Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Tästä huolimatta heillä ei kuitenkaan useimmiten ole tarvittavaa koulutusta haavoittuvuuksien tunnistamiseksi ja niiden korjaamiseksi. Tai siihen, että voitaisiin jopa julkaista suoraan tuotantoon edes yleisimmistä tietoturva-aukoista vapaita sovelluksia.

Kutsu: Security Labs on aiheena Mintin ja Veracoden yhteisessä webinaarissa to 1.10. klo 12.

Ilmoittaudu webinaariin

Koodareilta vaaditaan paljon

Miksi koodareiden tietoturvakoulutus jää jälkeen sille asetetuista tavoitteista? Yleisimmät syyt ovat tässä:

  • Koulutuksen sisältö on liiiiiian pitkä
  • Sisältö ei ole merkityksellistä suhteessa organisaation tech stackiin
  • Lähestymistapa oppimiseen on vääränlainen, eikä sitouta tai innosta oppijaa riittävästi
Veracode Security Labs - training module introduction to bash terminal
Veracode Security Labs - training module introduction to bash terminal

Tietoturvastandardit ja viitekehykset tykkää

Standardit, sertifioinnit ja regulaatio asettavat tietyt vaatimuksensa jatkuvalle tietoturvakoulutukselle.

ISO27001

Maailman johtava ISO 27001 -tietoturvastandardi edellyttää, että ohjelmistojen ja järjestelmien kehittämistä koskevat käytännöt on laadittava ja sovellettava niitä kaikkeen organisaatiossa tapahtuvaan ohjelmistokehitykseen. Käytäntöjen tulee kattaa tietoturvallisen sovelluskehityksen avainasiat kaikille organisaation käyttämille ohjelmointikielille, sovellusturvallisuuteen liittyvät perusasiat sekä luoda ja vahvistaa kehittäjien kyvykkyyttä välttää, löytää ja korjata sovelluksissa olevia haavoittuvuuksia.

OWASP SAMM

OWASP SAMM on itsearviointiin perustuva kypsyysmalli, joka pyrkii lisäämään tietoisuutta ja kouluttamaan organisaatioita miten suunnitella, kehittää ja ottaa käyttöön turvallisia ohjelmistoja. SAMM:n Education & Guidance -käytännöt ottavat kantaa tietoturvakoulutukseen kolmella kypsyystasolla:

Tasolla 1 tietoturvakoulutusta tulee antaa kaikille henkilöryhmille ja erityisesti niille, jotka ovat jollain tavalla tekemisissä turvallisen ohjelmistokehityksen prosessien kanssa. Tavoitteena on lisätä tietoisuutta sovelluksiin kohdistuvista tietoturvauhkista ja riskeistä, tuntea tietoturvan parhaat käytännöt ja turvallisen ohjelmistojen suunnittelun periaatteet. OWASP Top 10 -haavoittuvuudet tulisi kattaa yleisellä tasolla.

Tasolla 2 on tarjotaan roolien mukaan räätälöityä koulutusta. Koulutuksen tulee liittyä yrityksessä käytettyihin tekniikoihin, aloittaen kehitystiimin ytimestä. Organisaatio mukauttaa tuotepäälliköiden, ohjelmistokehittäjien, testaajien ja turvallisuusauditoijien koulutuksen sisällön kunkin ryhmän teknisten tarpeiden perusteella.

Tasolla 3 tavoitteena on kehittää sisäisiä koulutusohjelmia.

Veracode Security Labs - user management
Veracode Security Labs - user management

Labsilla mennään suoraan itse asiaan

Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää. Selainpohjaisilla harjoituksilla päästään 5-10 minuutissa kartuttamaan taitoja, hyödyntäen ja korjaten oikeaa koodia.

”Interaktiiviset” koulutusratkaisut simuloivat tyypillisesti verkkosovellusta oikean koodin käytön sijasta. Tämän lähestymistavan haittana on, että vaikka kehittäjä passiivisesti tarkastelisi koodinpätkiä, hän ei koskaan välttämättä kosketa edes näppäimistöä. Ilman käytännön harjoittelua tilanne on usein se, että todellista oppimista ei ole tapahtunut, koska osallistujat klikkailevat eri monivalintavastauksia, kunnes oppitunti on ohi.

Shift left!

Security Labs käyttää shift left -lähestymistapaa sovellusturvallisuuteen, valmistaen ja vahvistaen kehittäjien kykyjä vastata moderneihin uhkiin hyödyntämällä ja korjaamalla oikeaa koodia sekä soveltamalla DevSecOps-periaatteita suojatun koodin oikea-aikaisessa tuottamisessa.

Käytännön harjoituksilla kehittäjät oppivat taitoja ja strategioita, jotka ovat suoraan sovellettavissa organisaation tuottamaan koodiin. Yksityiskohtainen edistymisraportointi ja tulostaulu kannustavat kehittäjiä hiomaan jatkuvasti omia koodaustaitojaan.

Veracode Security Labs - Choose lab topic
Veracode Security Labs - Choose lab topic

Luo turvallisempaa softaa

Tyypillisesti sataa sovelluskehittäjää kohti asiaa tuntevia tietoturva-ammattilaisia on vastaavasti olemassa vain yksi. Kun koodarit päivitetään kouluttamalla korjaamaan aukot ja koodaamaan oikein, organisaatiosi ”AppSec” muuttuu skaalautuvammaksi. Veracode Security Labs tarjoaa mahdollisuuden luoda räätälöityjä labroja, jotka liittyvät juuri sinun organisaatiosi tech stackiin ja liiketoiminnan tavoitteisiin.
Veracode Security Labs - Assign content through campaigns
Veracode Security Labs - Assign content through campaigns

Lisätietoja

  • Katso esittelyvideo tästä: https://share.vidyard.com/watch/eiL5tYWaUQVB55x3debySD?
  • Lue lisää Veracoden omilta sivuilta: https://www.veracode.com/products/security-labs

Jos kaipaat hands-on livedemoa, ota yhteyttä meihin. Tarvittaessa lainaamme testitunnukset – tai luodaan oma testiympäristö.

Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Koko sovellusportfolion tietoturvan hallinta yhdessä ja samassa palvelussa Veracoden palvelun avulla voidaan arvioida

Lue lisää »
Veracode Security Labs - training module introduction to bash terminal
Veracode
Saku Tuominen

Veracode Security Labs – Community Edition

Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen.

Lue lisää »
Veracode Security Labs - user management
Veracode
Saku Tuominen

Veracode Security Labs

Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää.

Lue lisää »
SOSS Opensource Edition 2020
Veracode
Tapio Särkelä

SOSS: Avoimen lähdekoodin kirjastot

Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.

Lue lisää »
Amy DeMartine
Veracode
Tapio Särkelä

Secure What You Sell

Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.