands-on demo on three excercises.
