Definition von sicherem Code
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
