Wir haben die Zeit des Jahres erreicht. Es ist an der Zeit, über alles nachzudenken, was geschehen ist, was wir erwartet haben und was nicht geschehen ist, was wir gelernt haben und was wir erwarten, was die Entscheidungen, Maßnahmen und Ergebnisse der nächsten 12 Monate bestimmen wird. 

Eine herausfordernde Wirtschaftsdynamik, aufkommende Cybersecurity-Bedrohungen und die bisher am leichtesten zugängliche Einführung von KI in der Gesellschaft prägten ein interessantes Jahr 2023 für DevSecOps. Noch interessanter ist, dass keines dieser Elemente im Rückspiegel zu sehen ist, wenn wir die Seite umblättern und ins Jahr 2024 gehen. Sie sind für Unternehmen, ihre Entwickler- und Cybersicherheitsteams sowie für staatliche Regulierungsbehörden von zentraler Bedeutung. 

Da sich die Prioritäten in rasantem Tempo verschieben, sind hier die wichtigsten Prognosen, die Secure Code Warrior für die nächsten 12 Monate sieht: 

Unternehmen legen großen Wert auf die Bindung von Entwicklern 

Entwickler liefern einen immensen Wert für Unternehmen und ihre Kunden. Jetzt liegt es an den Unternehmen, diesen Wert zu demonstrieren und zu würdigen, was Entwickler für ihr Endergebnis tun können. Es wird mehr in Bindungsstrategien, Programme und andere Maßnahmen investiert werden, um sicherzustellen, dass die Entwickler mehr Möglichkeiten haben, ihren derzeitigen Arbeitgeber zu ihrem langfristigen Karriereziel zu machen. Lernen und Entwicklung werden für diese Unternehmen ein wichtiges Unterscheidungsmerkmal sein. 

Mehr Fragen von Entwicklern werden Inhalte und Integrationen in den Mittelpunkt rücken. 

Der Druck, der auf den Entwicklern lastet, wird in nächster Zeit nicht nachlassen, denn die Unternehmen wollen mehr Software und eine kontinuierliche digitale Transformation, die sie ihren Kunden schneller zur Verfügung stellen können. Damit Entwickler auf dem Laufenden bleiben, aufkommende Hindernisse im Softwareentwicklungszyklus (SDLC) vorhersehen und Zugang zu mehr Ressourcen haben, um Innovationen zu beschleunigen, werden mehr Lerninhalte und die Integration von Drittanbietern von größter Bedeutung sein. 

KI-Werkzeuge sind das neue Stack Overflow 

Genauso wie Entwickler bei Stack Overflow oder in Open-Source-Foren um Hilfe bitten, werden sie sich auch an KI-Tools wenden. Dies schafft jedoch ein falsches Gefühl der Sicherheit. Die Entwickler werden KI als "Hilfskanal" nutzen, aber die Unternehmen werden erkennen, dass dieser Ansatz nicht ausreicht. 

Die KI-Sanierung wird sich durchsetzen 

KI wird den Entwickler von morgen nicht ersetzen, aber die Technologie wird immer stärker in den Lebenszyklus der Softwareentwicklung (SDLC) eingebettet und schafft einen narrensicheren Prozess, um die Einführung von Schwachstellen zu vermeiden oder eine kompatible Lösung zu finden. Im Laufe des Jahres werden wir sicherlich weitere Experimente sehen, die unweigerlich zu einem veränderten Verhalten der Entwickler, zu organisatorischen Investitionen, zu einer Neuverteilung des Personals und zu neuen Ansätzen für das Management von Cybersecurity-Risiken führen werden. 

Abhängigkeit von KI + explosives Wachstum von API = Regulierungsmaßnahmen

Die Zahl der Unternehmen, die ihre Geschäfte durch die beschleunigte Erstellung und Aktivierung von APIs vorantreiben, hat den API-Bedrohungsvektor erheblich erweitert. Mit der Neigung der KI-Nutzung, die Geschwindigkeit, mit der APIs erstellt und gestartet werden, exponentiell zu erhöhen, muss eine bessere Governance für die API-Sicherheit im Mittelpunkt stehen - und neue regulatorische Maßnahmen werden mit Sicherheit eingeführt werden. 

