Blog

Neuausrichtung Ihrer Organisation auf sichere Kodierung - Barrieren, Bedenken und aktive Lösungen

Secure Code Warrior
Veröffentlicht am 20. Mai 2021

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

  • 76 % nominierte Anwendungsleistung 
  • 62% wählten Features und Funktionalität
  • Und etwas mehr als 50% wählten sicheren Code

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Wer ist für sichere Code-Praktiken verantwortlich?

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.



*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020


Ressource anzeigen
Ressource anzeigen

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Kodierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan.

Interessiert an mehr?

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Secure Code Warrior
Veröffentlicht am 20. Mai 2021

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.

Weitergeben:

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

  • 76 % nominierte Anwendungsleistung 
  • 62% wählten Features und Funktionalität
  • Und etwas mehr als 50% wählten sicheren Code

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Wer ist für sichere Code-Praktiken verantwortlich?

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.



*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020


Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

  • 76 % nominierte Anwendungsleistung 
  • 62% wählten Features und Funktionalität
  • Und etwas mehr als 50% wählten sicheren Code

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Wer ist für sichere Code-Praktiken verantwortlich?

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.



*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020


Auf Ressource zugreifen

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
PDF herunterladen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Secure Code Warrior
Veröffentlicht am 20. Mai 2021

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.

Weitergeben:

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

  • 76 % nominierte Anwendungsleistung 
  • 62% wählten Features und Funktionalität
  • Und etwas mehr als 50% wählten sicheren Code

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Wer ist für sichere Code-Praktiken verantwortlich?

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.



*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020


Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge