ASRGs Vorstoß für die Sicherheit von Software in der Automobilindustrie
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
In dieser umfassenden Fallstudie erfahren Sie mehr darüber, wie das Unternehmen Secure Code Warrior's tournaments genutzt hat, um Entwickler einzubinden, das Bewusstsein für die wichtigsten Schwachstellen in der Automobilsoftware zu erhöhen und Metriken über mehrere Sprachen und Frameworks hinweg zu gewinnen.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Tournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Möchten Sie Secure Code Warrior ausprobieren, haben aber noch kein Konto? Melden Sie sich noch heute für ein kostenloses Testkonto an, um loszulegen.
Jetzt ausprobierenTournament Torque: ASRGs Vorstoß für Software-Sicherheit in der Automobilindustrie
Die Automotive Security Research Group ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Entwicklung von Sicherheitslösungen für die Automobilindustrie verschrieben hat, mit dem Schwerpunkt, Lösungen zu finden und zu fördern, die Automobilprodukte sicherer machen. Diese Branche befindet sich derzeit im Wandel und durchläuft die nächste Revolution hin zu vernetzten, autonomen, gemeinsam genutzten, elektrifizierten und softwaredefinierten Fahrzeugen. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine Schlüsselrolle, wenn es darum geht, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.
Dieses Bewusstsein - und vor allem das Handeln der Hersteller - wird von entscheidender Bedeutung sein, da die potenziellen Angriffsvektoren und Cyberrisiken mit der zunehmenden Verbreitung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifern, die es auf die US-Automobilindustrie abgesehen haben, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies und Angriffe wie das Brute-Forcing schlecht konfigurierter Datenbanken könnten enorme und potenziell tödliche Folgen nach sich ziehen. Im Rahmen ihrer Untersuchung von Lösungen und Werkzeugen, die dazu beitragen, Softwaresicherheitsstandards in Automobilprodukten zu gestalten und aufrechtzuerhalten, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Funktion Tournaments . ASRG untersuchte, wie Secure Code Warrior das Interesse der Entwickler an Sicherheit wecken und ihnen die Fähigkeit vermitteln könnte, häufige Schwachstellen in Automobilsoftware zu beseitigen, die unannehmbaren Risiken Tür und Tor öffnen.
Wo befinden sich die typischen Angriffsvektoren in der Automobilsoftware?
Bei der Analyse der potenziellen Möglichkeiten für Angreifer, auf Software in der Automobilindustrie zuzugreifen, gibt es viele Möglichkeiten, wie der Allot's umfassender Bericht.
Auch wenn Entwickler noch so sicherheitsbewusst sind, können sie sich nicht gegen alle diese Gefahren wehren (und das sollte auch nicht von ihnen erwartet werden - AppSec-Spezialisten gibt es nicht umsonst!), aber es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden:
Es gibt viele gängige Hintertüren, die versierte Ingenieure in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden
Wie ernst ist die Situation bei einem gefährdeten Fahrzeug?
Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100 % sicher sind und dass man bei ihrer Benutzung ein gewisses Risiko eingeht. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer ... all dies kann für einen Verkehrsteilnehmer tödlich enden.
Was aber, wenn die katastrophale Fehlfunktion des Fahrzeugs tatsächlich aus der Ferne verursacht wurde, als Ergebnis eines besonders bösartigen Cyberangriffs? Es wird seit langem behauptet, dass sich die Welt erst dann ernsthaft mit dem Thema Cybersicherheit befassen wird, wenn es zu lebensbedrohlichen Konsequenzen kommt, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden und die Situation ohne ein Eingreifen nur noch weiter eskalieren wird.
Im Jahr 2015 gelang es Sicherheitsforschern, den Motor eines Jeep Cherokee während der Fahrt auf einer Autobahn "abzuschalten". Mithilfe einer bekannten Zero-Day-Schwachstelle in der Systemsoftware konnten sie Klimaanlage, Radio, Lenkung, Bremsen und Getriebe drahtlos steuern. Obwohl dies ein gefährliches Experiment war, zeigte es, dass ein Angreifer die Kontrolle über ein Fahrzeug und seine Insassen erlangen kann. Seit diesem Ereignis sind Millionen von vernetzten Fahrzeugen auf unseren Straßen unterwegs, die jeweils Millionen von Codezeilen enthalten, die gesichert werden müssen.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo. Dies kann zu einer immensen Belastung für die Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Es besteht ein dringender Bedarf an Softwareentwicklern in der Automobilindustrie, die Verantwortung für die Sicherheit mitzutragen, und ASRG ist der Community-Hub, auf den sich viele verlassen, wenn es um das neueste Sicherheitswissen, Tools, Empfehlungen von Kollegen und Unterstützung geht. Ihr globales Secure Code Warrior tournament wollte über 100 Entwickler, die ASRG-Chapter in der ganzen Welt repräsentieren, ansprechen, bewerten und inspirieren. In freundschaftlichen Wettbewerben und Schulungen versuchten sie, Herausforderungen im Bereich der sicheren Programmierung zu lösen, die sich direkt auf die Probleme beziehen, mit denen die Software in ihrer Branche konfrontiert ist.
Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich in rasantem Tempo, was zu einer immensen Belastung für ihre Entwickler führen kann, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.
Die Zahlen und Fakten von tournament und Ausbildungsversuchen
Dies ist ein Hinweis auf ein hohes Engagement und den Wunsch, weiter zu spielen - beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.
