Neuausrichtung Ihrer Organisation auf sichere Kodierung - Barrieren, Bedenken und aktive Lösungen
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
.avif)
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Kodierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
