Definition von sicherem Code
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.