Sicherheit' ist kein Schimpfwort: Wie ein positiver Ansatz Ihr Sicherheitsprogramm verändern wird

Veröffentlicht am 17. Apr. 2019
von Jaap Karan Singh
FALLSTUDIE

Sicherheit' ist kein Schimpfwort: Wie ein positiver Ansatz Ihr Sicherheitsprogramm verändern wird

Veröffentlicht am 17. Apr. 2019
von Jaap Karan Singh
Ressource anzeigen
Ressource anzeigen

Ursprünglich veröffentlicht auf dem DevSecCon-Blog.

Da ich auf beiden Seiten des Zauns gestanden habe, kenne ich nur zu gut die Spannungen, die zwischen dem Entwicklungsteam und den AppSec-Spezialisten entstehen können, wenn es um die Einhaltung von Best Practices in Sachen Sicherheit geht.

Es ist schwierig, denn am Ende des Tages ist die oberste Priorität eines Entwicklers die Bereitstellung von Softwarefunktionen. Sie müssen schön und funktional sein und die Leistungsfähigkeit der Anwendung demonstrieren. Mit den heutzutage üblichen agilen Entwicklungspraktiken müssen diese Funktionen innerhalb strenger Fristen fertiggestellt werden... und die Sicherheit steht selten ganz oben auf der Liste der Bedenken, wenn so viel anderes auf dem Spiel steht.

Sicherheit wird als Domäne des AppSec-Teams angesehen, das die wenig beneidenswerte Aufgabe hat, Code zu scannen (oder schlimmer noch: ihn manuell, Zeile für Zeile, zu überprüfen) und dem Entwicklungsteam mitzuteilen, dass ihr Code unsicher oder sogar völlig unbrauchbar ist. Sie sind die Stöpsel im Dreck, die ihre gute Arbeit zerpflücken, Innovationen aufhalten und den Entwicklern allgemein Kopfschmerzen bereiten. Am Ende des Tages sind viele Sicherheitsprobleme recht einfach zu beheben " vielleicht kann eine einzige Codezeile eine verwundbare Hintertür in Minutenschnelle verstärken.

Aber, hier ist das Problem. Da "Sicherheit" so sehr ein Synonym für eine negative Erfahrung ist, beschäftigen sich Entwickler einfach nicht so intensiv damit, wie sie es sollten. Diese einzeiligen Fixes passieren nicht: Schließlich stoßen die AppSec-Leute immer wieder auf die gleichen Probleme. Es muss ziemlich verrückt für sie sein, immer noch auf SQL-Injection-Fehler hinzuweisen, mehr als zwanzig Jahre nachdem wir sie zum ersten Mal entdeckt haben (und ihren anschließenden Fix).

Was wir bisher getan haben, funktioniert nicht annähernd so effektiv, wie wir gehofft hatten. Wir müssen uns darauf konzentrieren, die Brücke zwischen Entwicklern und AppSec-Spezialisten zu reparieren und eine positive Sicherheitskultur anzustreben, in der Entwicklern die Werkzeuge und Schulungen an die Hand gegeben werden, um in diesem Bereich wirklich etwas bewirken zu können.

Wer weiß? Vielleicht verlieben sie sich sogar darin, so wie ich es tat!

Positive Sicherheit ist der schnellste und einfachste Weg zur Verbesserung der Anwendungssicherheit

ity " und nein, es ist kein Hokuspokus über immaterielle Ergebnisse. Es ist eine absolut wichtige Zutat im Erfolgsrezept der sicheren Codierung.

Entwickler halten den Schlüssel zur Verbesserung der Sicherheit von Beginn der Produktion an in der Hand, indem sie von vornherein sicheren Code schreiben. Durch die Schaffung einer positiven Sicherheitskultur und die Begeisterung der Entwickler für die Anwendungssicherheit können häufige Schwachstellen ausgemerzt werden, bevor sie es überhaupt zu einem Scan oder einer manuellen Codeprüfung im AppSec-Land schaffen.

Es ist dreißigmal teurer, Schwachstellen in bereits implementiertem Code zu beheben. Daher ist die Suche nach einer Schulung, die die Stärken der Entwickler nutzt, das Interesse aufrecht erhält und tatsächlich funktioniert, ein großer Schritt zur zukünftigen Kostenreduzierung bei der Identifizierung und Behebung dieser wiederkehrenden Schwachstellen.

Positive, entwicklerorientierte Initiativen fördern die richtige Sicherheitskultur.

Wenn alle mit den Best Practices für Sicherheit auf einer Wellenlänge liegen, ist eine positive Sicherheitskultur ein glückliches, vitales Nebenprodukt.

Positive, skalierbare, entwicklerorientierte Initiativen fördern die richtige Sicherheitskultur. Es ist wichtig, die problemlösenden und kreativen Köpfe der Entwickler anzusprechen, um sie für sich zu gewinnen und sicherzustellen, dass neue Mitarbeiter sich schnell mit den Sicherheitserwartungen des Teams vertraut machen können. Nehmen Sie Kontakt auf, um einen Überblick über die Entwicklung der Beziehung zwischen Entwicklern und Sicherheit zu erhalten und um Ideen für die Einführung eines erfolgreichen Security Awareness-Programms in Ihrem Unternehmen zu erhalten.

Ressource anzeigen
Ressource anzeigen

Autor

Jaap Karan Singh

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Sicherheit' ist kein Schimpfwort: Wie ein positiver Ansatz Ihr Sicherheitsprogramm verändern wird

Veröffentlicht am 17. Apr. 2019
Von Jaap Karan Singh

Ursprünglich veröffentlicht auf dem DevSecCon-Blog.

Da ich auf beiden Seiten des Zauns gestanden habe, kenne ich nur zu gut die Spannungen, die zwischen dem Entwicklungsteam und den AppSec-Spezialisten entstehen können, wenn es um die Einhaltung von Best Practices in Sachen Sicherheit geht.

Es ist schwierig, denn am Ende des Tages ist die oberste Priorität eines Entwicklers die Bereitstellung von Softwarefunktionen. Sie müssen schön und funktional sein und die Leistungsfähigkeit der Anwendung demonstrieren. Mit den heutzutage üblichen agilen Entwicklungspraktiken müssen diese Funktionen innerhalb strenger Fristen fertiggestellt werden... und die Sicherheit steht selten ganz oben auf der Liste der Bedenken, wenn so viel anderes auf dem Spiel steht.

Sicherheit wird als Domäne des AppSec-Teams angesehen, das die wenig beneidenswerte Aufgabe hat, Code zu scannen (oder schlimmer noch: ihn manuell, Zeile für Zeile, zu überprüfen) und dem Entwicklungsteam mitzuteilen, dass ihr Code unsicher oder sogar völlig unbrauchbar ist. Sie sind die Stöpsel im Dreck, die ihre gute Arbeit zerpflücken, Innovationen aufhalten und den Entwicklern allgemein Kopfschmerzen bereiten. Am Ende des Tages sind viele Sicherheitsprobleme recht einfach zu beheben " vielleicht kann eine einzige Codezeile eine verwundbare Hintertür in Minutenschnelle verstärken.

Aber, hier ist das Problem. Da "Sicherheit" so sehr ein Synonym für eine negative Erfahrung ist, beschäftigen sich Entwickler einfach nicht so intensiv damit, wie sie es sollten. Diese einzeiligen Fixes passieren nicht: Schließlich stoßen die AppSec-Leute immer wieder auf die gleichen Probleme. Es muss ziemlich verrückt für sie sein, immer noch auf SQL-Injection-Fehler hinzuweisen, mehr als zwanzig Jahre nachdem wir sie zum ersten Mal entdeckt haben (und ihren anschließenden Fix).

Was wir bisher getan haben, funktioniert nicht annähernd so effektiv, wie wir gehofft hatten. Wir müssen uns darauf konzentrieren, die Brücke zwischen Entwicklern und AppSec-Spezialisten zu reparieren und eine positive Sicherheitskultur anzustreben, in der Entwicklern die Werkzeuge und Schulungen an die Hand gegeben werden, um in diesem Bereich wirklich etwas bewirken zu können.

Wer weiß? Vielleicht verlieben sie sich sogar darin, so wie ich es tat!

Positive Sicherheit ist der schnellste und einfachste Weg zur Verbesserung der Anwendungssicherheit

ity " und nein, es ist kein Hokuspokus über immaterielle Ergebnisse. Es ist eine absolut wichtige Zutat im Erfolgsrezept der sicheren Codierung.

Entwickler halten den Schlüssel zur Verbesserung der Sicherheit von Beginn der Produktion an in der Hand, indem sie von vornherein sicheren Code schreiben. Durch die Schaffung einer positiven Sicherheitskultur und die Begeisterung der Entwickler für die Anwendungssicherheit können häufige Schwachstellen ausgemerzt werden, bevor sie es überhaupt zu einem Scan oder einer manuellen Codeprüfung im AppSec-Land schaffen.

Es ist dreißigmal teurer, Schwachstellen in bereits implementiertem Code zu beheben. Daher ist die Suche nach einer Schulung, die die Stärken der Entwickler nutzt, das Interesse aufrecht erhält und tatsächlich funktioniert, ein großer Schritt zur zukünftigen Kostenreduzierung bei der Identifizierung und Behebung dieser wiederkehrenden Schwachstellen.

Positive, entwicklerorientierte Initiativen fördern die richtige Sicherheitskultur.

Wenn alle mit den Best Practices für Sicherheit auf einer Wellenlänge liegen, ist eine positive Sicherheitskultur ein glückliches, vitales Nebenprodukt.

Positive, skalierbare, entwicklerorientierte Initiativen fördern die richtige Sicherheitskultur. Es ist wichtig, die problemlösenden und kreativen Köpfe der Entwickler anzusprechen, um sie für sich zu gewinnen und sicherzustellen, dass neue Mitarbeiter sich schnell mit den Sicherheitserwartungen des Teams vertraut machen können. Nehmen Sie Kontakt auf, um einen Überblick über die Entwicklung der Beziehung zwischen Entwicklern und Sicherheit zu erhalten und um Ideen für die Einführung eines erfolgreichen Security Awareness-Programms in Ihrem Unternehmen zu erhalten.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.