Linksverschiebung (und Einhaltung von Vorschriften) mit wiederholbaren sicheren Codierungsfähigkeiten
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
