Wie Thales entwicklergesteuerte Sicherheit implementierte
Hintergrund
Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.
Situation
Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:
"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."
Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."
Aktion
Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:
"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."
Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:
Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:
"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."
Ergebnisse
Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:
"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."
Die wichtigsten Erkenntnisse
Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.
In dieser Fallstudie erfahren Sie, wie Thales Menschen, Prozesse und Technologien für ein agiles Programm zum Erlernen von sicherem Code entwickelt hat, um Entwickler dazu zu bringen, aktive Sicherheitsbeauftragte zu werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHintergrund
Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.
Situation
Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:
"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."
Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."
Aktion
Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:
"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."
Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:
Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:
"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."
Ergebnisse
Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:
"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."
Die wichtigsten Erkenntnisse
Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.
Hintergrund
Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.
Situation
Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:
"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."
Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."
Aktion
Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:
"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."
Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:
Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:
"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."
Ergebnisse
Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:
"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."
Die wichtigsten Erkenntnisse
Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenHintergrund
Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.
Situation
Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:
"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."
Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."
Aktion
Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:
"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."
Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:
Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:
"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."
Ergebnisse
Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:
"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."
Die wichtigsten Erkenntnisse
Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.