Schulungen und tournaments können in den Sprachen und Frameworks durchgeführt werden, die von den einzelnen Entwicklern gewünscht werden, um sicherzustellen, dass die Herausforderungen äußerst relevant sind und realer Code verwendet wird, dem die Entwickler bei ihrer täglichen Arbeit begegnen. Dieser kontextbezogene, mundgerechte Lernansatz gewährleistet eine schnelle Vermittlung der Inhalte, die für die Lösung der im SDLC des Unternehmens am häufigsten auftretenden Probleme am wichtigsten sind.
Das häufigste Entwicklerprofil unter den Teilnehmern
Andere wichtige Ergebnisse:
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache
Globale ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke
Zwar zeigten alle Teilnehmer eine gewisse Beherrschung der von ihnen gewählten Sprachen und Frameworks, aber es gab keinen einzigen Schwachstellenbereich, der als "100% sicher" eingestuft oder gemeistert wurde, und die durchschnittliche Trefferquote lag bei 67%. tournaments ist eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab zu setzen und zu lernen, wie man häufige Sicherheitslücken im Code beseitigt... vor allem, wenn dieser Code zu einem Fernzugriff auf ein Fahrzeug oder Schlimmeres führen kann.
Tournament Einblicke in die Anfälligkeit und die auf Fähigkeiten basierenden Risikofaktoren
Die ASRG tournament und die Schulungsinitiativen konzentrierten sich auf einige wichtige Schwachstellen, die vernetzte Fahrzeuge betreffen, nämlich:
Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde deutlich, dass der Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und vorrangig auf Schwachstellen in der Speicherverwaltung liegen sollte. Letzteres ist eine bekannte potenzielle Schwachstelle nicht nur in ultra-vernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.
Ein solcher Fehler wurde kürzlich vom Customer Experience Assessment & Penetration Team (CX APT) von Cisco in GNU Glibc entdeckt, einer Bibliothek, die in Linux ARMv7-Systemen verwendet wird und diese anfällig für Speicherbeschädigungen macht, bis ein Patch erstellt und angewendet wird. In Zeiten sensorlastiger Geräte, die Daten in Echtzeit von mehreren Umgebungspunkten sammeln, könnte dies für einen Angreifer von großem Nutzen sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.
Das Team der ASRG hat mit seinem Verzeichnis geprüfter Tools und Lösungen, seinem umfassenden Wiki und seiner starken globalen Gemeinschaft unglaubliche Ressourcen für Entwickler geschaffen, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind das, was nötig ist, um Veränderungen an der Basis voranzutreiben. Ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schaffen, ist ein starkes Element, um wiederkehrende Schwachstellen in hochsensiblen Geräten zu stoppen.
Rentabilität der Investitionen in bewährte Verfahren zur sicheren Programmierung
Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie hat ergeben, dass die Automobilindustrie in Bezug auf die Sicherung und den Schutz vernetzter Technologien vor bestehenden und neuen Cyber-Bedrohungen deutlich hinter vielen anderen Branchen zurückliegt.
Dieser Trend ist zwar besorgniserregend, aber nicht unumkehrbar - vor allem, weil Organisationen wie ASRG dafür kämpfen, dass das Thema Sicherheit in der Branche nicht in Vergessenheit gerät, und gleichzeitig die Lösungen, Tools und Schulungen aufzeigen, die Automobilunternehmen benötigen, um ein eisenhartes Sicherheitsprogramm aufzubauen.
Ihre Erfahrung mit der Durchführung einer hochinteressanten, globalen Secure Code Warrior Tournament gab ihnen die Möglichkeit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte, Möglichkeiten für weiteres Lernen, Genauigkeitsstatistiken aus sicheren Codierungsherausforderungen und die wichtigsten Schwachstellen, auf die man sich konzentrieren sollte, zu identifizieren, da sie für die Bedürfnisse der Branche relevant sind.
Wie hoch ist also die geschätzte Rendite für die Umstellung eines Sicherheitsprogramms in einem Unternehmen, das Sicherheitsbewusstsein und -maßnahmen von Beginn des SDLC an einführt? Schauen wir uns das mal an:
Für ein Unternehmen, das bei seinen Sicherheitsprüfungen auch nur eine bescheidene Anzahl von jährlichen Schwachstellen feststellt, können die potenziellen Kosten für die Erkennung und Behebung erheblich sein. Und je nachdem, an welcher Stelle des Prozesses diese lästigen Fehler aufgedeckt werden, kann der Preis für die Korrektur dramatisch ansteigen, selbst für "einfache" Behebungen - bis zum Dreißigfachen der Kosten für eine späte Korrektur im Vergleich zu einer, die zu Beginn gefunden und behoben wurde.
Rentabilität der Investition
Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch die Schulungen von SecureCode Warrior,tournaments, und die kulturelle Transformation ermöglicht werden.
Jährliches Einsparpotenzial
Inhaltsübersicht
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zu sicherem Code
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
Cyber Resilience Act (CRA) – Angepasste Lernpfade
SCW unterstützt die Vorbereitung auf den Cyber Resilience Act (CRA) mit CRA-konformen Quests und konzeptionellen Lernsammlungen, die Entwicklungsteams dabei helfen, die CRA-Sicherheitsentwicklungsprinzipien „Secure by Design“, SDLC und sichere Codierungskompetenzen zu verinnerlichen.
Ressourcen für den Einstieg
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
KI kann Code schreiben und überprüfen – aber das Risiko tragen weiterhin die Menschen.
Die Einführung von Claude Code Security durch Anthropic markiert einen entscheidenden Schnittpunkt zwischen KI-gestützter Softwareentwicklung und der rasanten Weiterentwicklung unserer Herangehensweise an moderne Cybersicherheit.