Einführung eines kohärenten Ansatzes für entwicklergeführte Sicherheit
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Quests: Branchenführendes Lernen, damit die Entwickler immer einen Schritt voraus sind und Risiken minimiert werden.
Quests ist eine learning platform , die Entwicklern hilft, Software-Sicherheitsrisiken zu verringern, indem sie ihre Fähigkeiten zur sicheren Programmierung verbessern. Mit kuratierten Lernpfaden, praktischen Herausforderungen und interaktiven Aktivitäten befähigt sie Entwickler, Schwachstellen zu erkennen und zu vermeiden.
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Ressourcen für den Einstieg
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
