Secure Code Warrior Bericht zeigt, dass sich die Anwendungssicherheit von der Reaktion zur Prävention verlagert, da die Entwickler zur Verantwortung gezogen werden
BOSTON, SYDNEY, LONDON, BRUGES, PORTLAND, 24. März 2021 - Eine neue Studie von Secure Code Warrior®, dem globalen Unternehmen für sichere Kodierung, hat einen Einstellungswandel in der Softwareentwicklungsbranche aufgezeigt, bei dem Unternehmen traditionelle Praktiken zugunsten von DevOps und Secure DevOps ablehnen.
Die weltweite Umfrage unter professionellen Entwicklern und ihren Managern ergab, dass sieben von zehn Unternehmen (70 %) die Bedeutung von sicheren Codierungspraktiken anerkennen, wobei die Ergebnisse darauf hindeuten, dass ein branchenweiter Wechsel von der Reaktion zur Prävention im Gange ist.
Dr. Matias Madou, Chief Technology Officer und Mitbegründer von Secure Code Warrior, sagt: "Wir beobachten weltweit einen grundlegenden Wandel in der Denkweise, da sich die Branche langsam von reaktiven, notdürftigen Lösungen, die nach einem Sicherheitsverstoß ausgerollt werden, zu einer proaktiven und von Menschen geführten Praxis des Schreibens von Qualitätssoftware entwickelt, die vom ersten Tastendruck an frei von Sicherheitslücken ist.”
"Diese Untersuchung zeigt, dass 'sicherer Code' innerhalb der Softwareentwicklung zum Synonym für 'Qualitätscode' wird und dass Sicherheit zur Aufgabe von Entwicklungsteams und Führungskräften wird - nicht nur von AppSec-Experten", sagte er.
Sichere Kodierung wird als "reaktiv" angesehen
Reaktive Praktiken wie die Verwendung von Tools für bereitgestellte Anwendungen und die manuelle Überprüfung des Codes auf Schwachstellen waren die beiden wichtigsten Praktiken, die die Befragten mit sicherem Coding in Verbindung brachten. Weltweit ist jedoch ein proaktives Umdenken zu beobachten: Mehr als die Hälfte (55 %) der befragten Entwickler verstehen unter sicherer Programmierung auch die aktive, fortlaufende Praxis, Software zu schreiben, die vor Schwachstellen geschützt ist.
Manager und Entwickler sind nicht aufeinander abgestimmt
Mehr als die Hälfte (55 %) der befragten Manager gab an, dass Secure Coding während des gesamten Entwicklungsprozesses praktiziert und integriert wird, im Vergleich zu nur 43 % der Entwickler. Umgekehrt berücksichtigen 36 % der Entwickler Secure Coding während der Entwicklung, aber nicht in der Designphase, im Gegensatz zu weniger als einem Drittel (32 %) der Manager.
Sicherer Code ein zunehmender Erfolgsindikator
Während die Befragten "Applikations-Performance" und "Funktionalität und Features" als die häufigsten Erfolgsmetriken innerhalb der Softwareentwicklung identifizierten (67% bzw. 62%), gaben fast vier von fünf Befragten (79%) an, dass die Bedeutung von "sicherem Code" immer mehr an Bedeutung gewinnt.
Anwendungssicherheit verlagert sich
Fast die Hälfte der Befragten (46 %) gab an, dass Entwicklungsleiter und -teams für die Anwendungssicherheit verantwortlich sein sollten und nicht die AppSec-Teams (24 %). Mehr als acht von zehn (81 %) der befragten Entwickler gaben an, dass sie für jeden produzierten anfälligen Code verantwortlich sind.
Entwickler sind motiviert, sich weiterzubilden
ErhöhteProduktivität und Effizienz", "Neugier" und "Vermeidung von Problemen, die durch unsicheren Code verursacht werden" wurden als die wichtigsten intrinsischen Motivatoren für das Erlernen von sicherem Coding genannt (20 %, 14 % bzw. 11 %). Obwohl nur 10 % der Befragten das berufliche Fortkommen als persönlichen Motivator angaben, würden vier von fünf (81 %) Managern eher Talente mit sicheren Programmierkenntnissen einstellen.
Mehr Training ist nötig
91 % der befragten Manager gaben an, dass sie bei der Implementierung sicherer Kodierungspraktiken in ihrem Unternehmen auf überdurchschnittliche Schwierigkeiten stoßen, obwohl die überwältigende Mehrheit der Befragten (97 %) der Meinung ist, dass sie ausreichend geschult sind. Vielleicht liegt das daran, dass fast neun von zehn (88 %) der befragten Entwickler sagten, sicheres Coding sei eine Herausforderung.
Madou fügte hinzu: "Da Die Top 10 von OWASP Software-Schwachstellen in den letzten zwei Jahrzehnten mehr Sicherheitsverletzungen verursacht haben als alle anderen, ist es jetzt für Unternehmen an der Zeit, Entwickler weiterzubilden, um das Wissen und die Fähigkeiten zu erlangen, die nötig sind, um unsicheren Code auszumerzen und Probleme von vornherein zu verhindern.”
"Code ist das Herzstück alltäglicher Interaktionen, und Secure Code Warrior konzentriert sich darauf, sicherheitskompetente Entwickler zu fördern, die erstaunliche, sichere Software für unsere vernetzte Welt erstellen können.
Um frühzeitigen Zugriff auf den Bericht "Shifting from reaction to prevention: The changing face of application security 2021', registrieren Sie Ihr Interesse hier
Methodik
Secure Code Warrior® beauftragte Evans Data Corporation, den Marktintelligenzführer innerhalb der IT-Branche, mit der Durchführung einer globalen Umfrage unter Entwicklern und Entscheidungsträgern, die aktiv in der Softwareentwicklung tätig sind. Im August 2020 wurden 400 Befragte in Nordamerika, Indien, Großbritannien, Europa, Australien, Neuseeland und Südostasien befragt.
Für Medienanfragen, um Zugang zum vollständigen Bericht zu erhalten oder ein Interview zu vereinbaren, wenden Sie sich bitte an: Carly Ryan, Hotwire E: securecodewarrior@hotwireglobal.com
