Mehr als Compliance: Wie Secure Code Warrior den Netskope-Entwicklern die Möglichkeit gab, Cloud-Lösungen in großem Umfang zu programmieren

Veröffentlicht Nov 15, 2023
von
FALLSTUDIE

Mehr als Compliance: Wie Secure Code Warrior den Netskope-Entwicklern die Möglichkeit gab, Cloud-Lösungen in großem Umfang zu programmieren

Hintergrund

Netskope, ein weltweit führender SASE-Anbieter, unterstützt Unternehmen bei der Anwendung von Zero-Trust-Prinzipien und KI/ML-Innovationen zum Schutz von Daten und zur Abwehr von Cyberbedrohungen. Die schnelle und einfach zu bedienende Netskope-Plattform bietet optimierten Zugriff und Echtzeit-Sicherheit für Menschen, Geräte und Daten, egal wo sie sich befinden. Netskope hilft Kunden dabei, Risiken zu reduzieren, die Leistung zu beschleunigen und einen unübertroffenen Einblick in alle Cloud-, Web- und privaten Anwendungsaktivitäten zu erhalten. Tausende von Kunden vertrauen auf Netskope und sein leistungsstarkes NewEdge-Netzwerk, wenn es darum geht, sich entwickelnde Bedrohungen, neue Risiken, technologische Veränderungen, organisatorische und netzwerktechnische Änderungen sowie neue gesetzliche Anforderungen zu bewältigen.

Situation

Das Innovationstempo bei Cloud Computing und künstlicher Intelligenz hat den Lebenszyklus der Softwareentwicklung stark beschleunigt. James Robinson - stellvertretender CISO bei Netskope - erkannte, dass die Art und Weise der Schulung von Entwicklern durch die Erfüllung von Compliance-Zielen mit Videos über sichere Entwicklung in nur einer Handvoll Sprachen auf dem heutigen Markt nicht nachhaltig war. Die rasche Einführung und der schnelle Wandel in seinem Unternehmen stellten die Entwickler von Netskope vor die Herausforderung, sich mit neuen Sprachen und Technologien vertraut zu machen und gleichzeitig ihre Sicherheitsfähigkeiten zu erhalten.

Netskope versuchte, mehr benutzerdefinierte Verbindungen zu schaffen, um die Sprachen und den Umfang, den die Entwickler erhielten, zu erweitern, aber das Engagement war immer noch sehr gering, und bald begann die Schulung die Produktivität zu beeinträchtigen. James wollte den Ansatz so ändern, dass die Entwickler durch mehr praktische Lernansätze für das Thema begeistert wurden.

Aktion

Jährlich stattfindende oder ad-hoc verfügbare Schulungen gingen nicht ganzheitlich auf die Vielfalt der SAST-Tools, Infrastrukturen wie Code-Scanner, ein und konnten nicht in die CI- und CD-Sicherheitsschritte bei Netskope integriert werden. Netskope musste in der Lage sein, die Beteiligung der Entwickler an der Sicherheit in den Analyse- und Testprozess zu integrieren. Damit wurde eine Grundlage für die Ausbildung in sicherer Entwicklung geschaffen, die ihre Compliance-Anforderungen ergänzte.

Nach links schieben

Als Netskope begann, über "Linksverschiebung" zu diskutieren, stellte sich die Frage: Was bedeutet Linksverschiebung eigentlich? Wie weit muss man sich verschieben? Die Unternehmensleitung beschloss, den Namen intern in "Self-Service-Adoption" zu ändern. Damit wurden die Entwickler im Prinzip in die Lage versetzt, sich proaktiv um die Ausbildung ihres sicheren Codes zu kümmern. In Zusammenarbeit mit Secure Code Warriorentwickelten sie ein Programm, das Sicherheitsinhalte für Entwickler sichtbar und zugänglich machte, damit sie nicht zu ungeprüften Lösungen abwandern.

Handlungsfähigkeit und Wert

Die anpassbaren Inhalte und eine Vielzahl praktischer Lernaktivitäten von Secure Code Warrior ermöglichten auch offenere, produktivere Gespräche zwischen Sicherheits- und Entwicklerteams. Als die Entwickler erkannten, dass es nicht mehr nur um die Einhaltung von Vorschriften geht, wurden sie engagierter und interessierten sich mehr für das Thema Sicherheit. Dies eröffnete auch die Möglichkeit, kritische und wiederkehrende Schwachstellen zu untersuchen, um mehr Schulungsinhalte zur Ergänzung ihres Programms zu erstellen.

Ergebnisse

Nach der Einführung des Programms sammelte Netskope fleißig Feedback von den Entwicklern, um sicherzustellen, dass sie den größten Nutzen aus der Plattform ziehen konnten. Die Ergebnisse waren überwältigend positiv.

Laut James Robinson, stellvertretender CISO bei Netskope:

Unser Entwicklerteam hat, nicht zuletzt dank der Plattform von Secure Code Warrior, erfolgreich einen Linksruck vollzogen, indem es einen verlockenderen Selbstbedienungs-Lernansatz gewählt hat, der den Entwicklern die Lernwege schneller zugänglich macht. Und was noch wichtiger ist: Wir haben das Gefühl, dass wir eine bessere Investitionsrendite mit unseren Schulungsbemühungen für Entwickler zu erzielen, da die Beteiligung höher ist und wir nicht mehr das Gefühl haben, dass es sich dabei um eine Aktivität handelt, die man abhaken kann und die der Einhaltung von Vorschriften dient. Das Nebenprodukt von all dem ist, dass wir unsere Entwickler in die Lage versetzen, sich für die Sicherheit einzusetzen.

Die wichtigsten Erkenntnisse

  • Unternehmen, die nicht in ein starkes Sicherheitsteam für ihre Anwendungen investieren, lassen zu, dass durch ihren Code mehr Risiken entstehen. Dadurch werden letztlich sowohl Zeit als auch Geld verschwendet, um Schwachstellen zu beheben und Sicherheitsprobleme anzugehen.‍
  • Nutzen Sie die Vorteile eines Programms, das Ihnen hilft, Zeit zu sparen, indem Sie jeden Monat ein paar wichtige Inhalte lernen, anstatt eine stundenlange, auf die Einhaltung von Vorschriften ausgerichtete jährliche Schulung durchzuführen. Die Zeit, die durch die Schulung von Entwicklern eingespart wird, zeigt sich in der Verringerung der Nacharbeit, die zur Behebung von Schwachstellen erforderlich ist, die gar nicht erst hätten eingeführt werden dürfen.‍
  • Es gibt einen neuen Auftrag, Cloud-Lösungen in großem Umfang zu programmieren. Vor Jahren erwartete man von den Entwicklern, dass sie sich voll und ganz auf die Sicherung des Codes in einer einzigen Programmiersprache konzentrieren. Das ist auf dem heutigen High-Tech-Markt nicht mehr der Fall. Sie müssen mehrere Sprachen auswählen, die am besten zu der Cloud-Infrastruktur und den Anwendungen passen, die ein Unternehmen aufbauen und betreiben möchte.
PDF herunterladen
Ressource anzeigen
PDF herunterladen
Ressource anzeigen

Möchten Sie mehr erfahren?

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Autor

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Mehr als Compliance: Wie Secure Code Warrior den Netskope-Entwicklern die Möglichkeit gab, Cloud-Lösungen in großem Umfang zu programmieren

Veröffentlicht Jan 22, 2024
Unter

Hintergrund

Netskope, ein weltweit führender SASE-Anbieter, unterstützt Unternehmen bei der Anwendung von Zero-Trust-Prinzipien und KI/ML-Innovationen zum Schutz von Daten und zur Abwehr von Cyberbedrohungen. Die schnelle und einfach zu bedienende Netskope-Plattform bietet optimierten Zugriff und Echtzeit-Sicherheit für Menschen, Geräte und Daten, egal wo sie sich befinden. Netskope hilft Kunden dabei, Risiken zu reduzieren, die Leistung zu beschleunigen und einen unübertroffenen Einblick in alle Cloud-, Web- und privaten Anwendungsaktivitäten zu erhalten. Tausende von Kunden vertrauen auf Netskope und sein leistungsstarkes NewEdge-Netzwerk, wenn es darum geht, sich entwickelnde Bedrohungen, neue Risiken, technologische Veränderungen, organisatorische und netzwerktechnische Änderungen sowie neue gesetzliche Anforderungen zu bewältigen.

Situation

Das Innovationstempo bei Cloud Computing und künstlicher Intelligenz hat den Lebenszyklus der Softwareentwicklung stark beschleunigt. James Robinson - stellvertretender CISO bei Netskope - erkannte, dass die Art und Weise der Schulung von Entwicklern durch die Erfüllung von Compliance-Zielen mit Videos über sichere Entwicklung in nur einer Handvoll Sprachen auf dem heutigen Markt nicht nachhaltig war. Die rasche Einführung und der schnelle Wandel in seinem Unternehmen stellten die Entwickler von Netskope vor die Herausforderung, sich mit neuen Sprachen und Technologien vertraut zu machen und gleichzeitig ihre Sicherheitsfähigkeiten zu erhalten.

Netskope versuchte, mehr benutzerdefinierte Verbindungen zu schaffen, um die Sprachen und den Umfang, den die Entwickler erhielten, zu erweitern, aber das Engagement war immer noch sehr gering, und bald begann die Schulung die Produktivität zu beeinträchtigen. James wollte den Ansatz so ändern, dass die Entwickler durch mehr praktische Lernansätze für das Thema begeistert wurden.

