Die Millionen-Dollar-Frage, die jeder Entwickler seinen zukünftigen Arbeitgebern stellen sollte
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Die durchschnittlichen Kosten einer Datenpanne liegen mittlerweile bei 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer einer Datenschutzverletzung wird, liegt bei eins zu vier. In Anbetracht dieser Tatsachen teile ich die Frustration vieler, dass Entwickler ihren Universitätsabschluss nicht mit der Kompetenz für sichere Programmierung und Sicherheit in ihrer DNA verankert haben.
Warum? Software Engineering ist noch ein relativ junger Beruf. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man Code schnell erstellt, ihn elegant und funktional macht, aber mit sehr begrenztem Fokus auf die Sicherheit des Codes. Die Geschwindigkeit, mit der sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschlimmert diese Lücken in den Schlüsselqualifikationen nur noch mehr.
Wir werden das akademische System nicht so schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen erwarten, dass Entwickler sichere Programmierfähigkeiten on the job lernen müssen. In manchen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten großen Sicherheitsverletzungen weltweit sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, Privilegien in Computernetzwerken zu erlangen, wodurch sie auf wertvolle Daten zugreifen und diese abgreifen können. Der Verizon Data Breach Investigation Report (DBIR) 2017, zeigt, dass 30 % aller Sicherheitsverletzungen direkt durch Schwächen in der Sicherheit von Webanwendungen verursacht werden und diese Schlussfolgerung ist im DBIR-Bericht seit 2013 konsistent.
Die 2017 Global DevSecOps Skills Survey, die im August 2017 veröffentlicht wurde, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Profis glauben, dass es sehr wichtig ist, DevSecOps-Kenntnisse zu haben, wenn sie in die IT einsteigen, haben 70 Prozent das Gefühl, dass sie nicht die notwendige Ausbildung durch formale Bildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalverantwortlichen gaben an, dass die am schwersten zu findenden Mitarbeiter die universellen High-End-Entwickler mit ausreichendem Wissen über Sicherheitstests sind. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4 Prozent an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand erfahren, als ich fast ein Jahrzehnt lang mit mehreren Teams von professionellen White-Hat-Hackern gearbeitet habe. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsabteilungen ein und fanden immer die gleichen Schwachstellen.
Das ist der Grund, warum Entwickler sich zu Wort melden müssen, wenn Sie angestellt werden. Wenn Ihr zukünftiger Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, in welche Art von Unternehmen Sie eintreten wollen.
Die zweite Frage, die Sie sich stellen sollten, ist, wie der Kurs durchgeführt werden soll. Wird es praxisorientiert und interaktiv sein? Sicherheitsschulungen für Entwickler zu Schwachstellen, die Slideware, Videos, anklickbare Animationen oder abstrakte Diskussionen verwenden, werden Sie wahrscheinlich nicht direkt bei der Programmierung unterstützen. Wird sichergestellt, dass Sie ständig über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der Sie lernen können? Gibt es Sicherheitskenner, auf die Sie zurückgreifen können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre sicheren Codierungsfähigkeiten erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Codierungs-Frameworks und die Konfrontation mit verschiedenen Schwachstellen in mehreren Szenarien. Sie können SQL-Injections nicht einfach durch ein einziges Beispiel lernen. Sie müssen mit mehreren Beispielen unterschiedlicher Art konfrontiert werden, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, dass sie zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) spielen. Er testete ihre Fähigkeiten vor und nach dem Trainingszeitraum und beobachtete eine 60-prozentige Steigerung der Fähigkeit zur sicheren Codierung bei einer Gruppe von Hunderten von Entwicklern. Das bedeutet, dass weniger Ressourcen für das Auffinden und Beheben von Sicherheitsfehlern im späteren Verlauf des Lebenszyklus aufgewendet werden müssen, was langfristig zu erheblichen Einsparungen führt. Es bedeutet, dass Hacker Ihren Code nicht nutzen werden, um die Daten Ihres Unternehmens zu kompromittieren.
Im Jahr 2014 gab es laut einer IDC-Studie weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es sogar 7 Millionen Berufe gibt, die Programmierkenntnisse erfordern, und dass Programmierjobs im Durchschnitt 12 % schneller wachsen als der Markt.
Es gibt viele Software-Jobs da draußen. Also beziehen Sie Stellung und wählen Sie Arbeitgeber, die sich um ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden kümmern. Wählen Sie dementsprechend Unternehmen, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Die durchschnittlichen Kosten einer Datenpanne liegen mittlerweile bei 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer einer Datenschutzverletzung wird, liegt bei eins zu vier. In Anbetracht dieser Tatsachen teile ich die Frustration vieler, dass Entwickler ihren Universitätsabschluss nicht mit der Kompetenz für sichere Programmierung und Sicherheit in ihrer DNA verankert haben.
Warum? Software Engineering ist noch ein relativ junger Beruf. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man Code schnell erstellt, ihn elegant und funktional macht, aber mit sehr begrenztem Fokus auf die Sicherheit des Codes. Die Geschwindigkeit, mit der sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschlimmert diese Lücken in den Schlüsselqualifikationen nur noch mehr.
Wir werden das akademische System nicht so schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen erwarten, dass Entwickler sichere Programmierfähigkeiten on the job lernen müssen. In manchen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten großen Sicherheitsverletzungen weltweit sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, Privilegien in Computernetzwerken zu erlangen, wodurch sie auf wertvolle Daten zugreifen und diese abgreifen können. Der Verizon Data Breach Investigation Report (DBIR) 2017, zeigt, dass 30 % aller Sicherheitsverletzungen direkt durch Schwächen in der Sicherheit von Webanwendungen verursacht werden und diese Schlussfolgerung ist im DBIR-Bericht seit 2013 konsistent.
Die 2017 Global DevSecOps Skills Survey, die im August 2017 veröffentlicht wurde, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Profis glauben, dass es sehr wichtig ist, DevSecOps-Kenntnisse zu haben, wenn sie in die IT einsteigen, haben 70 Prozent das Gefühl, dass sie nicht die notwendige Ausbildung durch formale Bildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalverantwortlichen gaben an, dass die am schwersten zu findenden Mitarbeiter die universellen High-End-Entwickler mit ausreichendem Wissen über Sicherheitstests sind. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4 Prozent an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand erfahren, als ich fast ein Jahrzehnt lang mit mehreren Teams von professionellen White-Hat-Hackern gearbeitet habe. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsabteilungen ein und fanden immer die gleichen Schwachstellen.
Das ist der Grund, warum Entwickler sich zu Wort melden müssen, wenn Sie angestellt werden. Wenn Ihr zukünftiger Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, in welche Art von Unternehmen Sie eintreten wollen.
Die zweite Frage, die Sie sich stellen sollten, ist, wie der Kurs durchgeführt werden soll. Wird es praxisorientiert und interaktiv sein? Sicherheitsschulungen für Entwickler zu Schwachstellen, die Slideware, Videos, anklickbare Animationen oder abstrakte Diskussionen verwenden, werden Sie wahrscheinlich nicht direkt bei der Programmierung unterstützen. Wird sichergestellt, dass Sie ständig über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der Sie lernen können? Gibt es Sicherheitskenner, auf die Sie zurückgreifen können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre sicheren Codierungsfähigkeiten erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Codierungs-Frameworks und die Konfrontation mit verschiedenen Schwachstellen in mehreren Szenarien. Sie können SQL-Injections nicht einfach durch ein einziges Beispiel lernen. Sie müssen mit mehreren Beispielen unterschiedlicher Art konfrontiert werden, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, dass sie zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) spielen. Er testete ihre Fähigkeiten vor und nach dem Trainingszeitraum und beobachtete eine 60-prozentige Steigerung der Fähigkeit zur sicheren Codierung bei einer Gruppe von Hunderten von Entwicklern. Das bedeutet, dass weniger Ressourcen für das Auffinden und Beheben von Sicherheitsfehlern im späteren Verlauf des Lebenszyklus aufgewendet werden müssen, was langfristig zu erheblichen Einsparungen führt. Es bedeutet, dass Hacker Ihren Code nicht nutzen werden, um die Daten Ihres Unternehmens zu kompromittieren.
