Linksverschiebung (und Einhaltung von Vorschriften) mit wiederholbaren sicheren Codierungsfähigkeiten
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es als Teil eines anfänglichen Zertifizierungsprozesses, um sicherzustellen, dass sich ein Unternehmen innerhalb der Grenzen von Branchenrahmen oder staatlichen Vorschriften bewegt, oder als Teil einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen die grundlegenden Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch wahrnehmen.
Compliance-Vorschriften gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Vorschriften gelten, muss zumindest über ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze verfügen.
Schulungen zur Einhaltung von Vorschriften sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet noch keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch gaben 67 % der Befragten zu, dass sie häufig Schwachstellen in ihrem Code hinterlassen.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die Studie "The state of developer-driven security survey, 2022" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
Über die Frage, warum die Schulung zur Einhaltung der Vorschriften nicht zu einer verbesserten Softwaresicherheit führt, sprechen wir schon seit langem. Die jüngste Umfrage wirft nur ein Schlaglicht auf dieses Problem.
Einerseits wird von den Entwicklern verlangt, dass sie in neue Rollen schlüpfen, indem sie die Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie den Code für Anwendungen und Programme schreiben. Doch das Schreiben von sicherem Code oder auch nur das Kennenlernen der Cybersicherheitsprobleme und -schwachstellen, die ihn betreffen könnten, ist keine leichte Aufgabe. 63 % der Entwickler gaben in der Umfrage an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele gut bezahlte Jobs im Bereich der Cybersicherheit unbesetzt bleiben, mit weltweit über 3,5 Millionen offenen Stellen (letzte Zählung). Wenn die Arbeit einfach wäre, würde sich jeder auf dieses Gebiet stürzen. Zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, ist schwierig, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Kurse können da nicht mithalten und bieten nicht die Art von Ausbildung, die Entwickler brauchen. Sie können zwar die Einhaltung von Vorschriften überprüfen, aber keine wirkliche Anwendungssicherheit für Ihr Unternehmen gewährleisten oder Entwickler in die Lage versetzen, sicheren Code zu schreiben oder Schwachstellen im Code zu finden und zu beheben.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Die Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen leisten können - und was nicht. Verzichten Sie nicht auf Compliance-Schulungen, vor allem nicht, wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil (selbst mit den derzeitigen Schulungsmethoden) 92 % der Umfrageteilnehmer angaben, dass sie zumindest einige Schulungen zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50 % betonten, dass sie umfangreiche Compliance-Schulungen benötigen.
Zu den Rahmenwerken für die Einhaltung von Vorschriften, an deren Schulung sie am meisten interessiert waren, gehörten solche, die für verschiedene Branchen spezifisch sind, aber auch mehrere allgemeine Rahmenwerke für die Cybersicherheit standen auf der Liste. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Daher sollten Sie sich in diesen Frameworks schulen lassen, aber Sie sollten sich darüber im Klaren sein, dass das Ankreuzen eines Kästchens bei der Konformitätsschulung nicht gleichbedeutend ist mit der Schaffung einer Grundlage für die kontinuierliche Erstellung von sicherem Code.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer fortlaufenden Möglichkeit, die Fähigkeiten Ihrer Entwickler zur sicheren Programmierung zu erweitern, die auch außerhalb des Compliance-Zyklus wiederholt werden können, damit sie jeden Tag sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften auf die Befähigung von Entwicklungsteams, durch kontinuierliches Lernen sicher zu programmieren. Wenn Sie Zeit und Ressourcen in die Befähigung von Entwicklern investieren, werden die jährlichen Compliance-Übungen oder -Prüfungen für Ihre Mitarbeiter zum Kinderspiel, und Sie profitieren von einer insgesamt höheren Produktivität.
Wie können Sie den Wechsel zu entwicklergesteuerter Sicherheit vollziehen?
Die Entwickler gaben mit überwältigender Mehrheit an, dass die Schulung wertvoll sei, bemängelten aber die Art der Schulung, die sie im Laufe der Jahre in Bezug auf sichere Programmierung erhalten haben. Die Entwickler wünschten sich eine stärkere Betonung der praktischen Schulung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant sind (30 %). Mehr Interaktivität wurde von 26 % der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen tatsächlich das Schreiben von sicherem Code üben könnten.
23 % der befragten Entwickler wünschten sich mehr angeleitete Schulungen, die sich auf die spezifischen Schwachstellen konzentrieren, mit denen sie in ihrer Branche oder ihrem Sektor am ehesten konfrontiert werden, während 22 % mehr reale Beispiele für Schwachstellen in ihren Schulungen sehen wollten courses.
Es liegt auf der Hand, dass statische, nicht interaktive Schulungen (wie sie typischerweise bei Compliance-Schulungen durchgeführt werden) für den Erwerb wiederholbarer Sicherheitskompetenzen bei Entwicklern nur von geringem Wert sind. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen die Entwickler während ihrer Arbeit in Sachen Sicherheit geschult werden. Sie könnten sogar die Implementierung eines abgestuften Lernprogramms in Betracht ziehen.
Bei einem stufenweisen Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte aufgeteilt. Je weiter die Entwickler fortschreiten, desto mehr fortgeschrittene Konzepte werden auf die bereits beherrschten Konzepte aufgesetzt, so wie ein physisches Gerüst aufgebaut wird, wenn ein Gebäude in die Höhe wächst. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu lehren, indem man es zunächst in kleinere, weniger komplexe Teile zerlegt und dann auf dieser Grundlage mehr Komplexität aufbaut.
Wie auch immer Sie Ihr Programm für Sicherheitskompetenzen von Entwicklern angehen, entscheidend ist, dass Sie es von Übungen zur Einhaltung von Vorschriften trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Ansätze, um erfolgreich zu sein.
Für weitere Lektüre
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Ansatz des Entwicklers für Software-Sicherheit.
Bericht: Der Stand der entwicklergesteuerten Sicherheit.
Inhaltsübersicht
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Aussagekräftige Daten über den Erfolg von Secure-by-Design-Initiativen zu finden, ist bekanntermaßen schwierig. CISOs stehen oft vor der Herausforderung, den Return on Investment (ROI) und den Geschäftswert von Sicherheitsprogrammen sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Organisation im Vergleich zu aktuellen Branchenstandards abschneidet. Die Nationale Cybersicherheitsstrategie des Präsidenten forderte die Beteiligten auf, "Sicherheit und Widerstandsfähigkeit durch Design" zu erreichen. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die nötigen Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl von qualitativen und quantitativen Daten vor, die aus verschiedenen Primärquellen stammen, darunter interne Daten von über 250.000 Entwicklern, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser gesammelten Daten wollen wir eine Vision des aktuellen Stands von Secure-by-Design-Initiativen in verschiedenen Branchen vermitteln. Der Bericht zeigt auf, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Schulungsprogramm auf die Minderung von Cybersecurity-Risiken haben kann und welches Potenzial zur Beseitigung von Schwachstellen in einer Codebasis besteht.
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Quests: Branchenführendes Lernen, damit die Entwickler immer einen Schritt voraus sind und Risiken minimiert werden.
Quests ist eine learning platform , die Entwicklern hilft, Software-Sicherheitsrisiken zu verringern, indem sie ihre Fähigkeiten zur sicheren Programmierung verbessern. Mit kuratierten Lernpfaden, praktischen Herausforderungen und interaktiven Aktivitäten befähigt sie Entwickler, Schwachstellen zu erkennen und zu vermeiden.
Ressourcen für den Einstieg
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
