Wie man ein hervorragender DevSecOps-Ingenieur wird
Ähnlich wie die Technologie selbst entwickeln sich auch die Werkzeuge, Techniken und optimalen Prozesse für die Entwicklung von Code schnell weiter. Wir Menschen haben ein unstillbares Bedürfnis nach mehr Software, mehr Features, mehr Funktionalität... und wir wollen es schneller als je zuvor, qualitativ hochwertiger und obendrein: sicher. Noch vor ein paar Jahren war die agile Entwicklung das nächste große Ding, mit dem man große Arbeitspakete in kleinere Stücke aufteilen und sich schnell an die schnellen Feedback-Zyklen des Kunden anpassen konnte. Davor war die Wasserfall-Methode der König des Hügels.
Während viele Menschen und Organisationen von Waterfall zu Agile übergehen - und noch sind nicht alle so weit, seien wir ehrlich - stoßen sie bereits auf ein neues Problem: Entwicklungsteams und ihre operativen Gegenstücke arbeiten immer noch in Silos. Wie können in dieser Umgebung kleine Teams, die agil arbeiten, das Versprechen einer schnelleren Bereitstellung und einer schnelleren Lieferung einlösen?
DevOps, eine Wortschöpfung aus Development und Operations, wurde geschaffen, um die Funktionen von Entwicklern und Betriebsteams bei der Erstellung neuer Software zusammenzuführen. Im Wesentlichen sollte dies den Entwicklern helfen, die Verantwortung dafür zu übernehmen, Dinge in die Produktion zu bringen, anstatt sie über den Zaun zu werfen und dem Betriebsteam zu überlassen.
Sie können sicherlich schneller liefern - sogar ein paar Mal pro Tag -, was Agile entgegenzukommen scheint. Allerdings schafft DevOps immer noch ein großes, gemischtes Team aus Ingenieuren und Betriebspersonal, das in der Realität vielleicht nicht so agil ausgerichtet ist. Letztendlich ist es am besten, DevOps als eine Weiterentwicklung von Agile zu betrachten, da die Methoden in vielerlei Hinsicht ähnlich sind und sich in ihren Unterschieden ergänzen. DevOps fördert eine automatisierte, kontinuierliche Integrations- und Deployment-Pipeline, die für häufige Releases unerlässlich ist, aber auf Teamebene nicht ausreicht - und hier kommt Agile ins Spiel. Agile ermöglicht es Teams, insbesondere kleinen Teams, mit diesen schnellen Releases und sich ändernden Anforderungen Schritt zu halten, während sie gleichzeitig bei der Sache bleiben und zusammenarbeiten. Es scheint sicherlich ideal zu sein - und der Prozess kann Teams auf dem Weg zum Endziel halten - aber es ist nicht ohne Probleme.
Software, die mit DevOps-Best-Practice erstellt wurde, hat immer noch das Potenzial, beim ersten Bosskampf zu stolpern: dem Sicherheitsteam. Wenn der Code von traditionellen/Wasserfall-AppSec-Spezialisten untersucht wird, entweder mit Tools oder durch komplexe manuelle Überprüfung, finden sie oft inakzeptable Risiken und Schwachstellen, die dann im Nachhinein behoben werden müssen. Der Prozess der nachträglichen Behebung von Sicherheitslücken in fertigen Apps ist weder schnell noch einfach... und er ist für das Unternehmen viel teurer.
Wenn sich die Welt also nach Wasserfall, Agile und jetzt DevOps weiterentwickelt, was ist dann die Lösung? Und welche Rolle spielen Sie als Entwickler, um mit diesen Veränderungen im Ansatz Schritt zu halten?
Entwicklungstechniken befinden sich in einem ständigen Prozess der Evolution, aber zum Glück ist diese hier keine so große Veränderung. Unternehmen müssen nur das "Sec" in "DevOps" einfügen... und so wurde DevSecOps geboren. Ein primäres Ziel von DevSecOps ist es, Barrieren abzubauen und die Zusammenarbeit zwischen Entwicklungs-, Betriebs- und - nicht zuletzt - Sicherheitsteams zu öffnen. DevSecOps hat sich sowohl zu einer Software-Engineering-Taktik als auch zu einer Kultur entwickelt, die die Automatisierung und Überwachung der Sicherheit während des gesamten Softwareentwicklungszyklus befürwortet.
Dies mag wie ein weiterer Prozess auf Organisationsebene erscheinen, vielleicht einer mit "zu vielen Köchen", wenn es um einen Entwickler mit einer langen Liste von zu erstellenden Funktionen geht. Die DevSecOps-Methodik eröffnet jedoch eine Chance für sicherheitsbewusste Entwickler, wirklich zu glänzen.
Die strahlende Zukunft von DevSecOps
Also, warum sollte ein Programmierer ein DevSecOps-Ingenieur werden wollen? Vielleicht haben Sie schon etwas Erfahrung mit DevOps (oder sogar Agile), möchten aber den nächsten Schritt machen, um DevSecOps zu beherrschen. Zunächst einmal ist es gut zu wissen, dass dies ein sehr kluger Schritt ist, und zwar nicht nur im Bestreben, die Welt vor kostspieligen Cyberangriffen sicher zu machen. Experten sagen, dass die Nachfrage nach talentiertem Cybersecurity-Personal sprunghaft ansteigt und kein Ende in Sicht ist. Diejenigen, die DevSecOps beherrschen, können eine lange und profitable Karriere erwarten.
Die Jobsicherheit für DevSecOps-Ingenieure ist sogar noch sicherer, denn im Gegensatz zu traditionellen Cybersecurity-Taktiken wie Schwachstellen-Scans mit einer Reihe von softwarebasierten Tools erfordert DevSecOps Mitarbeiter, die wissen, wie man Sicherheit beim Programmieren implementiert. Wie die Analysten von Booz, Allen und Hamilton in ihrem Blog mit dem Titel " 5 Myths of Adopting DevSecOps " feststellten , wollen und brauchen Unternehmen DevSecOps, können es aber nicht einfach kaufen. DevSecOps ist eine Methodik, die es funktionsübergreifenden Teams ermöglicht, Technologien zu integrieren und während des gesamten Lebenszyklus der Softwareentwicklung zusammenzuarbeiten, und das erfordert qualifizierte Mitarbeiter, Change Management und ein fortlaufendes Engagement mehrerer Interessengruppen.
Laut Booz, Allen and Hamilton können Unternehmen Apps und Tools kaufen, die bei bestimmten Aspekten von DevSecOps helfen, wie z. B. Software für das Release-Management, "aber es sind wirklich Ihre Delivery-Teams, die es umsetzen." Sie sind diejenigen, die die kontinuierliche Verbesserung vorantreiben, die DevSecOps und sein Kultur- und Paradigmenwechsel bieten.
Unternehmen können ein praktikables DevSecOps-Programm nicht "kaufen". Es muss mit einer Reihe von Tools, firmeneigenem Wissen und Anleitungen aufgebaut und gepflegt werden, die die Sicherheitskultur verbessern und gleichzeitig wirtschaftlich sinnvoll sind. Das ist nicht einfach, aber bei weitem nicht unmöglich.
Wie Sie der DevSecOps-Bewegung in den Arsch treten können
Einer der ersten Schritte auf dem Weg zum DevSecOps-Ingenieur ist die Erkenntnis, dass es sich dabei ebenso sehr um eine Kultur wie um eine Reihe von Techniken handelt. Es erfordert den Willen, Sicherheit als Teil jedes Codes zu implementieren, den Sie erstellen, und den Wunsch, Ihre Organisation proaktiv zu schützen, indem Sie aktiv nach Sicherheitslücken und Schwachstellen suchen, während Sie programmieren, und diese beheben, lange bevor sie in die Produktion gelangen. Die meisten DevSecOps-Ingenieure nehmen ihren Beruf und ihre Fähigkeiten sehr ernst. Die professionelle DevSecOps-Organisation hat sogar ein Manifest, das ihre Überzeugungen festhält.
Das Manifest ist etwas schwerfällig, denn Manifeste sind selten leichte Lektüre. Aber im Kern stehen ein paar Wahrheiten, die alle großen DevSecOps-Ingenieure verinnerlichen sollten, wie z. B.:
- Erkennen Sie, dass das Anwendungssicherheitsteam Ihr Verbündeter ist. In den meisten Unternehmen sind die AppSec-Spezialisten mit den Entwicklern verfeindet, da diese immer wieder fertigen Code für mehr Arbeit zurückschicken. AppSec-Teams haben oft auch nicht viel Liebe für die Entwickler, da sie durch das Einbringen von allgemeinen Sicherheitsfehlern den fertigen Code davon abhalten können, in Produktion zu gehen. Ein kluger DevSecOps-Ingenieur wird jedoch erkennen, dass die Ziele der Sicherheitsteams letztlich die gleichen sind wie die der Entwickler und Coder. Sie müssen nicht die besten Freunde sein, aber eine ruhige und kollaborative Arbeitsbeziehung zu bilden, ist entscheidend für den Erfolg.
- Üben und verfeinern Sie Ihre sicheren Codierungstechniken. Wenn Sie Möglichkeiten finden, wie Apps angreifbar sind, während sie noch entwickelt werden, dann kann das Schließen dieser Schlupflöcher zukünftige Hacker aufhalten. Natürlich erfordert dies sowohl ein Verständnis der Schwachstellen als auch die Tools, die helfen, diese zu beheben. Die Blog-Seiten vonSecure Code Warrior geben Ihnen einen Einblick in die häufigsten und gefährlichsten Schwachstellen sowie praktische Ratschläge und Herausforderungen, mit denen Sie Ihr Wissen testen können. Der wichtigste Aspekt ist, dass Sie sich das Thema Sicherheit immer vor Augen halten und sich Zeit für mundgerechte Schulungen nehmen, die Ihnen dabei helfen, Ihr vorhandenes Wissen auszubauen. Es ist üblich, dass die Interaktionen eines Entwicklers mit der Sicherheit ziemlich unauffällig - sogar negativ - sind, aber die Weiterbildung im Bereich Sicherheit ist ein großartiger Karriereschritt und muss keine lästige Pflicht sein.
- Nicht vergessen: DevSecOps-Superstars tragen zu einer positiven Sicherheitskultur in ihrer Organisation bei. Anstatt sich auf die Ziele der Vergangenheit zu konzentrieren, wie z. B. die schnelle Bereitstellung von Apps ungeachtet ihrer inhärenten Probleme, ist es wichtig, das Finden und Beheben von Schwachstellen im Entwicklungscode zur obersten Priorität zu machen. Sicherheit muss als Aufgabe für alle angesehen werden, und jeder sollte an der Bewunderung und den Belohnungen teilhaben, die sich aus der Bereitstellung effektiver und hochsicherer Anwendungen ergeben - und zwar jedes Mal.
Sie können dabei helfen, eine unglaubliche Sicherheitskultur in Ihrem Unternehmen zu kultivieren, indem Sie sich von Anfang an für sicheres Coding und bewährte Sicherheitspraktiken einsetzen, Schulungslösungen empfehlen und dafür sorgen, dass kein Programmierer in der schnelllebigen Welt von DevSecOps zurückgelassen wird, der alle Hände voll zu tun hat. Der einzige gute Code ist sicherer Code, und qualifizierte, sicherheitsbewusste Entwickler sind wichtige Teile des Puzzles. Die persönlichen und beruflichen Belohnungen sind die Mühe auf jeden Fall wert, und angesichts der Milliarden von persönlichen Datensätzen, die jedes Jahr kompromittiert werden (Tendenz steigend), brauchen wir Sie. Nehmen Sie Ihren Platz an der Front ein und helfen Sie, die bösen Jungs in unserer digitalen Welt abzuwehren.
Matias Madou, Ph.D. ist der CTO und Mitbegründer von Secure Code Warrior. Er ist ein Sicherheitsexperte, langjähriger Entwickler und Fortnite-Junkie.
