Fallstudien

Wie Thales entwicklergesteuerte Sicherheit implementierte

Veröffentlicht Jul 22, 2023

Hintergrund

Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.

Situation

Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:

"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."

Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."

Aktion

Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:

"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."

Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:

Sensibilisierung: Erhöht das grundlegende Sicherheitsbewusstsein und schafft eine Basis für das Wissen der Entwickler über das Thema Sicherheit. Grundlegend: Vermittelt grundlegende Sicherheitskenntnisse, z. B. wie man anfälligen Code erkennt und gängige Schwachstellen versteht. Autonom: Verwendet geprüfte Taktiken, um Schwachstellen unter Anleitung von Secure Code Warriorzu finden und zu beheben.  Experte: Wird zu einem definierten Sicherheitschampion und Experten in allen relevanten Bereichen, die für das Unternehmen wichtig sind.

Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:

"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."

Ergebnisse

Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:

"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."

Die wichtigsten Erkenntnisse

Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.

Konzentrieren Sie sich auf Ihre Mitarbeiter Der Wert, den Sie dem Erlernen von sicherem Code beimessen, ist wichtig. Erkennen Sie das erworbene Wissen der Entwickler an und bieten Sie die Sicherheitszertifizierungen, die sie erhalten, als Leistungen an. Dies wird sie und ihre Kollegen motivieren, mehr zu lernen. Verknüpfen Sie sicheres Coding mit den Sicherheitsrichtlinien und -prozessen des Unternehmens Verpflichten Sie Entwickler, nur geprüfte Sicherheitsrichtlinien zu verwenden. Stellen Sie sicher, dass die Entwickler wissen, dass es eine authentifizierte Quelle gibt, anstatt Unklarheiten im Prozess zu schaffen, die zu weiteren Sicherheitslücken führen könnten. Suchen Sie nach Synergien mit Ihren internen Systemen und Entwicklungswerkzeugen, um die Zeit zu verkürzen, die Entwickler für die Nachschulung benötigen. Eine pünktliche Lieferung ist wichtig, aber es sollte immer ein Schwerpunkt auf der Sicherung Ihrer Software liegen, um die Zeit zu sparen, die für die spätere Behebung von Schwachstellen benötigt wird.
PDF herunterladen
Ressource anzeigen
PDF herunterladen
Ressource anzeigen

In dieser Fallstudie erfahren Sie, wie Thales Menschen, Prozesse und Technologien für ein agiles Programm zum Erlernen von sicherem Code entwickelt hat, um Entwickler dazu zu bringen, aktive Sicherheitsbeauftragte zu werden.

Interessiert an mehr?

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Veröffentlicht Jul 22, 2023

Weitergeben:

Hintergrund

Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.

Situation

Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:

"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."

Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."

Aktion

Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:

"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."

Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:

Sensibilisierung: Erhöht das grundlegende Sicherheitsbewusstsein und schafft eine Basis für das Wissen der Entwickler über das Thema Sicherheit. Grundlegend: Vermittelt grundlegende Sicherheitskenntnisse, z. B. wie man anfälligen Code erkennt und gängige Schwachstellen versteht. Autonom: Verwendet geprüfte Taktiken, um Schwachstellen unter Anleitung von Secure Code Warriorzu finden und zu beheben.  Experte: Wird zu einem definierten Sicherheitschampion und Experten in allen relevanten Bereichen, die für das Unternehmen wichtig sind.

Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:

"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."

Ergebnisse

Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:

"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."

Die wichtigsten Erkenntnisse

Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.

Konzentrieren Sie sich auf Ihre Mitarbeiter Der Wert, den Sie dem Erlernen von sicherem Code beimessen, ist wichtig. Erkennen Sie das erworbene Wissen der Entwickler an und bieten Sie die Sicherheitszertifizierungen, die sie erhalten, als Leistungen an. Dies wird sie und ihre Kollegen motivieren, mehr zu lernen. Verknüpfen Sie sicheres Coding mit den Sicherheitsrichtlinien und -prozessen des Unternehmens Verpflichten Sie Entwickler, nur geprüfte Sicherheitsrichtlinien zu verwenden. Stellen Sie sicher, dass die Entwickler wissen, dass es eine authentifizierte Quelle gibt, anstatt Unklarheiten im Prozess zu schaffen, die zu weiteren Sicherheitslücken führen könnten. Suchen Sie nach Synergien mit Ihren internen Systemen und Entwicklungswerkzeugen, um die Zeit zu verkürzen, die Entwickler für die Nachschulung benötigen. Eine pünktliche Lieferung ist wichtig, aber es sollte immer ein Schwerpunkt auf der Sicherung Ihrer Software liegen, um die Zeit zu sparen, die für die spätere Behebung von Schwachstellen benötigt wird.
PDF herunterladen
Ressource anzeigen
PDF herunterladen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

Hintergrund

Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.

