Einführung eines kohärenten Ansatzes für entwicklergeführte Sicherheit
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenSecure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.