Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Veracode julkaisi elokuussa 2020 sovellusturvallisuuden käytäntöihin ja nykyaikaisiin kehitystapoihin liittyvän tutkimuksen. Sen mukaan yli puolet organisaatioista ei tarjoa sovelluskehittäjille yhden vuoden aikana välttämättä ainuttakaan tietoturvaan keskittyvää koulutusta.

Se on liian vähän.

Ohjelmistokehitys on jatkuvassa ja nopeassa muutoksessa. Asia on kyllä tiedossa — näiden samojen organisaatioiden mielestä tietoturvallisuuden asiantuntijoiden tehtävä olisi kouluttaa sovelluskehittäjiä niin, etteivät nämä koodaisi merkittäviä tietoturvaongelmia sovelluksiin alkuunkaan. Missä kohtaa siis on katkos?

Horisontissa näkyy yhteisöllisyyttä

Kommunikointiin liittyvät häiriötekijät ja eriävät prioriteetit koulutustarpeissa tietoturva- ja sovelluskehitystiimien välillä ovat osa ongelmaa. Kehittäjien halutaan ”shift left” eli ottamaan enemmän vastuuta turvallisesta koodista aikaisemmassa vaiheessa ohjelmistokehityksen elinkaarta. Tämän tahtotilan tueksi on tärkeää tarjota kehittäjille myös riittävää ja oikeanlaista koulutusta, jotta voitaisiin luoda maailmanluokan sovelluksia — sellaisia, joissa tietoturva on sisäänrakennettuna alusta alkaen.

Täydelliseksi ratkaisuksi tähän kohtaanto-ongelmaan yritys voi hankkia suunnittelutiimin käyttöön esim. Veracode Security Labs Enterprise Editionin. 

Aitoa koodia ja oikeita ongelmia

Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen. Työkalut on rakennettu vuorovaikutteisiksi, jotta käytännön harjoittelun saa käyntiin vaikka saman tien.

Enterprise Edition sisältää ominaisuuksia, jotka tukevat kehitystiimejä opetussuunnitelmilla, käyttöönottostrategioilla ja edistymisraportoinnilla. Yhteisöversio tarjoaa valikoituja aiheita ja kertaluonteisia labraharjoituksia kaikille, jotka haluavat vahvistaa tietoturvaosaamistaan. Vaikka organisaatioiden ja tiimien skaalautuvuuden mahdollistavia eroja näissä Veracode Security Labsin versioissa onkin, yksittäisille kehittäjille edut ovat täsmälleen samat:

Lisää kyvykkyyttä hyödyntää ja korjata todellisia haavoittuvuuksia, jotta opitaan myös etsimään niitä epävarman koodin seasta

  • Nopeaa ja asianmukaista korjausopastusta suosituimmille ohjelmointikielille
  • Helppoa ja hauskaa käytännön harjoittelua, joka mahdollistaa ammatillisen kasvun
  • Tietoturvaosaamisen parantamista samalla, kun luodaan itseluottamusta interaktiivisten harjoitteiden avulla
Veracode Security Labs - training module introduction to bash terminal
Veracode Security Labs - training module introduction to bash terminal

Jokaiselle jotakin

Yhteisöversiossa on katettuna aiheita aloittelijasta edistyneeseen. Veracode on luvannut kasvattaa ajan myötä labraharjoitteiden ja -haasteiden määrää entisestään. Esimerkkejä:

  • Yleisimmät ReactJS-sudenkuopat
  • Bash-komentotulkin käyttö
  • HTTP-injektiot
  • Replay-hyökkäykset

Jokaiselle jotakin

  1. Valitse haluamasi harjoitus.
  2. Käytä live-päätettä muodostamaan yhteys konttiympäristöön, jossa haavoittuva sovellus sijaitsee.
  3. Etsi haavoittuvuus ja korjaa se koodieditorilla.

Kun on kyse tietoturva-aukkojen poistamisesta ja prioriteettien mukauttamisesta, koulutus on avainasemassa. Mutta koulutus ei ole välttämättä kaikille sopiva tapa.

Haluatpa sitten ilmoittaa koko kehittäjäryhmäsi räätälöityyn koulutusohjelmaan tai tarkastelet kehittäjäkoulutusta yksilöllisen kasvun polkuna, Veracode Security Labs auttaa varmistamaan, että kaikki ovat samalla sivulla silloin, kun pohdittavina ovat ohjelmistokehityksen kriittiset turvallisuuskysymykset.

Ota Veracode Security Labs Community Edition omaksesi

Miten käytännössä 

Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.

Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa. 

 
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
Veracode container scanning
sdlc
Saku Tuominen

Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa

Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.

Lue lisää »
Veracode State of Software Security 12
Veracode
Thomas

Veracode State of Software Security 12

Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.

Lue lisää »
Veracode SoSS 11: Open Source Edition
Veracode
Thomas

Veracode SoSS 11: Open Source Edition

Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.