IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

De nombreux développeurs « n'ont pas les connaissances et les compétences essentielles pour développer efficacement des logiciels sécurisés »
L'éducation et la formation sont requises, selon la Fondation Linux

Le , par Anthony

47PARTAGES

11  0 
D'après un nouveau rapport de la Linux Foundation Research et de l'Open Source Security Foundation (OpenSSF), près d'un tiers des développeurs logiciels ne sont pas familiers avec les pratiques de développement de logiciels sécurisés.

La Linux Foundation Research et l'Open Source Security Foundation ont publié un nouveau rapport intitulé « Secure Software Development Education 2024 Survey : Understanding Current Needs ». Basée sur une enquête menée auprès de près de 400 professionnels du développement de logiciels, l'analyse explore l'état actuel du développement de logiciels sécurisés et souligne le besoin urgent de programmes formalisés d'éducation et de formation pour l'industrie.

Les attaquants découvrent et exploitent régulièrement les vulnérabilités des logiciels, ce qui souligne l'importance croissante d'une sécurité logicielle solide. Malgré cela, de nombreux développeurs n'ont pas les connaissances et les compétences essentielles pour mettre en œuvre efficacement le développement de logiciels sécurisés. Les résultats de l'enquête présentés dans le rapport montrent que près d'un tiers de tous les professionnels directement impliqués dans le développement et le déploiement - opérations système, développeurs logiciels, responsables de la validation et de la maintenance - déclarent ne pas être familiarisés avec les pratiques de développement sécurisé des logiciels. Cette situation est d'autant plus préoccupante que ce sont eux qui sont en première ligne pour créer et maintenir le code qui fait fonctionner les applications et les systèmes d'une entreprise.


« À maintes reprises, nous avons vu l'exploitation de vulnérabilités logicielles conduire à des conséquences catastrophiques, soulignant le besoin critique pour les développeurs à tous les niveaux d'être armés de connaissances et de compétences adéquates pour écrire du code sécurisé », a déclaré David A. Wheeler, directeur de la sécurité de la chaîne d'approvisionnement open source pour la Fondation Linux. « Notre étude a révélé que l'un des principaux défis est le manque d'éducation en matière de développement de logiciels sécurisés. Les praticiens ne savent pas par où commencer et apprennent au fur et à mesure. Il est clair qu'un effort à l'échelle de l'industrie pour mettre au premier plan l'éducation au développement sécurisé doit être une priorité ».

Les résultats de l'enquête indiquent que le manque de sensibilisation à la sécurité est probablement dû au fait que la plupart des programmes éducatifs actuels donnent la priorité à la fonctionnalité et à l'efficacité, tout en négligeant souvent la formation essentielle à la sécurité. En outre, la plupart des professionnels (69 %) s'appuient sur l'expérience professionnelle comme principale ressource d'apprentissage, alors qu'il faut au moins cinq ans d'expérience pour atteindre un niveau minimum de connaissance en matière de sécurité.


D'autres résultats clés de l'enquête sont les suivants :

  • Le manque de temps (58 %) et le manque de sensibilisation et de formation (50 %) sont les deux principaux obstacles à la mise en œuvre de pratiques de développement de logiciels sécurisés au sein des entreprises.
  • La principale raison (44 %) de ne pas suivre de cours sur le développement de logiciels sécurisés est la méconnaissance d'un bon cours sur le sujet.
  • Les méthodes d'apprentissage autonome sont les plus répandues, 74 % des personnes interrogées déclarant utiliser des ressources telles que des tutoriels en ligne, des vidéos et des livres comme principale méthode d'apprentissage.
  • Les préoccupations émergentes en matière de sécurité, telles que l'IA (57 %) et la chaîne d'approvisionnement (56 %), sont considérées comme des domaines futurs critiques pour l'innovation et l'attention.

« La première étape pour aborder le développement de logiciels sécurisés est de reconnaître le manque de connaissances existant et d'identifier les domaines prioritaires pour créer une formation supplémentaire », a déclaré Christopher "CRob" Robinson, Intel, co-président de l'OpenSSF Education Special Interest Group (SIG) et président de l'OpenSSF Technical Advisory Council (TAC). Sur la base de ces résultats, l'OpenSSF va créer un nouveau cours sur l'architecture de sécurité qui sera disponible dans le courant de l'année et qui contribuera à promouvoir une approche de « sécurité par la conception » dans la formation des développeurs logiciels.

Source : La Fondation Linux

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de la Fondation Linux crédibles ou pertinentes ?

Voir aussi :

Les développeurs passent 57 % de leurs temps à résoudre des problèmes plutôt qu'à innover, mais 78 % pensent que la mise en oeuvre de l'observabilité full-stack serait bénéfique, selon une étude de Cisco

Est-il possible de mesurer la productivité des développeurs ? Oui, selon McKinsey, qui suggère une approche adaptée au contexte et aux objectifs

Le temps perdu par les développeurs coûterait des milliards aux entreprises, un gaspillage qui est estimé à environ 12,97 milliards de dollars par an

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de
https://www.developpez.com
Le 22/07/2024 à 17:19
Quel est votre avis sur le sujet ?
Pour ma part, je ne peux que conseiller fortement aux développeurs et, en particulier, aux chefs de projet d'obtenir des certifications telles que la CSSLP de (ISC)2. Cette certification encourage une approche basée sur le concept "Security by Design", en intégrant la sécurité dès le début de la conception du logiciel. Elle permet en particulier de :
  • Identifier et corriger les vulnérabilités tout au long du cycle de vie.
  • Intégrer des principes de sécurité dès la conception.
  • Appliquer des pratiques de codage sécurisées.
  • Mettre en œuvre des tests de sécurité.
  • Maintenir la sécurité après le déploiement avec des mises à jour régulières.

Grâce à ce type d'approche, il est possible de concevoir des logiciels solides et sécurisés, ce qui permet de diminuer les risques et d'accroître la confiance des utilisateurs (ça serait dommage de paralyser l'informatique mondial n'est ce pas ).
2  0