Im Jahr 2014 gab es laut einer IDC-Studie weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es sogar 7 Millionen Berufe gibt, die Programmierkenntnisse erfordern, und dass Programmierjobs im Durchschnitt 12 % schneller wachsen als der Markt.
Es gibt viele Software-Jobs da draußen. Also beziehen Sie Stellung und wählen Sie Arbeitgeber, die sich um ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden kümmern. Wählen Sie dementsprechend Unternehmen, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Die durchschnittlichen Kosten einer Datenpanne liegen mittlerweile bei 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer einer Datenschutzverletzung wird, liegt bei eins zu vier. In Anbetracht dieser Tatsachen teile ich die Frustration vieler, dass Entwickler ihren Universitätsabschluss nicht mit der Kompetenz für sichere Programmierung und Sicherheit in ihrer DNA verankert haben.
Warum? Software Engineering ist noch ein relativ junger Beruf. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man Code schnell erstellt, ihn elegant und funktional macht, aber mit sehr begrenztem Fokus auf die Sicherheit des Codes. Die Geschwindigkeit, mit der sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschlimmert diese Lücken in den Schlüsselqualifikationen nur noch mehr.
Wir werden das akademische System nicht so schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen erwarten, dass Entwickler sichere Programmierfähigkeiten on the job lernen müssen. In manchen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten großen Sicherheitsverletzungen weltweit sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, Privilegien in Computernetzwerken zu erlangen, wodurch sie auf wertvolle Daten zugreifen und diese abgreifen können. Der Verizon Data Breach Investigation Report (DBIR) 2017, zeigt, dass 30 % aller Sicherheitsverletzungen direkt durch Schwächen in der Sicherheit von Webanwendungen verursacht werden und diese Schlussfolgerung ist im DBIR-Bericht seit 2013 konsistent.
Die 2017 Global DevSecOps Skills Survey, die im August 2017 veröffentlicht wurde, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Profis glauben, dass es sehr wichtig ist, DevSecOps-Kenntnisse zu haben, wenn sie in die IT einsteigen, haben 70 Prozent das Gefühl, dass sie nicht die notwendige Ausbildung durch formale Bildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalverantwortlichen gaben an, dass die am schwersten zu findenden Mitarbeiter die universellen High-End-Entwickler mit ausreichendem Wissen über Sicherheitstests sind. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4 Prozent an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand erfahren, als ich fast ein Jahrzehnt lang mit mehreren Teams von professionellen White-Hat-Hackern gearbeitet habe. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsabteilungen ein und fanden immer die gleichen Schwachstellen.
Das ist der Grund, warum Entwickler sich zu Wort melden müssen, wenn Sie angestellt werden. Wenn Ihr zukünftiger Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, in welche Art von Unternehmen Sie eintreten wollen.
Die zweite Frage, die Sie sich stellen sollten, ist, wie der Kurs durchgeführt werden soll. Wird es praxisorientiert und interaktiv sein? Sicherheitsschulungen für Entwickler zu Schwachstellen, die Slideware, Videos, anklickbare Animationen oder abstrakte Diskussionen verwenden, werden Sie wahrscheinlich nicht direkt bei der Programmierung unterstützen. Wird sichergestellt, dass Sie ständig über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der Sie lernen können? Gibt es Sicherheitskenner, auf die Sie zurückgreifen können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre sicheren Codierungsfähigkeiten erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Codierungs-Frameworks und die Konfrontation mit verschiedenen Schwachstellen in mehreren Szenarien. Sie können SQL-Injections nicht einfach durch ein einziges Beispiel lernen. Sie müssen mit mehreren Beispielen unterschiedlicher Art konfrontiert werden, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, dass sie zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) spielen. Er testete ihre Fähigkeiten vor und nach dem Trainingszeitraum und beobachtete eine 60-prozentige Steigerung der Fähigkeit zur sicheren Codierung bei einer Gruppe von Hunderten von Entwicklern. Das bedeutet, dass weniger Ressourcen für das Auffinden und Beheben von Sicherheitsfehlern im späteren Verlauf des Lebenszyklus aufgewendet werden müssen, was langfristig zu erheblichen Einsparungen führt. Es bedeutet, dass Hacker Ihren Code nicht nutzen werden, um die Daten Ihres Unternehmens zu kompromittieren.