Mehr Konsequenzen für Software-Anbieter, die keinen sicheren Code bereitstellen 

CISA-Direktorin Jen Easterly hat unmissverständlich klargestellt, dass es Softwareanbietern nicht erlaubt sein sollte,die Verantwortungfür die Sicherheit ihrer Produkte abzugeben. Auch wenn die Befugnisse der CISA nur bis zu einem gewissen Grad reichen - sie hilft Anbietern, die an Bundesbehörden verkaufen, bei der Durchsetzung von Secure-by-Design-Praktiken - hat der MOVEit-Vorfall Anfang des Jahres erneut gezeigt, dass große Softwareanbieter neue Maßstäbe setzen müssen. Für Wiederholungstäter, die unsicheren Code liefern, muss es mehr Verantwortlichkeit und mehr Konsequenzen geben.

Die OWASP Top 10 des Jahres 2024 zeigt einen neuen Fokus auf Designfehler 

Apropos "Secure-by-Design": Im Jahr 2021 führte OWASP die Kategorie "Insecure Design" ein, die sich auf architektonische Sicherheitsprobleme und Schwachstellen konzentriert. In Erwartung der nächsten Top-10-Liste (höchstwahrscheinlich 2024) wird der Unterschied zwischen unsicherem Design und unsicherer Implementierung auf Führungsebene stärker thematisiert werden, wobei der Schwerpunkt auf Teams liegt, die einen sicheren Softwareentwicklungslebenszyklus (SSDLC) entwickeln, einschließlich eines vollständigen Bedrohungsmodellierungsverfahrens, das die kritische Authentifizierungs- und Zugriffskontrollkonfiguration unterstützt. 

DevSecOps-Anbieter müssen einen spezifischen ROI nachweisen, um verschiedene Führungskräfte als Käufer anzusprechen 

Um in einem wettbewerbsorientierten Verkaufszyklus an mehrere Gruppen verkaufen zu können, müssen die Anbieter die Gespräche auf die verschiedenen Bereiche des Unternehmens abstimmen. Traditionell verkaufen Sicherheitsanbieter in erster Linie an CISOs oder Sicherheitsverantwortliche. Im Jahr 2024 wird es einen größeren Bedarf an der Fähigkeit geben, Risikominderung in immer spezifischeren Kontexten für Führungskräfte in den Bereichen L&D und DevOps/AppSec - zusätzlich zu Security/CISOs - zu beweisen.

"Gatekeeping" wird die Eintrittskarte zur Sicherheitsreife in der Softwareentwicklung sein 

CISOs stehen weiterhin unter Beobachtung, um den geschäftlichen Nutzen von Cybersicherheitsmaßnahmen sowie die Wirksamkeit ihres Programms im Laufe der Zeit nachzuweisen. Entwickler müssen zunehmend nachweisen, dass sie sicherheitsbewusst sind, bevor sie mit Projekten mit sensiblen Repositories betraut werden. CISOs, die einen "Gatekeeping"-Standard einführen und der sicheren Codierung von Beginn des Softwareentwicklungsprozesses an Vorrang einräumen, werden ihre Teams besser für herausragende Sicherheit positionieren. 

Reaktive Sicherheit wird als altmodisch angesehen 

Da das Ziel einer erhöhten Cyber-Resilienz weiterhin die Cyber-Strategien in verschiedenen Branchen dominiert, werden diejenigen, die sich nur auf die Reaktion und die Behebung von Zwischenfällen als Kernpunkte ihres Plans verlassen, sich in einer unannehmbaren Situation wiederfinden und ein Risiko eingehen. Der "Shift left" muss mehr sein als ein schnell veraltetes Schlagwort; Sicherheit auf Code-Ebene sollte Priorität haben, neben der Weiterbildung und Überprüfung der Kompetenz der Entwickler, die an der Software und kritischen digitalen Infrastruktur arbeiten, die wir als selbstverständlich ansehen. Mehr denn je müssen sich Regierungen und Unternehmen zu einem präventiven Sicherheitsprogramm mit hohem Bewusstsein verpflichten, bei dem jeder Mitarbeiter in die Lage versetzt wird, Verantwortung zu übernehmen.

Als führender Anbieter von Schulungen und Implementierungen im Bereich der sicheren Kodierung freuen wir uns auf das vor uns liegende Jahr und die Zusammenarbeit mit unseren mehr als 600 Kunden, um dieser sich entwickelnden Dynamik einen Schritt voraus zu sein. Wie sieht Ihr Jahr 2024 aus und wie kann Secure Code Warrior helfen?

Möchten Sie mehr erfahren? Folgen Sie uns auf X und LinkedIn, um über alle Ankündigungen auf dem Laufenden zu bleiben.