Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.

Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.

Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.

Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.

Und warum?

Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.

Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.

92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.

Was können Organisationen tun, um die Situation zu verbessern?

Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.

Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.

Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.

Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?

Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.

Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.

Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.

Für weitere Lektüre

Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit

Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit

Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können

Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022