Veracode julkaisi elokuussa 2020 sovellusturvallisuuden käytäntöihin ja nykyaikaisiin kehitystapoihin liittyvän tutkimuksen. Sen mukaan yli puolet organisaatioista ei tarjoa sovelluskehittäjille yhden vuoden aikana välttämättä ainuttakaan tietoturvaan keskittyvää koulutusta.
Se on liian vähän.
Ohjelmistokehitys on jatkuvassa ja nopeassa muutoksessa. Asia on kyllä tiedossa — näiden samojen organisaatioiden mielestä tietoturvallisuuden asiantuntijoiden tehtävä olisi kouluttaa sovelluskehittäjiä niin, etteivät nämä koodaisi merkittäviä tietoturvaongelmia sovelluksiin alkuunkaan. Missä kohtaa siis on katkos?
Horisontissa näkyy yhteisöllisyyttä
Kommunikointiin liittyvät häiriötekijät ja eriävät prioriteetit koulutustarpeissa tietoturva- ja sovelluskehitystiimien välillä ovat osa ongelmaa. Kehittäjien halutaan ”shift left” eli ottamaan enemmän vastuuta turvallisesta koodista aikaisemmassa vaiheessa ohjelmistokehityksen elinkaarta. Tämän tahtotilan tueksi on tärkeää tarjota kehittäjille myös riittävää ja oikeanlaista koulutusta, jotta voitaisiin luoda maailmanluokan sovelluksia — sellaisia, joissa tietoturva on sisäänrakennettuna alusta alkaen.
Täydelliseksi ratkaisuksi tähän kohtaanto-ongelmaan yritys voi hankkia suunnittelutiimin käyttöön esim. Veracode Security Labs Enterprise Editionin.
Eikä se maksa mitään.
Aitoa koodia ja oikeita ongelmia
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen. Työkalut on rakennettu vuorovaikutteisiksi, jotta käytännön harjoittelun saa käyntiin vaikka saman tien.
Enterprise Edition sisältää ominaisuuksia, jotka tukevat kehitystiimejä opetussuunnitelmilla, käyttöönottostrategioilla ja edistymisraportoinnilla. Yhteisöversio tarjoaa valikoituja aiheita ja kertaluonteisia labraharjoituksia kaikille, jotka haluavat vahvistaa tietoturvaosaamistaan. Vaikka organisaatioiden ja tiimien skaalautuvuuden mahdollistavia eroja näissä Veracode Security Labsin versioissa onkin, yksittäisille kehittäjille edut ovat täsmälleen samat:
Lisää kyvykkyyttä hyödyntää ja korjata todellisia haavoittuvuuksia, jotta opitaan myös etsimään niitä epävarman koodin seasta
- Nopeaa ja asianmukaista korjausopastusta suosituimmille ohjelmointikielille
- Helppoa ja hauskaa käytännön harjoittelua, joka mahdollistaa ammatillisen kasvun
- Tietoturvaosaamisen parantamista samalla, kun luodaan itseluottamusta interaktiivisten harjoitteiden avulla
Jokaiselle jotakin
Yhteisöversiossa on katettuna aiheita aloittelijasta edistyneeseen. Veracode on luvannut kasvattaa ajan myötä labraharjoitteiden ja -haasteiden määrää entisestään. Esimerkkejä:
- Yleisimmät ReactJS-sudenkuopat
- Bash-komentotulkin käyttö
- HTTP-injektiot
- Replay-hyökkäykset
Jokaiselle jotakin
- Valitse haluamasi harjoitus.
- Käytä live-päätettä muodostamaan yhteys konttiympäristöön, jossa haavoittuva sovellus sijaitsee.
- Etsi haavoittuvuus ja korjaa se koodieditorilla.
Kun on kyse tietoturva-aukkojen poistamisesta ja prioriteettien mukauttamisesta, koulutus on avainasemassa. Mutta koulutus ei ole välttämättä kaikille sopiva tapa.
Haluatpa sitten ilmoittaa koko kehittäjäryhmäsi räätälöityyn koulutusohjelmaan tai tarkastelet kehittäjäkoulutusta yksilöllisen kasvun polkuna, Veracode Security Labs auttaa varmistamaan, että kaikki ovat samalla sivulla silloin, kun pohdittavina ovat ohjelmistokehityksen kriittiset turvallisuuskysymykset.
Ota Veracode Security Labs Community Edition omaksesi
Miten käytännössä
Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.
Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Veracode – State of Software Security 11
Veracode julkaisi äskettäin vuosittaisin raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat,, mikä niitä
Valtaosa sovelluskehittäjistä käyttää sovelluskirjastoja – alle puolet selvillä kirjastoissa piilevistä haavoittuvuuksista
Suurin osa nykyaikaisesta sovelluskehityksestä perustuu avoimen lähdekooodin kirjastoihin. Veracoden ESG-tutkimusyhtiöllä teettämän tutkimuksen mukaan yli 96 prosenttia yrityksistä ja organisaatioista käyttää avoimen lähdekoodin kirjastoja sovelluskehityksessään.
Skannasimme Koronavilkun – tässä havaintomme
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