Im Jahr 2014 gab es laut einer IDC-Studie weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es sogar 7 Millionen Berufe gibt, die Programmierkenntnisse erfordern, und dass Programmierjobs im Durchschnitt 12 % schneller wachsen als der Markt.
Es gibt viele Software-Jobs da draußen. Also beziehen Sie Stellung und wählen Sie Arbeitgeber, die sich um ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden kümmern. Wählen Sie dementsprechend Unternehmen, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Die durchschnittlichen Kosten einer Datenpanne liegen mittlerweile bei 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer einer Datenschutzverletzung wird, liegt bei eins zu vier. In Anbetracht dieser Tatsachen teile ich die Frustration vieler, dass Entwickler ihren Universitätsabschluss nicht mit der Kompetenz für sichere Programmierung und Sicherheit in ihrer DNA verankert haben.
Warum? Software Engineering ist noch ein relativ junger Beruf. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man Code schnell erstellt, ihn elegant und funktional macht, aber mit sehr begrenztem Fokus auf die Sicherheit des Codes. Die Geschwindigkeit, mit der sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschlimmert diese Lücken in den Schlüsselqualifikationen nur noch mehr.
Wir werden das akademische System nicht so schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen erwarten, dass Entwickler sichere Programmierfähigkeiten on the job lernen müssen. In manchen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten großen Sicherheitsverletzungen weltweit sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, Privilegien in Computernetzwerken zu erlangen, wodurch sie auf wertvolle Daten zugreifen und diese abgreifen können. Der Verizon Data Breach Investigation Report (DBIR) 2017, zeigt, dass 30 % aller Sicherheitsverletzungen direkt durch Schwächen in der Sicherheit von Webanwendungen verursacht werden und diese Schlussfolgerung ist im DBIR-Bericht seit 2013 konsistent.
Die 2017 Global DevSecOps Skills Survey, die im August 2017 veröffentlicht wurde, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Profis glauben, dass es sehr wichtig ist, DevSecOps-Kenntnisse zu haben, wenn sie in die IT einsteigen, haben 70 Prozent das Gefühl, dass sie nicht die notwendige Ausbildung durch formale Bildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalverantwortlichen gaben an, dass die am schwersten zu findenden Mitarbeiter die universellen High-End-Entwickler mit ausreichendem Wissen über Sicherheitstests sind. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4 Prozent an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand erfahren, als ich fast ein Jahrzehnt lang mit mehreren Teams von professionellen White-Hat-Hackern gearbeitet habe. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsabteilungen ein und fanden immer die gleichen Schwachstellen.
Das ist der Grund, warum Entwickler sich zu Wort melden müssen, wenn Sie angestellt werden. Wenn Ihr zukünftiger Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, in welche Art von Unternehmen Sie eintreten wollen.
Die zweite Frage, die Sie sich stellen sollten, ist, wie der Kurs durchgeführt werden soll. Wird es praxisorientiert und interaktiv sein? Sicherheitsschulungen für Entwickler zu Schwachstellen, die Slideware, Videos, anklickbare Animationen oder abstrakte Diskussionen verwenden, werden Sie wahrscheinlich nicht direkt bei der Programmierung unterstützen. Wird sichergestellt, dass Sie ständig über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der Sie lernen können? Gibt es Sicherheitskenner, auf die Sie zurückgreifen können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre sicheren Codierungsfähigkeiten erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Codierungs-Frameworks und die Konfrontation mit verschiedenen Schwachstellen in mehreren Szenarien. Sie können SQL-Injections nicht einfach durch ein einziges Beispiel lernen. Sie müssen mit mehreren Beispielen unterschiedlicher Art konfrontiert werden, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, dass sie zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) spielen. Er testete ihre Fähigkeiten vor und nach dem Trainingszeitraum und beobachtete eine 60-prozentige Steigerung der Fähigkeit zur sicheren Codierung bei einer Gruppe von Hunderten von Entwicklern. Das bedeutet, dass weniger Ressourcen für das Auffinden und Beheben von Sicherheitsfehlern im späteren Verlauf des Lebenszyklus aufgewendet werden müssen, was langfristig zu erheblichen Einsparungen führt. Es bedeutet, dass Hacker Ihren Code nicht nutzen werden, um die Daten Ihres Unternehmens zu kompromittieren.
Im Jahr 2014 gab es laut einer IDC-Studie weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es sogar 7 Millionen Berufe gibt, die Programmierkenntnisse erfordern, und dass Programmierjobs im Durchschnitt 12 % schneller wachsen als der Markt.
Es gibt viele Software-Jobs da draußen. Also beziehen Sie Stellung und wählen Sie Arbeitgeber, die sich um ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden kümmern. Wählen Sie dementsprechend Unternehmen, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist sie sogar noch wichtiger geworden, da sie sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Multi-Millionen-Dollar-Frage!
Möchten Sie mir helfen, sicher zu codieren?
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Auf dem Weg zu Gold: Steigende Standards für sicheren Code bei Paysafe
Sehen Sie, wie die Partnerschaft von Paysafe mit Secure Code Warrior die Produktivität der Entwickler um 45 % steigerte und die Zahl der Code-Schwachstellen erheblich reduzierte.
.png)
Die Macht der Marke in AppSec DevSec DevSecOps (Was ist in einem Acrynym!?)
Für eine dauerhafte Wirkung von AppSec-Programmen braucht es mehr als nur Technik - es braucht eine starke Marke. Eine starke Identität stellt sicher, dass Ihre Initiativen auf Resonanz stoßen und ein nachhaltiges Engagement innerhalb Ihrer Entwicklergemeinschaft fördern.
Vertrauensagent: AI von Secure Code Warrior
Dieser One-Pager stellt den SCW Trust Agent: AI vor, eine neue Reihe von Funktionen, die tiefgreifende Beobachtbarkeit und Kontrolle über KI-Codierwerkzeuge bieten. Erfahren Sie, wie unsere Lösung die Nutzung von KI-Tools mit den Fähigkeiten von Entwicklern korreliert, um Sie beim Risikomanagement zu unterstützen, Ihren SDLC zu optimieren und sicherzustellen, dass jede Zeile des von KI generierten Codes sicher ist.
.avif)
Vibe Coding: Praktischer Leitfaden zur Aktualisierung Ihrer AppSec-Strategie für KI
In diesem On-Demand-Video erfahren Sie, wie AppSec-Manager durch einen praktischen Ansatz, bei dem die Schulung im Vordergrund steht, in die Lage versetzt werden, KI zu fördern, anstatt sie zu blockieren. Wir zeigen Ihnen, wie Sie Secure Code Warrior (SCW) nutzen können, um Ihre AppSec-Strategie strategisch für das Zeitalter der KI-Codierassistenten zu aktualisieren.
Ressourcen für den Einstieg
Warum sich das Bewusstsein für Cybersicherheit im Zeitalter der KI weiterentwickeln muss
CISOs können sich nicht auf das gleiche alte Awareness-Handbuch verlassen. Im Zeitalter der KI müssen sie moderne Ansätze verfolgen, um Code, Teams und Unternehmen zu schützen.
.avif)
Sicheres Coding im Zeitalter der KI: Testen Sie unsere neuen interaktiven KI-Herausforderungen
KI-gestütztes Coding verändert die Entwicklung. Testen Sie unsere neuen KI-Herausforderungen im Copilot-Stil, um Code in realistischen Workflows sicher zu prüfen, zu analysieren und zu korrigieren.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
