Meister vs. Trainer: Warum jedes Entwicklungsteam beides braucht
Meister vs. Trainer: Warum jedes Entwicklungsteam beides braucht
Die Begriffe "Champion" und "Coach" gewinnen auch außerhalb des Sports zunehmend an Bedeutung und haben in den meisten Kontexten eine starke Präsenz. Es gibt Life-Coaches, Wellness-Coaches, Empathie-Coaches und "Champions", die in vielen Organisationen gekrönt werden, Titel wie "Safety Champion" oder "Vibe Champion" werden immer mehr zum Mainstream und in den Geist und die Kultur des Unternehmens integriert. Wer möchte nicht einen Coach oder einen Champion an seiner Seite haben, wenn es hart auf hart kommt?
Institutionen in der Cybersicherheitsbranche setzen seit langem Champions ein, um das Thema Sicherheit auf der Entwicklungsebene zu verbreiten und höhere Standards für die Softwaresicherheit aufrechtzuerhalten. BSIMM nennt sie die Satellite-Gruppe, während OpenSAMM und Axway zu den Pioniergruppen gehören, die Sicherheits-Champions als Konzept und formalisiertes Programm unterstützen. Diese Initiativen überschneiden sich mit einem der Hauptziele der DevSecOps-Bewegung, nämlich der Verpflichtung, die Verantwortung für die Sicherheit über alle Teams und Funktionen hinweg zu teilen, und zwar von Beginn des Softwareentwicklungsprozesses an.
Viele Unternehmen, die mit ihrem Cybersicherheitskonzept hohe Ziele verfolgen, haben ein offizielles Security-Champion-Programm eingeführt, das Personen, die für diese Aufgabe geeignet sind und sich dafür begeistern können, mit wichtigen Sicherheitsaufgaben betraut - von der Zusammenarbeit zwischen Teams über allgemeine Unterstützung bis hin zur Überwachung bewährter Verfahren.
Es hat sich jedoch gezeigt, dass sich die Rolle des "Sicherheitschampions" verändert und dass ein zukunftsorientiertes Unternehmen mit einem erweiterten Team, in dem die wichtigsten Mitarbeiter unterschiedliche, aber gleichermaßen wichtige Funktionen wahrnehmen, neue Dimensionen skalierbarer Best Practices im Bereich der Sicherheit erreichen kann.
Wir definieren den Sicherheitschampion neu und vervielfältigen ihn, um in einem zukunftssicheren Sicherheitsprogramm wirklich etwas bewirken zu können. Sind Sie bereit, Ihr nächstes Dream Team zusammenzustellen?
Jede großartige Mannschaft steht hinter einem inspirierenden Trainer.
Wenn man an Lionel Messi, Michael Jordan oder Serena Williams denkt, können in der Regel nur die eingefleischtesten Fans Fakten über ihre Trainer aufzählen, aber es ist diese enge Unterstützung, die ihre natürlichen Fähigkeiten, ihr Talent und ihre Zielstrebigkeit fördert, die den immensen Erfolg hervorbringt, den wir im Rampenlicht sehen.
Niemand erwartet von Entwicklern, dass sie einen Grand Slam gewinnen oder ein Tor für Argentinien schießen, und niemand sollte auch nur erwarten, dass Entwickler Sicherheitsexperten sind (schließlich haben sie sich verpflichtet, coole Funktionen zu entwickeln, und nicht, sich tief in die Sicherheit zu vertiefen), aber ein großartiger Sicherheits-"Coach" ist ihr wahrer Champion im Team.
Ein entwicklerseitiger Sicherheits-Champion entspricht viel mehr dem, was wir als die Grundlagen eines Coaches bezeichnen würden. Sie engagieren sich leidenschaftlich für die Sicherheit, kennen sich aus und sind ein wichtiger Ansprechpartner, wenn ein Entwickler ein Sicherheitsproblem zu lösen hat. Sie verfügen über das praktische Know-how, um das Problem zu beheben und aus den Fehlern zu lernen, und stellen gleichzeitig sicher, dass das Team die grundlegenden bewährten Sicherheitsverfahren und -werte befolgt.
Würde der AppSec-Champion bitte aufstehen?
Ein AppSec-Champion ist ein oft vermisstes Puzzlestück im Sicherheitsprogramm. Sie sind für den Erfolg eines Entwicklungsteams absolut unverzichtbar. Als Brücke zwischen der Führungsebene und den Entwicklern können sie sich aktiv für diese einsetzen und ihnen die Tools an die Hand geben, die sie benötigen, um einen positiven Einfluss auf die Verringerung von Schwachstellen, die Softwaresicherheit und das Vertrauen und die Zufriedenheit der Kunden zu haben.
Ein großartiger AppSec-Champion ist innerhalb des Unternehmens als Sicherheitsführer anerkannt und sollte eine wichtige Rolle bei der direkten Schulung der Sicherheitstrainer spielen, um bessere Ergebnisse und Beziehungen zwischen den Teams zu erzielen, die alle ein gemeinsames Ziel verfolgen: erstklassigen, wasserdichten sicheren Code.
Rufen Sie Ihren Supercoach.
Champions und großartige Coaches gehen Hand in Hand, und zusammen schaffen sie Magie. Bestehende Security-Champion-Programme konzentrieren sich in der Regel auf den Entwickler, aber wie wir festgestellt haben, sollte die wirkliche Förderung auf der AppSec-Seite stattfinden, so dass die leidenschaftlichsten, sicherheitsbewussten Entwickler dabei helfen können, unter der Haube sichere Codierung zu erreichen und den Rest des Teams zu fördern.
Die Suche nach dem idealen Coach ist ein ähnlicher Prozess wie beim traditionellen Champion: Der beste Coach ist nicht einfach die Person, die im Bereich Sicherheit "am besten" ist. Die Person, die zufälligerweise erstaunlich gut im sicheren Programmieren ist und qualitativ hochwertigen, abgesicherten Code produziert, hat vielleicht kein Interesse daran, eine außerschulische Rolle zu übernehmen, oder sie ist trotz ihrer Begabung nicht besonders von Sicherheit begeistert.
Stattdessen könnte Ihr Coach aufgedeckt werden, wenn Sie sich jemanden suchen, der:
- großes Interesse an der Cybersicherheit, von der praktischen Programmierung bis hin zur ständigen Information über die neuesten Vorfälle, Tools und coolen Entwicklungen
- Sie verfügen über gute zwischenmenschliche Fähigkeiten; sie helfen anderen gerne, fühlen sich als Ansprechpartner (oder Experte) und sind ansprechbare Teamplayer
- Sie wissen, was benötigt wird, um dem Team zu helfen, und können mit ihrem AppSec-Verbindungsmann (ihrem Champion) zusammenarbeiten, um die Bedürfnisse zu erfüllen, so dass gemeinsame Sicherheitsergebnisse erzielt werden können.
Setzen Sie Anreize für die Trainertätigkeit; wer auch immer Sie auswählen , wird mehr Verantwortung übernehmen müssen, und sein Arbeitspensum muss entsprechend bewertet werden. Auch wenn persönliches Interesse und berufliches Fortkommen bei der Motivation eines potenziellen Coaches eine Rolle spielen, ist es sinnvoll zu prüfen, wo er sonst noch für das Erreichen von Zielen belohnt werden kann. Können sie zu einer großartigen Konferenz geschickt werden? Können sie zusätzlichen Urlaub bekommen? Können courses und Zertifizierungen für sie finanziert werden? Zeit und Geld, die jetzt in die Sicherung des SDLC von Anfang an investiert werden, sparen später im Zyklus viel mehr - oder schlimmer noch, wenn eine Schwachstelle live entdeckt wird - und ein guter Coach wird das Bewusstsein hoch halten. Finden Sie einen Weg, um sinnvolle Belohnungen anzubieten.
Ihr Sicherheits-Champion-Programm der nächsten Stufe.
Letztendlich müssen wir als Industrie mehr tun, um Entwickler zu unterstützen und sie für die dunkle Seite der Sicherheit zu gewinnen, indem wir sie motivieren, zu erkennen, dass Qualitätscode sicherer Code ist. Es ist schwierig, sich für etwas zu interessieren, wenn die Zeit und der Aufwand für die Ausbildung und die Ermöglichung des Erfolgs ausbleiben, und leider ist das bei der Ausbildung in sicherer Programmierung oft der Fall. Relevante, praxisnahe Fortbildung in Verbindung mit einem Peer-Coach und einem AppSec-Befürworter ist wirklich der Triple-Hit, der nötig ist, um das Entwicklungsteam zu unterstützen und seine Verteidigungskraft zu entfalten.
Matias Madou, Ph.D.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Meister vs. Trainer: Warum jedes Entwicklungsteam beides braucht
Die Begriffe "Champion" und "Coach" gewinnen auch außerhalb des Sports zunehmend an Bedeutung und haben in den meisten Kontexten eine starke Präsenz. Es gibt Life-Coaches, Wellness-Coaches, Empathie-Coaches und "Champions", die in vielen Organisationen gekrönt werden, Titel wie "Safety Champion" oder "Vibe Champion" werden immer mehr zum Mainstream und in den Geist und die Kultur des Unternehmens integriert. Wer möchte nicht einen Coach oder einen Champion an seiner Seite haben, wenn es hart auf hart kommt?
Institutionen in der Cybersicherheitsbranche setzen seit langem Champions ein, um das Thema Sicherheit auf der Entwicklungsebene zu verbreiten und höhere Standards für die Softwaresicherheit aufrechtzuerhalten. BSIMM nennt sie die Satellite-Gruppe, während OpenSAMM und Axway zu den Pioniergruppen gehören, die Sicherheits-Champions als Konzept und formalisiertes Programm unterstützen. Diese Initiativen überschneiden sich mit einem der Hauptziele der DevSecOps-Bewegung, nämlich der Verpflichtung, die Verantwortung für die Sicherheit über alle Teams und Funktionen hinweg zu teilen, und zwar von Beginn des Softwareentwicklungsprozesses an.
Viele Unternehmen, die mit ihrem Cybersicherheitskonzept hohe Ziele verfolgen, haben ein offizielles Security-Champion-Programm eingeführt, das Personen, die für diese Aufgabe geeignet sind und sich dafür begeistern können, mit wichtigen Sicherheitsaufgaben betraut - von der Zusammenarbeit zwischen Teams über allgemeine Unterstützung bis hin zur Überwachung bewährter Verfahren.
Es hat sich jedoch gezeigt, dass sich die Rolle des "Sicherheitschampions" verändert und dass ein zukunftsorientiertes Unternehmen mit einem erweiterten Team, in dem die wichtigsten Mitarbeiter unterschiedliche, aber gleichermaßen wichtige Funktionen wahrnehmen, neue Dimensionen skalierbarer Best Practices im Bereich der Sicherheit erreichen kann.
Wir definieren den Sicherheitschampion neu und vervielfältigen ihn, um in einem zukunftssicheren Sicherheitsprogramm wirklich etwas bewirken zu können. Sind Sie bereit, Ihr nächstes Dream Team zusammenzustellen?
Jede großartige Mannschaft steht hinter einem inspirierenden Trainer.
Wenn man an Lionel Messi, Michael Jordan oder Serena Williams denkt, können in der Regel nur die eingefleischtesten Fans Fakten über ihre Trainer aufzählen, aber es ist diese enge Unterstützung, die ihre natürlichen Fähigkeiten, ihr Talent und ihre Zielstrebigkeit fördert, die den immensen Erfolg hervorbringt, den wir im Rampenlicht sehen.
Niemand erwartet von Entwicklern, dass sie einen Grand Slam gewinnen oder ein Tor für Argentinien schießen, und niemand sollte auch nur erwarten, dass Entwickler Sicherheitsexperten sind (schließlich haben sie sich verpflichtet, coole Funktionen zu entwickeln, und nicht, sich tief in die Sicherheit zu vertiefen), aber ein großartiger Sicherheits-"Coach" ist ihr wahrer Champion im Team.
Ein entwicklerseitiger Sicherheits-Champion entspricht viel mehr dem, was wir als die Grundlagen eines Coaches bezeichnen würden. Sie engagieren sich leidenschaftlich für die Sicherheit, kennen sich aus und sind ein wichtiger Ansprechpartner, wenn ein Entwickler ein Sicherheitsproblem zu lösen hat. Sie verfügen über das praktische Know-how, um das Problem zu beheben und aus den Fehlern zu lernen, und stellen gleichzeitig sicher, dass das Team die grundlegenden bewährten Sicherheitsverfahren und -werte befolgt.
Würde der AppSec-Champion bitte aufstehen?
