Verringerung der technischen Schuld durch entwicklungsorientierte Sicherheit

Lassen Sie uns über Schulden sprechen 

Fast jeder weiß inzwischen, dass Cyberkriminalität zu einem großen Problem für unsere globale Wirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten für eine Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen Dollar, gegenüber 9,05 Millionen Dollar im Vorjahr. Es ist wichtig, die Kosten für unsicheren Code und die angehäuften technischen Schulden nicht zu ignorieren. Laut dem 2022 Consortium for Information and Software Quality: The Cost of Poor Software Quality " wird geschätzt, dass die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen Dollar und die angehäuften technischen Softwareschulden auf 1,52 Billionen Dollar gestiegen sind. 

Die ausufernden Kosten für die Beseitigung von unsicherem Code und dessen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden - und machen sie damit anfällig für Ausbeutung und externe Bedrohungen. Der Zustand der Softwaresicherheit befindet sich in einer existenziellen Krise - wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden angehen müssen, aber die Hindernisse sind enorm: 

• In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen für Softwareentwickler und IT-bezogene Berufe mit einer prognostizierten Wachstumsrate von 15 %. 
• Es wird prognostiziert, dass bis 2025 40 % der IT-Budgets für die bloße Aufrechterhaltung der technischen Schulden ausgegeben werden.
• 1/3 der wöchentlichen Arbeitszeit von Entwicklern entfällt im Durchschnitt auf die Bewältigung technischer Schulden

Schnelle Lösungen sind riskant - und kosten langfristig mehr 

Was ist technische Schuld und warum ist sie so wichtig? Technische Schulden entstehen, wenn sich Entscheidungsträger für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden, statt für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später bezahlen müssen. Ähnlich wie eine überzogene Kreditkarte hat die technische Schuld zwei Hauptkomponenten:

• Principal - bezieht sich auf die Gesamtkosten für das Refactoring oder die Korrektur von Software, damit sie ein gewünschtes Niveau an Wartbarkeit und Sicherheit erreicht.
• Zinsen - der zusätzliche Aufwand, den die Entwickler für die Änderungen aufwenden, um allein die technischen Schulden zu beseitigen, und nicht für neue Funktionalitäten. Jede Minute, die mit nicht ganz korrektem Code verbracht wird, erhöht die Schuld um Zinsen.

Man kann schließlich einen Zustand des "technischen Bankrotts" erreichen, wenn die Kosten für neue Funktionen, Fehlerkorrekturen und Wartung das Projektbudget übersteigen und damit den Wert der Softwareanwendung erheblich senken. 

Eine gewisse Schuldenanhäufung ist jedoch - wie im Leben - normal und in den meisten Fällen auch zu erwarten. 

Im Idealfall sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code ausliefern. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen seinen Kunden Funktionen oder Produkte schnell und zu minimalen Kosten liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Lieferung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was nicht berücksichtigt wird, sind die kumulierten Mängel und potenziellen Schwachstellen, die in den Code eingebaut sind. Damit ist die Anwendung reif für Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure. 

Aber genau hier liegt das Problem: Gibt es einen anderen Weg, Produkte schnell auf den Markt zu bringen, ohne eine große Menge an technischen Schulden anzuhäufen? 

Die Kosten für das Auffinden und Beheben von Mängeln und Schwachstellen sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kosteneffizienter wird die gesamte Lieferung sein. 

Technische Schulden können sich zu Sicherheitsschulden entwickeln

Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen und im Idealfall eine bereits geprüfte Lösung zu nutzen. Die Verwendung von Open-Source-Software birgt jedoch oft ihre eigenen Risiken: 

• 82 % der Open-Source-Komponenten waren veraltet (d. h. nicht gepatcht oder nicht ausreichend unterstützt). 
• 75 % der Codebases enthielten Schwachstellen (gegenüber 60 % im Jahr 2018), und 49 % enthielten hochriskante Schwachstellen 
• Pro Codebasis wurden durchschnittlich 82 Schwachstellen ermittelt 

Dies führt zu einer Unterart der technischen Schulden - den Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Schwachstellen in einer Softwareanwendung, die den Schutz von Daten und Systemen vor Angriffen erschweren oder gar unmöglich machen.

Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftsriese, bei dem 2017 eine Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Webanwendungs-Framework, nicht gepatcht wurde. Der Patch war bereits seit Monaten verfügbar, aber durch die Sicherheitsverletzung wurden die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen gefährdet.

Daher muss der sicheren Kodierung mehr Aufmerksamkeit gewidmet werden, da viele Anwendungen nicht nur in Bezug auf ihre technische Verschuldung, sondern auch in Bezug auf die Dichte der Sicherheitsschwachstellen und Anfälligkeiten in der Anwendung selbst eine kritische Masse erreicht haben.

Dies kann zu großen Verlusten führen, die sowohl materiell als auch immateriell sein können: 

Schädigung des Rufs: Der Verlust des Kundenvertrauens kann sich äußerst negativ auswirken. Dazu gehören die Schädigung der Marke, Umsatzeinbußen und kostspielige rechtliche Probleme als Folge eines Verstoßes. 

Auswirkungen auf die Einhaltung von Vorschriften und Regeln: Ein Sicherheitsverstoß kann dazu führen, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen nicht einhält. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Geldstrafen führen kann. 

Wiederherstellungskosten: Nach einer Störung oder einem Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.

Verhindern von technischen und Sicherheitsschulden im SDLC

Viele Unternehmen verlagern bereits ihre Budgets, um ihre Sicherheitslage zu verbessern. Letztes Jahr verpflichtete sich Google, über einen Zeitraum von fünf Jahren 10 Milliarden Dollar für ein Programm zur Verbesserung der Cybersicherheit bereitzustellen. Die Biden-Administration beantragte außerdem 2,1 Mrd. USD im Ermessenshaushalt 2022 für die Cybersecurity and Infrastructure Security Agency (CISA). 

Die Bereitstellung von mehr Ressourcen und Schulungen, um die berufliche Entwicklung und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt sein, um Qualitätsstandards für den gesamten in Produktion gegebenen Code zu etablieren. 

Die Kosten für das Auffinden und Beheben von Schwachstellen oder Fehlern steigen exponentiell an, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen, die so viel Zeit auf die Behebung technischer und sicherheitsrelevanter Mängel verwenden, ihre eigenen Verluste, indem sie auf Innovation und Zeit für neue Funktionen oder Produkte verzichten. 

Im Jahr 2022 gab die Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode ihrer Wahl sei, und es ist keine Überraschung, warum. DevSecOps integriert die Sicherheit in jeder Phase des Softwareentwicklungslebenszyklus, um bessere und sicherere Anwendungen zu liefern. Sicherheits- und Entwicklungsteams arbeiten nach wie vor in Silos und haben Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil des Versuchs von Unternehmen, Barrieren zu überwinden und die Kultur zu verändern. Das grundlegende Ziel von DevSecOps besteht darin, die Zusammenarbeit zwischen AppSec/Security und Entwicklern bereits zu Beginn des Softwareentwicklungszyklus zu verbessern.

Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss kein großer Kraftakt sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Eine solide Sicherheitsschulung für Entwickler, die sicherstellt, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt, ist eine Notwendigkeit. Ein wirklich ganzheitlicher Ansatz muss berücksichtigen, was erforderlich ist, um eine echte, von Entwicklern geführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu ändern.

Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitschampions zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen zu bewältigen. 

Die Einführung eines engagierten und skalierbaren Programms für sicheren Code ist eine lohnende Investition, da es sich um einen langfristigen, präventiven Sicherheitsansatz handelt und nicht wie in der Vergangenheit um einen reaktiven Ansatz. Dies trägt letztendlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Schwachstellen schnell finden und beheben können, und eine agilere Art der Produktentwicklung und eine schnellere Markteinführung zu ermöglichen.