Die Welt beginnt, sich nach Wasserfall, Agile und jetzt DevOps weiterzuentwickeln, was ist also die nächste Lösung? Und welche Rolle spielen Sie als Entwickler, um mit diesen Veränderungen im Ansatz Schritt zu halten?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Ähnlich wie die Technologie selbst entwickeln sich auch die Werkzeuge, Techniken und optimalen Prozesse für die Entwicklung von Code schnell weiter. Wir Menschen haben ein unstillbares Bedürfnis nach mehr Software, mehr Features, mehr Funktionalität... und wir wollen es schneller als je zuvor, qualitativ hochwertiger und obendrein: sicher. Noch vor ein paar Jahren war die agile Entwicklung das nächste große Ding, mit dem man große Arbeitspakete in kleinere Stücke aufteilen und sich schnell an die schnellen Feedback-Zyklen des Kunden anpassen konnte. Davor war die Wasserfall-Methode der König des Hügels.
Während viele Menschen und Organisationen von Waterfall zu Agile übergehen - und noch sind nicht alle so weit, seien wir ehrlich - stoßen sie bereits auf ein neues Problem: Entwicklungsteams und ihre operativen Gegenstücke arbeiten immer noch in Silos. Wie können in dieser Umgebung kleine Teams, die agil arbeiten, das Versprechen einer schnelleren Bereitstellung und einer schnelleren Lieferung einlösen?
DevOps, eine Wortschöpfung aus Development und Operations, wurde geschaffen, um die Funktionen von Entwicklern und Betriebsteams bei der Erstellung neuer Software zusammenzuführen. Im Wesentlichen sollte dies den Entwicklern helfen, die Verantwortung dafür zu übernehmen, Dinge in die Produktion zu bringen, anstatt sie über den Zaun zu werfen und dem Betriebsteam zu überlassen.
Sie können sicherlich schneller liefern - sogar ein paar Mal pro Tag -, was Agile entgegenzukommen scheint. Allerdings schafft DevOps immer noch ein großes, gemischtes Team aus Ingenieuren und Betriebspersonal, das in der Realität vielleicht nicht so agil ausgerichtet ist. Letztendlich ist es am besten, DevOps als eine Weiterentwicklung von Agile zu betrachten, da die Methoden in vielerlei Hinsicht ähnlich sind und sich in ihren Unterschieden ergänzen. DevOps fördert eine automatisierte, kontinuierliche Integrations- und Deployment-Pipeline, die für häufige Releases unerlässlich ist, aber auf Teamebene nicht ausreicht - und hier kommt Agile ins Spiel. Agile ermöglicht es Teams, insbesondere kleinen Teams, mit diesen schnellen Releases und sich ändernden Anforderungen Schritt zu halten, während sie gleichzeitig bei der Sache bleiben und zusammenarbeiten. Es scheint sicherlich ideal zu sein - und der Prozess kann Teams auf dem Weg zum Endziel halten - aber es ist nicht ohne Probleme.
Software, die mit DevOps-Best-Practice erstellt wurde, hat immer noch das Potenzial, beim ersten Bosskampf zu stolpern: dem Sicherheitsteam. Wenn der Code von traditionellen/Wasserfall-AppSec-Spezialisten untersucht wird, entweder mit Tools oder durch komplexe manuelle Überprüfung, finden sie oft inakzeptable Risiken und Schwachstellen, die dann im Nachhinein behoben werden müssen. Der Prozess der nachträglichen Behebung von Sicherheitslücken in fertigen Apps ist weder schnell noch einfach... und er ist für das Unternehmen viel teurer.
Wenn sich die Welt also nach Wasserfall, Agile und jetzt DevOps weiterentwickelt, was ist dann die Lösung? Und welche Rolle spielen Sie als Entwickler, um mit diesen Veränderungen im Ansatz Schritt zu halten?
Entwicklungstechniken befinden sich in einem ständigen Prozess der Evolution, aber zum Glück ist diese hier keine so große Veränderung. Unternehmen müssen nur das "Sec" in "DevOps" einfügen... und so wurde DevSecOps geboren. Ein primäres Ziel von DevSecOps ist es, Barrieren abzubauen und die Zusammenarbeit zwischen Entwicklungs-, Betriebs- und - nicht zuletzt - Sicherheitsteams zu öffnen. DevSecOps hat sich sowohl zu einer Software-Engineering-Taktik als auch zu einer Kultur entwickelt, die die Automatisierung und Überwachung der Sicherheit während des gesamten Softwareentwicklungszyklus befürwortet.
Dies mag wie ein weiterer Prozess auf Organisationsebene erscheinen, vielleicht einer mit "zu vielen Köchen", wenn es um einen Entwickler mit einer langen Liste von zu erstellenden Funktionen geht. Die DevSecOps-Methodik eröffnet jedoch eine Chance für sicherheitsbewusste Entwickler, wirklich zu glänzen.
Die strahlende Zukunft von DevSecOps
Also, warum sollte ein Programmierer ein DevSecOps-Ingenieur werden wollen? Vielleicht haben Sie schon etwas Erfahrung mit DevOps (oder sogar Agile), möchten aber den nächsten Schritt machen, um DevSecOps zu beherrschen. Zunächst einmal ist es gut zu wissen, dass dies ein sehr kluger Schritt ist, und zwar nicht nur im Bestreben, die Welt vor kostspieligen Cyberangriffen sicher zu machen. Experten sagen, dass die Nachfrage nach talentiertem Cybersecurity-Personal sprunghaft ansteigt und kein Ende in Sicht ist. Diejenigen, die DevSecOps beherrschen, können eine lange und profitable Karriere erwarten.
Die Jobsicherheit für DevSecOps-Ingenieure ist sogar noch sicherer, denn im Gegensatz zu traditionellen Cybersecurity-Taktiken wie Schwachstellen-Scans mit einer Reihe von softwarebasierten Tools erfordert DevSecOps Mitarbeiter, die wissen, wie man Sicherheit beim Programmieren implementiert. Wie die Analysten von Booz, Allen und Hamilton in ihrem Blog mit dem Titel " 5 Myths of Adopting DevSecOps " feststellten , wollen und brauchen Unternehmen DevSecOps, können es aber nicht einfach kaufen. DevSecOps ist eine Methodik, die es funktionsübergreifenden Teams ermöglicht, Technologien zu integrieren und während des gesamten Lebenszyklus der Softwareentwicklung zusammenzuarbeiten, und das erfordert qualifizierte Mitarbeiter, Change Management und ein fortlaufendes Engagement mehrerer Interessengruppen.
Laut Booz, Allen and Hamilton können Unternehmen Apps und Tools kaufen, die bei bestimmten Aspekten von DevSecOps helfen, wie z. B. Software für das Release-Management, "aber es sind wirklich Ihre Delivery-Teams, die es umsetzen." Sie sind diejenigen, die die kontinuierliche Verbesserung vorantreiben, die DevSecOps und sein Kultur- und Paradigmenwechsel bieten.
Unternehmen können ein praktikables DevSecOps-Programm nicht "kaufen". Es muss mit einer Reihe von Tools, firmeneigenem Wissen und Anleitungen aufgebaut und gepflegt werden, die die Sicherheitskultur verbessern und gleichzeitig wirtschaftlich sinnvoll sind. Das ist nicht einfach, aber bei weitem nicht unmöglich.
Wie Sie der DevSecOps-Bewegung in den Arsch treten können
Einer der ersten Schritte auf dem Weg zum DevSecOps-Ingenieur ist die Erkenntnis, dass es sich dabei ebenso sehr um eine Kultur wie um eine Reihe von Techniken handelt. Es erfordert den Willen, Sicherheit als Teil jedes Codes zu implementieren, den Sie erstellen, und den Wunsch, Ihre Organisation proaktiv zu schützen, indem Sie aktiv nach Sicherheitslücken und Schwachstellen suchen, während Sie programmieren, und diese beheben, lange bevor sie in die Produktion gelangen. Die meisten DevSecOps-Ingenieure nehmen ihren Beruf und ihre Fähigkeiten sehr ernst. Die professionelle DevSecOps-Organisation hat sogar ein Manifest, das ihre Überzeugungen festhält.
Das Manifest ist etwas schwerfällig, denn Manifeste sind selten leichte Lektüre. Aber im Kern stehen ein paar Wahrheiten, die alle großen DevSecOps-Ingenieure verinnerlichen sollten, wie z. B.:
- Erkennen Sie, dass das Anwendungssicherheitsteam Ihr Verbündeter ist. In den meisten Unternehmen sind die AppSec-Spezialisten mit den Entwicklern verfeindet, da diese immer wieder fertigen Code für mehr Arbeit zurückschicken. AppSec-Teams haben oft auch nicht viel Liebe für die Entwickler, da sie durch das Einbringen von allgemeinen Sicherheitsfehlern den fertigen Code davon abhalten können, in Produktion zu gehen. Ein kluger DevSecOps-Ingenieur wird jedoch erkennen, dass die Ziele der Sicherheitsteams letztlich die gleichen sind wie die der Entwickler und Coder. Sie müssen nicht die besten Freunde sein, aber eine ruhige und kollaborative Arbeitsbeziehung zu bilden, ist entscheidend für den Erfolg.
- Üben und verfeinern Sie Ihre sicheren Codierungstechniken. Wenn Sie Möglichkeiten finden, wie Apps angreifbar sind, während sie noch entwickelt werden, dann kann das Schließen dieser Schlupflöcher zukünftige Hacker aufhalten. Natürlich erfordert dies sowohl ein Verständnis der Schwachstellen als auch die Tools, die helfen, diese zu beheben. Die Blog-Seiten vonSecure Code Warrior geben Ihnen einen Einblick in die häufigsten und gefährlichsten Schwachstellen sowie praktische Ratschläge und Herausforderungen, mit denen Sie Ihr Wissen testen können. Der wichtigste Aspekt ist, dass Sie sich das Thema Sicherheit immer vor Augen halten und sich Zeit für mundgerechte Schulungen nehmen, die Ihnen dabei helfen, Ihr vorhandenes Wissen auszubauen. Es ist üblich, dass die Interaktionen eines Entwicklers mit der Sicherheit ziemlich unauffällig - sogar negativ - sind, aber die Weiterbildung im Bereich Sicherheit ist ein großartiger Karriereschritt und muss keine lästige Pflicht sein.
- Nicht vergessen: DevSecOps-Superstars tragen zu einer positiven Sicherheitskultur in ihrer Organisation bei. Anstatt sich auf die Ziele der Vergangenheit zu konzentrieren, wie z. B. die schnelle Bereitstellung von Apps ungeachtet ihrer inhärenten Probleme, ist es wichtig, das Finden und Beheben von Schwachstellen im Entwicklungscode zur obersten Priorität zu machen. Sicherheit muss als Aufgabe für alle angesehen werden, und jeder sollte an der Bewunderung und den Belohnungen teilhaben, die sich aus der Bereitstellung effektiver und hochsicherer Anwendungen ergeben - und zwar jedes Mal.
Sie können dabei helfen, eine unglaubliche Sicherheitskultur in Ihrem Unternehmen zu kultivieren, indem Sie sich von Anfang an für sicheres Coding und bewährte Sicherheitspraktiken einsetzen, Schulungslösungen empfehlen und dafür sorgen, dass kein Programmierer in der schnelllebigen Welt von DevSecOps zurückgelassen wird, der alle Hände voll zu tun hat. Der einzige gute Code ist sicherer Code, und qualifizierte, sicherheitsbewusste Entwickler sind wichtige Teile des Puzzles. Die persönlichen und beruflichen Belohnungen sind die Mühe auf jeden Fall wert, und angesichts der Milliarden von persönlichen Datensätzen, die jedes Jahr kompromittiert werden (Tendenz steigend), brauchen wir Sie. Nehmen Sie Ihren Platz an der Front ein und helfen Sie, die bösen Jungs in unserer digitalen Welt abzuwehren.
Matias Madou, Ph.D. ist der CTO und Mitbegründer von Secure Code Warrior. Er ist ein Sicherheitsexperte, langjähriger Entwickler und Fortnite-Junkie.
Ähnlich wie die Technologie selbst entwickeln sich auch die Werkzeuge, Techniken und optimalen Prozesse für die Entwicklung von Code schnell weiter. Wir Menschen haben ein unstillbares Bedürfnis nach mehr Software, mehr Features, mehr Funktionalität... und wir wollen es schneller als je zuvor, qualitativ hochwertiger und obendrein: sicher. Noch vor ein paar Jahren war die agile Entwicklung das nächste große Ding, mit dem man große Arbeitspakete in kleinere Stücke aufteilen und sich schnell an die schnellen Feedback-Zyklen des Kunden anpassen konnte. Davor war die Wasserfall-Methode der König des Hügels.
Während viele Menschen und Organisationen von Waterfall zu Agile übergehen - und noch sind nicht alle so weit, seien wir ehrlich - stoßen sie bereits auf ein neues Problem: Entwicklungsteams und ihre operativen Gegenstücke arbeiten immer noch in Silos. Wie können in dieser Umgebung kleine Teams, die agil arbeiten, das Versprechen einer schnelleren Bereitstellung und einer schnelleren Lieferung einlösen?
DevOps, eine Wortschöpfung aus Development und Operations, wurde geschaffen, um die Funktionen von Entwicklern und Betriebsteams bei der Erstellung neuer Software zusammenzuführen. Im Wesentlichen sollte dies den Entwicklern helfen, die Verantwortung dafür zu übernehmen, Dinge in die Produktion zu bringen, anstatt sie über den Zaun zu werfen und dem Betriebsteam zu überlassen.
Sie können sicherlich schneller liefern - sogar ein paar Mal pro Tag -, was Agile entgegenzukommen scheint. Allerdings schafft DevOps immer noch ein großes, gemischtes Team aus Ingenieuren und Betriebspersonal, das in der Realität vielleicht nicht so agil ausgerichtet ist. Letztendlich ist es am besten, DevOps als eine Weiterentwicklung von Agile zu betrachten, da die Methoden in vielerlei Hinsicht ähnlich sind und sich in ihren Unterschieden ergänzen. DevOps fördert eine automatisierte, kontinuierliche Integrations- und Deployment-Pipeline, die für häufige Releases unerlässlich ist, aber auf Teamebene nicht ausreicht - und hier kommt Agile ins Spiel. Agile ermöglicht es Teams, insbesondere kleinen Teams, mit diesen schnellen Releases und sich ändernden Anforderungen Schritt zu halten, während sie gleichzeitig bei der Sache bleiben und zusammenarbeiten. Es scheint sicherlich ideal zu sein - und der Prozess kann Teams auf dem Weg zum Endziel halten - aber es ist nicht ohne Probleme.
Software, die mit DevOps-Best-Practice erstellt wurde, hat immer noch das Potenzial, beim ersten Bosskampf zu stolpern: dem Sicherheitsteam. Wenn der Code von traditionellen/Wasserfall-AppSec-Spezialisten untersucht wird, entweder mit Tools oder durch komplexe manuelle Überprüfung, finden sie oft inakzeptable Risiken und Schwachstellen, die dann im Nachhinein behoben werden müssen. Der Prozess der nachträglichen Behebung von Sicherheitslücken in fertigen Apps ist weder schnell noch einfach... und er ist für das Unternehmen viel teurer.
Wenn sich die Welt also nach Wasserfall, Agile und jetzt DevOps weiterentwickelt, was ist dann die Lösung? Und welche Rolle spielen Sie als Entwickler, um mit diesen Veränderungen im Ansatz Schritt zu halten?
Entwicklungstechniken befinden sich in einem ständigen Prozess der Evolution, aber zum Glück ist diese hier keine so große Veränderung. Unternehmen müssen nur das "Sec" in "DevOps" einfügen... und so wurde DevSecOps geboren. Ein primäres Ziel von DevSecOps ist es, Barrieren abzubauen und die Zusammenarbeit zwischen Entwicklungs-, Betriebs- und - nicht zuletzt - Sicherheitsteams zu öffnen. DevSecOps hat sich sowohl zu einer Software-Engineering-Taktik als auch zu einer Kultur entwickelt, die die Automatisierung und Überwachung der Sicherheit während des gesamten Softwareentwicklungszyklus befürwortet.
Dies mag wie ein weiterer Prozess auf Organisationsebene erscheinen, vielleicht einer mit "zu vielen Köchen", wenn es um einen Entwickler mit einer langen Liste von zu erstellenden Funktionen geht. Die DevSecOps-Methodik eröffnet jedoch eine Chance für sicherheitsbewusste Entwickler, wirklich zu glänzen.
Die strahlende Zukunft von DevSecOps
Also, warum sollte ein Programmierer ein DevSecOps-Ingenieur werden wollen? Vielleicht haben Sie schon etwas Erfahrung mit DevOps (oder sogar Agile), möchten aber den nächsten Schritt machen, um DevSecOps zu beherrschen. Zunächst einmal ist es gut zu wissen, dass dies ein sehr kluger Schritt ist, und zwar nicht nur im Bestreben, die Welt vor kostspieligen Cyberangriffen sicher zu machen. Experten sagen, dass die Nachfrage nach talentiertem Cybersecurity-Personal sprunghaft ansteigt und kein Ende in Sicht ist. Diejenigen, die DevSecOps beherrschen, können eine lange und profitable Karriere erwarten.
Die Jobsicherheit für DevSecOps-Ingenieure ist sogar noch sicherer, denn im Gegensatz zu traditionellen Cybersecurity-Taktiken wie Schwachstellen-Scans mit einer Reihe von softwarebasierten Tools erfordert DevSecOps Mitarbeiter, die wissen, wie man Sicherheit beim Programmieren implementiert. Wie die Analysten von Booz, Allen und Hamilton in ihrem Blog mit dem Titel " 5 Myths of Adopting DevSecOps " feststellten , wollen und brauchen Unternehmen DevSecOps, können es aber nicht einfach kaufen. DevSecOps ist eine Methodik, die es funktionsübergreifenden Teams ermöglicht, Technologien zu integrieren und während des gesamten Lebenszyklus der Softwareentwicklung zusammenzuarbeiten, und das erfordert qualifizierte Mitarbeiter, Change Management und ein fortlaufendes Engagement mehrerer Interessengruppen.
Laut Booz, Allen and Hamilton können Unternehmen Apps und Tools kaufen, die bei bestimmten Aspekten von DevSecOps helfen, wie z. B. Software für das Release-Management, "aber es sind wirklich Ihre Delivery-Teams, die es umsetzen." Sie sind diejenigen, die die kontinuierliche Verbesserung vorantreiben, die DevSecOps und sein Kultur- und Paradigmenwechsel bieten.
Unternehmen können ein praktikables DevSecOps-Programm nicht "kaufen". Es muss mit einer Reihe von Tools, firmeneigenem Wissen und Anleitungen aufgebaut und gepflegt werden, die die Sicherheitskultur verbessern und gleichzeitig wirtschaftlich sinnvoll sind. Das ist nicht einfach, aber bei weitem nicht unmöglich.
Wie Sie der DevSecOps-Bewegung in den Arsch treten können
Einer der ersten Schritte auf dem Weg zum DevSecOps-Ingenieur ist die Erkenntnis, dass es sich dabei ebenso sehr um eine Kultur wie um eine Reihe von Techniken handelt. Es erfordert den Willen, Sicherheit als Teil jedes Codes zu implementieren, den Sie erstellen, und den Wunsch, Ihre Organisation proaktiv zu schützen, indem Sie aktiv nach Sicherheitslücken und Schwachstellen suchen, während Sie programmieren, und diese beheben, lange bevor sie in die Produktion gelangen. Die meisten DevSecOps-Ingenieure nehmen ihren Beruf und ihre Fähigkeiten sehr ernst. Die professionelle DevSecOps-Organisation hat sogar ein Manifest, das ihre Überzeugungen festhält.
Das Manifest ist etwas schwerfällig, denn Manifeste sind selten leichte Lektüre. Aber im Kern stehen ein paar Wahrheiten, die alle großen DevSecOps-Ingenieure verinnerlichen sollten, wie z. B.:
- Erkennen Sie, dass das Anwendungssicherheitsteam Ihr Verbündeter ist. In den meisten Unternehmen sind die AppSec-Spezialisten mit den Entwicklern verfeindet, da diese immer wieder fertigen Code für mehr Arbeit zurückschicken. AppSec-Teams haben oft auch nicht viel Liebe für die Entwickler, da sie durch das Einbringen von allgemeinen Sicherheitsfehlern den fertigen Code davon abhalten können, in Produktion zu gehen. Ein kluger DevSecOps-Ingenieur wird jedoch erkennen, dass die Ziele der Sicherheitsteams letztlich die gleichen sind wie die der Entwickler und Coder. Sie müssen nicht die besten Freunde sein, aber eine ruhige und kollaborative Arbeitsbeziehung zu bilden, ist entscheidend für den Erfolg.
- Üben und verfeinern Sie Ihre sicheren Codierungstechniken. Wenn Sie Möglichkeiten finden, wie Apps angreifbar sind, während sie noch entwickelt werden, dann kann das Schließen dieser Schlupflöcher zukünftige Hacker aufhalten. Natürlich erfordert dies sowohl ein Verständnis der Schwachstellen als auch die Tools, die helfen, diese zu beheben. Die Blog-Seiten vonSecure Code Warrior geben Ihnen einen Einblick in die häufigsten und gefährlichsten Schwachstellen sowie praktische Ratschläge und Herausforderungen, mit denen Sie Ihr Wissen testen können. Der wichtigste Aspekt ist, dass Sie sich das Thema Sicherheit immer vor Augen halten und sich Zeit für mundgerechte Schulungen nehmen, die Ihnen dabei helfen, Ihr vorhandenes Wissen auszubauen. Es ist üblich, dass die Interaktionen eines Entwicklers mit der Sicherheit ziemlich unauffällig - sogar negativ - sind, aber die Weiterbildung im Bereich Sicherheit ist ein großartiger Karriereschritt und muss keine lästige Pflicht sein.
- Nicht vergessen: DevSecOps-Superstars tragen zu einer positiven Sicherheitskultur in ihrer Organisation bei. Anstatt sich auf die Ziele der Vergangenheit zu konzentrieren, wie z. B. die schnelle Bereitstellung von Apps ungeachtet ihrer inhärenten Probleme, ist es wichtig, das Finden und Beheben von Schwachstellen im Entwicklungscode zur obersten Priorität zu machen. Sicherheit muss als Aufgabe für alle angesehen werden, und jeder sollte an der Bewunderung und den Belohnungen teilhaben, die sich aus der Bereitstellung effektiver und hochsicherer Anwendungen ergeben - und zwar jedes Mal.
Sie können dabei helfen, eine unglaubliche Sicherheitskultur in Ihrem Unternehmen zu kultivieren, indem Sie sich von Anfang an für sicheres Coding und bewährte Sicherheitspraktiken einsetzen, Schulungslösungen empfehlen und dafür sorgen, dass kein Programmierer in der schnelllebigen Welt von DevSecOps zurückgelassen wird, der alle Hände voll zu tun hat. Der einzige gute Code ist sicherer Code, und qualifizierte, sicherheitsbewusste Entwickler sind wichtige Teile des Puzzles. Die persönlichen und beruflichen Belohnungen sind die Mühe auf jeden Fall wert, und angesichts der Milliarden von persönlichen Datensätzen, die jedes Jahr kompromittiert werden (Tendenz steigend), brauchen wir Sie. Nehmen Sie Ihren Platz an der Front ein und helfen Sie, die bösen Jungs in unserer digitalen Welt abzuwehren.
Matias Madou, Ph.D. ist der CTO und Mitbegründer von Secure Code Warrior. Er ist ein Sicherheitsexperte, langjähriger Entwickler und Fortnite-Junkie.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Ähnlich wie die Technologie selbst entwickeln sich auch die Werkzeuge, Techniken und optimalen Prozesse für die Entwicklung von Code schnell weiter. Wir Menschen haben ein unstillbares Bedürfnis nach mehr Software, mehr Features, mehr Funktionalität... und wir wollen es schneller als je zuvor, qualitativ hochwertiger und obendrein: sicher. Noch vor ein paar Jahren war die agile Entwicklung das nächste große Ding, mit dem man große Arbeitspakete in kleinere Stücke aufteilen und sich schnell an die schnellen Feedback-Zyklen des Kunden anpassen konnte. Davor war die Wasserfall-Methode der König des Hügels.
Während viele Menschen und Organisationen von Waterfall zu Agile übergehen - und noch sind nicht alle so weit, seien wir ehrlich - stoßen sie bereits auf ein neues Problem: Entwicklungsteams und ihre operativen Gegenstücke arbeiten immer noch in Silos. Wie können in dieser Umgebung kleine Teams, die agil arbeiten, das Versprechen einer schnelleren Bereitstellung und einer schnelleren Lieferung einlösen?
DevOps, eine Wortschöpfung aus Development und Operations, wurde geschaffen, um die Funktionen von Entwicklern und Betriebsteams bei der Erstellung neuer Software zusammenzuführen. Im Wesentlichen sollte dies den Entwicklern helfen, die Verantwortung dafür zu übernehmen, Dinge in die Produktion zu bringen, anstatt sie über den Zaun zu werfen und dem Betriebsteam zu überlassen.
Sie können sicherlich schneller liefern - sogar ein paar Mal pro Tag -, was Agile entgegenzukommen scheint. Allerdings schafft DevOps immer noch ein großes, gemischtes Team aus Ingenieuren und Betriebspersonal, das in der Realität vielleicht nicht so agil ausgerichtet ist. Letztendlich ist es am besten, DevOps als eine Weiterentwicklung von Agile zu betrachten, da die Methoden in vielerlei Hinsicht ähnlich sind und sich in ihren Unterschieden ergänzen. DevOps fördert eine automatisierte, kontinuierliche Integrations- und Deployment-Pipeline, die für häufige Releases unerlässlich ist, aber auf Teamebene nicht ausreicht - und hier kommt Agile ins Spiel. Agile ermöglicht es Teams, insbesondere kleinen Teams, mit diesen schnellen Releases und sich ändernden Anforderungen Schritt zu halten, während sie gleichzeitig bei der Sache bleiben und zusammenarbeiten. Es scheint sicherlich ideal zu sein - und der Prozess kann Teams auf dem Weg zum Endziel halten - aber es ist nicht ohne Probleme.
Software, die mit DevOps-Best-Practice erstellt wurde, hat immer noch das Potenzial, beim ersten Bosskampf zu stolpern: dem Sicherheitsteam. Wenn der Code von traditionellen/Wasserfall-AppSec-Spezialisten untersucht wird, entweder mit Tools oder durch komplexe manuelle Überprüfung, finden sie oft inakzeptable Risiken und Schwachstellen, die dann im Nachhinein behoben werden müssen. Der Prozess der nachträglichen Behebung von Sicherheitslücken in fertigen Apps ist weder schnell noch einfach... und er ist für das Unternehmen viel teurer.
Wenn sich die Welt also nach Wasserfall, Agile und jetzt DevOps weiterentwickelt, was ist dann die Lösung? Und welche Rolle spielen Sie als Entwickler, um mit diesen Veränderungen im Ansatz Schritt zu halten?
Entwicklungstechniken befinden sich in einem ständigen Prozess der Evolution, aber zum Glück ist diese hier keine so große Veränderung. Unternehmen müssen nur das "Sec" in "DevOps" einfügen... und so wurde DevSecOps geboren. Ein primäres Ziel von DevSecOps ist es, Barrieren abzubauen und die Zusammenarbeit zwischen Entwicklungs-, Betriebs- und - nicht zuletzt - Sicherheitsteams zu öffnen. DevSecOps hat sich sowohl zu einer Software-Engineering-Taktik als auch zu einer Kultur entwickelt, die die Automatisierung und Überwachung der Sicherheit während des gesamten Softwareentwicklungszyklus befürwortet.
Dies mag wie ein weiterer Prozess auf Organisationsebene erscheinen, vielleicht einer mit "zu vielen Köchen", wenn es um einen Entwickler mit einer langen Liste von zu erstellenden Funktionen geht. Die DevSecOps-Methodik eröffnet jedoch eine Chance für sicherheitsbewusste Entwickler, wirklich zu glänzen.
Die strahlende Zukunft von DevSecOps
Also, warum sollte ein Programmierer ein DevSecOps-Ingenieur werden wollen? Vielleicht haben Sie schon etwas Erfahrung mit DevOps (oder sogar Agile), möchten aber den nächsten Schritt machen, um DevSecOps zu beherrschen. Zunächst einmal ist es gut zu wissen, dass dies ein sehr kluger Schritt ist, und zwar nicht nur im Bestreben, die Welt vor kostspieligen Cyberangriffen sicher zu machen. Experten sagen, dass die Nachfrage nach talentiertem Cybersecurity-Personal sprunghaft ansteigt und kein Ende in Sicht ist. Diejenigen, die DevSecOps beherrschen, können eine lange und profitable Karriere erwarten.
Die Jobsicherheit für DevSecOps-Ingenieure ist sogar noch sicherer, denn im Gegensatz zu traditionellen Cybersecurity-Taktiken wie Schwachstellen-Scans mit einer Reihe von softwarebasierten Tools erfordert DevSecOps Mitarbeiter, die wissen, wie man Sicherheit beim Programmieren implementiert. Wie die Analysten von Booz, Allen und Hamilton in ihrem Blog mit dem Titel " 5 Myths of Adopting DevSecOps " feststellten , wollen und brauchen Unternehmen DevSecOps, können es aber nicht einfach kaufen. DevSecOps ist eine Methodik, die es funktionsübergreifenden Teams ermöglicht, Technologien zu integrieren und während des gesamten Lebenszyklus der Softwareentwicklung zusammenzuarbeiten, und das erfordert qualifizierte Mitarbeiter, Change Management und ein fortlaufendes Engagement mehrerer Interessengruppen.
Laut Booz, Allen and Hamilton können Unternehmen Apps und Tools kaufen, die bei bestimmten Aspekten von DevSecOps helfen, wie z. B. Software für das Release-Management, "aber es sind wirklich Ihre Delivery-Teams, die es umsetzen." Sie sind diejenigen, die die kontinuierliche Verbesserung vorantreiben, die DevSecOps und sein Kultur- und Paradigmenwechsel bieten.
Unternehmen können ein praktikables DevSecOps-Programm nicht "kaufen". Es muss mit einer Reihe von Tools, firmeneigenem Wissen und Anleitungen aufgebaut und gepflegt werden, die die Sicherheitskultur verbessern und gleichzeitig wirtschaftlich sinnvoll sind. Das ist nicht einfach, aber bei weitem nicht unmöglich.
Wie Sie der DevSecOps-Bewegung in den Arsch treten können
Einer der ersten Schritte auf dem Weg zum DevSecOps-Ingenieur ist die Erkenntnis, dass es sich dabei ebenso sehr um eine Kultur wie um eine Reihe von Techniken handelt. Es erfordert den Willen, Sicherheit als Teil jedes Codes zu implementieren, den Sie erstellen, und den Wunsch, Ihre Organisation proaktiv zu schützen, indem Sie aktiv nach Sicherheitslücken und Schwachstellen suchen, während Sie programmieren, und diese beheben, lange bevor sie in die Produktion gelangen. Die meisten DevSecOps-Ingenieure nehmen ihren Beruf und ihre Fähigkeiten sehr ernst. Die professionelle DevSecOps-Organisation hat sogar ein Manifest, das ihre Überzeugungen festhält.
Das Manifest ist etwas schwerfällig, denn Manifeste sind selten leichte Lektüre. Aber im Kern stehen ein paar Wahrheiten, die alle großen DevSecOps-Ingenieure verinnerlichen sollten, wie z. B.:
- Erkennen Sie, dass das Anwendungssicherheitsteam Ihr Verbündeter ist. In den meisten Unternehmen sind die AppSec-Spezialisten mit den Entwicklern verfeindet, da diese immer wieder fertigen Code für mehr Arbeit zurückschicken. AppSec-Teams haben oft auch nicht viel Liebe für die Entwickler, da sie durch das Einbringen von allgemeinen Sicherheitsfehlern den fertigen Code davon abhalten können, in Produktion zu gehen. Ein kluger DevSecOps-Ingenieur wird jedoch erkennen, dass die Ziele der Sicherheitsteams letztlich die gleichen sind wie die der Entwickler und Coder. Sie müssen nicht die besten Freunde sein, aber eine ruhige und kollaborative Arbeitsbeziehung zu bilden, ist entscheidend für den Erfolg.
- Üben und verfeinern Sie Ihre sicheren Codierungstechniken. Wenn Sie Möglichkeiten finden, wie Apps angreifbar sind, während sie noch entwickelt werden, dann kann das Schließen dieser Schlupflöcher zukünftige Hacker aufhalten. Natürlich erfordert dies sowohl ein Verständnis der Schwachstellen als auch die Tools, die helfen, diese zu beheben. Die Blog-Seiten vonSecure Code Warrior geben Ihnen einen Einblick in die häufigsten und gefährlichsten Schwachstellen sowie praktische Ratschläge und Herausforderungen, mit denen Sie Ihr Wissen testen können. Der wichtigste Aspekt ist, dass Sie sich das Thema Sicherheit immer vor Augen halten und sich Zeit für mundgerechte Schulungen nehmen, die Ihnen dabei helfen, Ihr vorhandenes Wissen auszubauen. Es ist üblich, dass die Interaktionen eines Entwicklers mit der Sicherheit ziemlich unauffällig - sogar negativ - sind, aber die Weiterbildung im Bereich Sicherheit ist ein großartiger Karriereschritt und muss keine lästige Pflicht sein.
- Nicht vergessen: DevSecOps-Superstars tragen zu einer positiven Sicherheitskultur in ihrer Organisation bei. Anstatt sich auf die Ziele der Vergangenheit zu konzentrieren, wie z. B. die schnelle Bereitstellung von Apps ungeachtet ihrer inhärenten Probleme, ist es wichtig, das Finden und Beheben von Schwachstellen im Entwicklungscode zur obersten Priorität zu machen. Sicherheit muss als Aufgabe für alle angesehen werden, und jeder sollte an der Bewunderung und den Belohnungen teilhaben, die sich aus der Bereitstellung effektiver und hochsicherer Anwendungen ergeben - und zwar jedes Mal.
Sie können dabei helfen, eine unglaubliche Sicherheitskultur in Ihrem Unternehmen zu kultivieren, indem Sie sich von Anfang an für sicheres Coding und bewährte Sicherheitspraktiken einsetzen, Schulungslösungen empfehlen und dafür sorgen, dass kein Programmierer in der schnelllebigen Welt von DevSecOps zurückgelassen wird, der alle Hände voll zu tun hat. Der einzige gute Code ist sicherer Code, und qualifizierte, sicherheitsbewusste Entwickler sind wichtige Teile des Puzzles. Die persönlichen und beruflichen Belohnungen sind die Mühe auf jeden Fall wert, und angesichts der Milliarden von persönlichen Datensätzen, die jedes Jahr kompromittiert werden (Tendenz steigend), brauchen wir Sie. Nehmen Sie Ihren Platz an der Front ein und helfen Sie, die bösen Jungs in unserer digitalen Welt abzuwehren.
Matias Madou, Ph.D. ist der CTO und Mitbegründer von Secure Code Warrior. Er ist ein Sicherheitsexperte, langjähriger Entwickler und Fortnite-Junkie.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.