Aktion

Jährlich stattfindende oder ad-hoc verfügbare Schulungen gingen nicht ganzheitlich auf die Vielfalt der SAST-Tools, Infrastrukturen wie Code-Scanner, ein und konnten nicht in die CI- und CD-Sicherheitsschritte bei Netskope integriert werden. Netskope musste in der Lage sein, die Beteiligung der Entwickler an der Sicherheit in den Analyse- und Testprozess zu integrieren. Damit wurde eine Grundlage für die Ausbildung in sicherer Entwicklung geschaffen, die ihre Compliance-Anforderungen ergänzte.

Nach links schieben

Als Netskope begann, über "Linksverschiebung" zu diskutieren, stellte sich die Frage: Was bedeutet Linksverschiebung eigentlich? Wie weit muss man sich verschieben? Die Unternehmensleitung beschloss, den Namen intern in "Self-Service-Adoption" zu ändern. Damit wurden die Entwickler im Prinzip in die Lage versetzt, sich proaktiv um die Ausbildung ihres sicheren Codes zu kümmern. In Zusammenarbeit mit Secure Code Warriorentwickelten sie ein Programm, das Sicherheitsinhalte für Entwickler sichtbar und zugänglich machte, damit sie nicht zu ungeprüften Lösungen abwandern.

Handlungsfähigkeit und Wert

Die anpassbaren Inhalte und eine Vielzahl praktischer Lernaktivitäten von Secure Code Warrior ermöglichten auch offenere, produktivere Gespräche zwischen Sicherheits- und Entwicklerteams. Als die Entwickler erkannten, dass es nicht mehr nur um die Einhaltung von Vorschriften geht, wurden sie engagierter und interessierten sich mehr für das Thema Sicherheit. Dies eröffnete auch die Möglichkeit, kritische und wiederkehrende Schwachstellen zu untersuchen, um mehr Schulungsinhalte zur Ergänzung ihres Programms zu erstellen.

Ergebnisse

Nach der Einführung des Programms sammelte Netskope fleißig Feedback von den Entwicklern, um sicherzustellen, dass sie den größten Nutzen aus der Plattform ziehen konnten. Die Ergebnisse waren überwältigend positiv.

Laut James Robinson, stellvertretender CISO bei Netskope:

Unser Entwicklerteam hat, nicht zuletzt dank der Plattform von Secure Code Warrior, erfolgreich einen Linksruck vollzogen, indem es einen verlockenderen Selbstbedienungs-Lernansatz gewählt hat, der den Entwicklern die Lernwege schneller zugänglich macht. Und was noch wichtiger ist: Wir haben das Gefühl, dass wir eine bessere Investitionsrendite mit unseren Schulungsbemühungen für Entwickler zu erzielen, da die Beteiligung höher ist und wir nicht mehr das Gefühl haben, dass es sich dabei um eine Aktivität handelt, die man abhaken kann und die der Einhaltung von Vorschriften dient. Das Nebenprodukt von all dem ist, dass wir unsere Entwickler in die Lage versetzen, sich für die Sicherheit einzusetzen.

Die wichtigsten Erkenntnisse

  • Unternehmen, die nicht in ein starkes Sicherheitsteam für ihre Anwendungen investieren, lassen zu, dass durch ihren Code mehr Risiken entstehen. Dadurch werden letztlich sowohl Zeit als auch Geld verschwendet, um Schwachstellen zu beheben und Sicherheitsprobleme anzugehen.‍
  • Nutzen Sie die Vorteile eines Programms, das Ihnen hilft, Zeit zu sparen, indem Sie jeden Monat ein paar wichtige Inhalte lernen, anstatt eine stundenlange, auf die Einhaltung von Vorschriften ausgerichtete jährliche Schulung durchzuführen. Die Zeit, die durch die Schulung von Entwicklern eingespart wird, zeigt sich in der Verringerung der Nacharbeit, die zur Behebung von Schwachstellen erforderlich ist, die gar nicht erst hätten eingeführt werden dürfen.‍
  • Es gibt einen neuen Auftrag, Cloud-Lösungen in großem Umfang zu programmieren. Vor Jahren erwartete man von den Entwicklern, dass sie sich voll und ganz auf die Sicherung des Codes in einer einzigen Programmiersprache konzentrieren. Das ist auf dem heutigen High-Tech-Markt nicht mehr der Fall. Sie müssen mehrere Sprachen auswählen, die am besten zu der Cloud-Infrastruktur und den Anwendungen passen, die ein Unternehmen aufbauen und betreiben möchte.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.