Blog

Einführung eines kohärenten Ansatzes für entwicklergeführte Sicherheit

Secure Code Warrior
Veröffentlicht 24. November 2022

Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.

Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.

Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.

Und warum?

Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.

Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.

92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Was können Organisationen tun, um die Situation zu verbessern?

Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.

Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.

Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.

Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?

Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.

Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.

Für weitere Lektüre

Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Laptops auf einem Tisch, auf dem Menschen arbeiten, von oben gesehen
Laptops auf einem Tisch, auf dem Menschen arbeiten, von oben gesehen
Ressource anzeigen
Ressource anzeigen

Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Interessiert an mehr?

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Secure Code Warrior
Veröffentlicht 24. November 2022

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.

Weitergeben:
Laptops auf einem Tisch, auf dem Menschen arbeiten, von oben gesehen
Laptops auf einem Tisch, auf dem Menschen arbeiten, von oben gesehen

Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.

Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.

Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.

Und warum?

Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.

Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.

92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Was können Organisationen tun, um die Situation zu verbessern?

Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.

Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.

Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.

Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?

Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.

Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.

Für weitere Lektüre

Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.
Laptops auf einem Tisch, auf dem Menschen arbeiten, von oben gesehen

Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.

Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.

Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.

Und warum?

Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.

Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.

92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Was können Organisationen tun, um die Situation zu verbessern?

Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.

Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.

Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.

Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?

Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.

Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.

Für weitere Lektüre

Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Secure Code Warrior
Veröffentlicht 24. November 2022

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.

Weitergeben:

Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.

Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.

Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.

Und warum?

Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.

Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.

92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Was können Organisationen tun, um die Situation zu verbessern?

Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.

Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.

Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.

Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?

Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.

Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.

Für weitere Lektüre

Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge