Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Veracode julkaisi elokuussa 2020 sovellusturvallisuuden käytäntöihin ja nykyaikaisiin kehitystapoihin liittyvän tutkimuksen. Sen mukaan yli puolet organisaatioista ei tarjoa sovelluskehittäjille yhden vuoden aikana välttämättä ainuttakaan tietoturvaan keskittyvää koulutusta.

Se on liian vähän.

Ohjelmistokehitys on jatkuvassa ja nopeassa muutoksessa. Asia on kyllä tiedossa — näiden samojen organisaatioiden mielestä tietoturvallisuuden asiantuntijoiden tehtävä olisi kouluttaa sovelluskehittäjiä niin, etteivät nämä koodaisi merkittäviä tietoturvaongelmia sovelluksiin alkuunkaan. Missä kohtaa siis on katkos?

Horisontissa näkyy yhteisöllisyyttä

Kommunikointiin liittyvät häiriötekijät ja eriävät prioriteetit koulutustarpeissa tietoturva- ja sovelluskehitystiimien välillä ovat osa ongelmaa. Kehittäjien halutaan ”shift left” eli ottamaan enemmän vastuuta turvallisesta koodista aikaisemmassa vaiheessa ohjelmistokehityksen elinkaarta. Tämän tahtotilan tueksi on tärkeää tarjota kehittäjille myös riittävää ja oikeanlaista koulutusta, jotta voitaisiin luoda maailmanluokan sovelluksia — sellaisia, joissa tietoturva on sisäänrakennettuna alusta alkaen.

Täydelliseksi ratkaisuksi tähän kohtaanto-ongelmaan yritys voi hankkia suunnittelutiimin käyttöön esim. Veracode Security Labs Enterprise Editionin. 

Aitoa koodia ja oikeita ongelmia

Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen. Työkalut on rakennettu vuorovaikutteisiksi, jotta käytännön harjoittelun saa käyntiin vaikka saman tien.

Enterprise Edition sisältää ominaisuuksia, jotka tukevat kehitystiimejä opetussuunnitelmilla, käyttöönottostrategioilla ja edistymisraportoinnilla. Yhteisöversio tarjoaa valikoituja aiheita ja kertaluonteisia labraharjoituksia kaikille, jotka haluavat vahvistaa tietoturvaosaamistaan. Vaikka organisaatioiden ja tiimien skaalautuvuuden mahdollistavia eroja näissä Veracode Security Labsin versioissa onkin, yksittäisille kehittäjille edut ovat täsmälleen samat:

Lisää kyvykkyyttä hyödyntää ja korjata todellisia haavoittuvuuksia, jotta opitaan myös etsimään niitä epävarman koodin seasta

  • Nopeaa ja asianmukaista korjausopastusta suosituimmille ohjelmointikielille
  • Helppoa ja hauskaa käytännön harjoittelua, joka mahdollistaa ammatillisen kasvun
  • Tietoturvaosaamisen parantamista samalla, kun luodaan itseluottamusta interaktiivisten harjoitteiden avulla
Veracode Security Labs - training module introduction to bash terminal
Veracode Security Labs - training module introduction to bash terminal

Jokaiselle jotakin

Yhteisöversiossa on katettuna aiheita aloittelijasta edistyneeseen. Veracode on luvannut kasvattaa ajan myötä labraharjoitteiden ja -haasteiden määrää entisestään. Esimerkkejä:

  • Yleisimmät ReactJS-sudenkuopat
  • Bash-komentotulkin käyttö
  • HTTP-injektiot
  • Replay-hyökkäykset

Jokaiselle jotakin

  1. Valitse haluamasi harjoitus.
  2. Käytä live-päätettä muodostamaan yhteys konttiympäristöön, jossa haavoittuva sovellus sijaitsee.
  3. Etsi haavoittuvuus ja korjaa se koodieditorilla.

Kun on kyse tietoturva-aukkojen poistamisesta ja prioriteettien mukauttamisesta, koulutus on avainasemassa. Mutta koulutus ei ole välttämättä kaikille sopiva tapa.

Haluatpa sitten ilmoittaa koko kehittäjäryhmäsi räätälöityyn koulutusohjelmaan tai tarkastelet kehittäjäkoulutusta yksilöllisen kasvun polkuna, Veracode Security Labs auttaa varmistamaan, että kaikki ovat samalla sivulla silloin, kun pohdittavina ovat ohjelmistokehityksen kriittiset turvallisuuskysymykset.

Ota Veracode Security Labs Community Edition omaksesi

Miten käytännössä 

Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.

Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa. 

 
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
State of software security 11 is here
Veracode
Tapio Särkelä

Veracode – State of Software Security 11

Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.