Ein AppSec-Champion ist ein oft vermisstes Puzzlestück im Sicherheitsprogramm. Sie sind für den Erfolg eines Entwicklungsteams absolut unverzichtbar. Als Brücke zwischen der Führungsebene und den Entwicklern können sie sich aktiv für diese einsetzen und ihnen die Tools an die Hand geben, die sie benötigen, um einen positiven Einfluss auf die Verringerung von Schwachstellen, die Softwaresicherheit und das Vertrauen und die Zufriedenheit der Kunden zu haben.
Ein großartiger AppSec-Champion ist innerhalb des Unternehmens als Sicherheitsführer anerkannt und sollte eine wichtige Rolle bei der direkten Schulung der Sicherheitstrainer spielen, um bessere Ergebnisse und Beziehungen zwischen den Teams zu erzielen, die alle ein gemeinsames Ziel verfolgen: erstklassigen, wasserdichten sicheren Code.
Rufen Sie Ihren Supercoach.
Champions und großartige Coaches gehen Hand in Hand, und zusammen schaffen sie Magie. Bestehende Security-Champion-Programme konzentrieren sich in der Regel auf den Entwickler, aber wie wir festgestellt haben, sollte die wirkliche Förderung auf der AppSec-Seite stattfinden, so dass die leidenschaftlichsten, sicherheitsbewussten Entwickler dabei helfen können, unter der Haube sichere Codierung zu erreichen und den Rest des Teams zu fördern.
Die Suche nach dem idealen Coach ist ein ähnlicher Prozess wie beim traditionellen Champion: Der beste Coach ist nicht einfach die Person, die im Bereich Sicherheit "am besten" ist. Die Person, die zufälligerweise erstaunlich gut im sicheren Programmieren ist und qualitativ hochwertigen, abgesicherten Code produziert, hat vielleicht kein Interesse daran, eine außerschulische Rolle zu übernehmen, oder sie ist trotz ihrer Begabung nicht besonders von Sicherheit begeistert.
Stattdessen könnte Ihr Coach aufgedeckt werden, wenn Sie sich jemanden suchen, der:
- großes Interesse an der Cybersicherheit, von der praktischen Programmierung bis hin zur ständigen Information über die neuesten Vorfälle, Tools und coolen Entwicklungen
- Sie verfügen über gute zwischenmenschliche Fähigkeiten; sie helfen anderen gerne, fühlen sich als Ansprechpartner (oder Experte) und sind ansprechbare Teamplayer
- Sie wissen, was benötigt wird, um dem Team zu helfen, und können mit ihrem AppSec-Verbindungsmann (ihrem Champion) zusammenarbeiten, um die Bedürfnisse zu erfüllen, so dass gemeinsame Sicherheitsergebnisse erzielt werden können.
Setzen Sie Anreize für die Trainertätigkeit; wer auch immer Sie auswählen , wird mehr Verantwortung übernehmen müssen, und sein Arbeitspensum muss entsprechend bewertet werden. Auch wenn persönliches Interesse und berufliches Fortkommen bei der Motivation eines potenziellen Coaches eine Rolle spielen, ist es sinnvoll zu prüfen, wo er sonst noch für das Erreichen von Zielen belohnt werden kann. Können sie zu einer großartigen Konferenz geschickt werden? Können sie zusätzlichen Urlaub bekommen? Können courses und Zertifizierungen für sie finanziert werden? Zeit und Geld, die jetzt in die Sicherung des SDLC von Anfang an investiert werden, sparen später im Zyklus viel mehr - oder schlimmer noch, wenn eine Schwachstelle live entdeckt wird - und ein guter Coach wird das Bewusstsein hoch halten. Finden Sie einen Weg, um sinnvolle Belohnungen anzubieten.
Ihr Sicherheits-Champion-Programm der nächsten Stufe.
Letztendlich müssen wir als Industrie mehr tun, um Entwickler zu unterstützen und sie für die dunkle Seite der Sicherheit zu gewinnen, indem wir sie motivieren, zu erkennen, dass Qualitätscode sicherer Code ist. Es ist schwierig, sich für etwas zu interessieren, wenn die Zeit und der Aufwand für die Ausbildung und die Ermöglichung des Erfolgs ausbleiben, und leider ist das bei der Ausbildung in sicherer Programmierung oft der Fall. Relevante, praxisnahe Fortbildung in Verbindung mit einem Peer-Coach und einem AppSec-Befürworter ist wirklich der Triple-Hit, der nötig ist, um das Entwicklungsteam zu unterstützen und seine Verteidigungskraft zu entfalten.