Situation

Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:

"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."

Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."

Aktion

Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:

"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."

Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:

Sensibilisierung: Erhöht das grundlegende Sicherheitsbewusstsein und schafft eine Basis für das Wissen der Entwickler über das Thema Sicherheit. Grundlegend: Vermittelt grundlegende Sicherheitskenntnisse, z. B. wie man anfälligen Code erkennt und gängige Schwachstellen versteht. Autonom: Verwendet geprüfte Taktiken, um Schwachstellen unter Anleitung von Secure Code Warriorzu finden und zu beheben.  Experte: Wird zu einem definierten Sicherheitschampion und Experten in allen relevanten Bereichen, die für das Unternehmen wichtig sind.

Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:

"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."

Ergebnisse

Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:

"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."

Die wichtigsten Erkenntnisse

Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.

Konzentrieren Sie sich auf Ihre Mitarbeiter Der Wert, den Sie dem Erlernen von sicherem Code beimessen, ist wichtig. Erkennen Sie das erworbene Wissen der Entwickler an und bieten Sie die Sicherheitszertifizierungen, die sie erhalten, als Leistungen an. Dies wird sie und ihre Kollegen motivieren, mehr zu lernen. Verknüpfen Sie sicheres Coding mit den Sicherheitsrichtlinien und -prozessen des Unternehmens Verpflichten Sie Entwickler, nur geprüfte Sicherheitsrichtlinien zu verwenden. Stellen Sie sicher, dass die Entwickler wissen, dass es eine authentifizierte Quelle gibt, anstatt Unklarheiten im Prozess zu schaffen, die zu weiteren Sicherheitslücken führen könnten. Suchen Sie nach Synergien mit Ihren internen Systemen und Entwicklungswerkzeugen, um die Zeit zu verkürzen, die Entwickler für die Nachschulung benötigen. Eine pünktliche Lieferung ist wichtig, aber es sollte immer ein Schwerpunkt auf der Sicherung Ihrer Software liegen, um die Zeit zu sparen, die für die spätere Behebung von Schwachstellen benötigt wird.
Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
PDF herunterladen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Veröffentlicht Jul 22, 2023

Weitergeben:

Hintergrund

Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.

Situation

Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:

"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."

Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."

Aktion

Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:

"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."

Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:

Sensibilisierung: Erhöht das grundlegende Sicherheitsbewusstsein und schafft eine Basis für das Wissen der Entwickler über das Thema Sicherheit. Grundlegend: Vermittelt grundlegende Sicherheitskenntnisse, z. B. wie man anfälligen Code erkennt und gängige Schwachstellen versteht. Autonom: Verwendet geprüfte Taktiken, um Schwachstellen unter Anleitung von Secure Code Warriorzu finden und zu beheben.  Experte: Wird zu einem definierten Sicherheitschampion und Experten in allen relevanten Bereichen, die für das Unternehmen wichtig sind.

Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:

"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."

Ergebnisse

Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:

"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."

Die wichtigsten Erkenntnisse

Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.

Konzentrieren Sie sich auf Ihre Mitarbeiter Der Wert, den Sie dem Erlernen von sicherem Code beimessen, ist wichtig. Erkennen Sie das erworbene Wissen der Entwickler an und bieten Sie die Sicherheitszertifizierungen, die sie erhalten, als Leistungen an. Dies wird sie und ihre Kollegen motivieren, mehr zu lernen. Verknüpfen Sie sicheres Coding mit den Sicherheitsrichtlinien und -prozessen des Unternehmens Verpflichten Sie Entwickler, nur geprüfte Sicherheitsrichtlinien zu verwenden. Stellen Sie sicher, dass die Entwickler wissen, dass es eine authentifizierte Quelle gibt, anstatt Unklarheiten im Prozess zu schaffen, die zu weiteren Sicherheitslücken führen könnten. Suchen Sie nach Synergien mit Ihren internen Systemen und Entwicklungswerkzeugen, um die Zeit zu verkürzen, die Entwickler für die Nachschulung benötigen. Eine pünktliche Lieferung ist wichtig, aber es sollte immer ein Schwerpunkt auf der Sicherung Ihrer Software liegen, um die Zeit zu sparen, die für die spätere Behebung von Schwachstellen benötigt wird.

Inhaltsübersicht

PDF herunterladen
PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge