Linksverschiebung (und Einhaltung von Vorschriften) mit wiederholbaren sicheren Codierungsfähigkeiten

Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.

Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.

Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.

Und warum?

Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.

Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.

Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.

Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.

Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich

Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.

Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.

Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.

Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.

Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?

Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.

23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.

Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.

Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.

Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.

Für weitere Lektüre

Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.

Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.

Bericht: Der Stand der entwicklergesteuerten Sicherheit.