Der Aufstieg von DevSecOps - und was "shifting left" wirklich für Ihr Unternehmen bedeutet.

Veröffentlicht Jun 10, 2021
von Secure Code Warrior
FALLSTUDIE

Der Aufstieg von DevSecOps - und was "shifting left" wirklich für Ihr Unternehmen bedeutet.

Veröffentlicht Jun 10, 2021
von Secure Code Warrior
Ressource anzeigen
Ressource anzeigen

Was ist das für eine ernüchternde Statistik? 60 % der KMUs sind innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff nicht mehr im Geschäft*. Großkonzerne verlieren Millionen (oder Milliarden!), während der Ruf der Marke leidet. Da Unternehmen zunehmend sichere Kodierungspraktiken anwenden, findet eine "Linksverschiebung" statt. Mit dem Aufkommen von DevSecOps rückt sicherer Code bereits zu Beginn des SDLC in den Mittelpunkt. Um die Auswirkungen dieses Trends in der Praxis zu untersuchen, hat Secure Code Warrior zusammen mit Evans Data Corp*** eine aktuelle Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen in Auftrag gegeben.

Shifting Left - eine Verschiebung auf vielen Ebenen  

Da Unternehmen erkennen, dass es 30-mal teurer ist, Schwachstellen im Nachhinein zu beheben, sind präventive Maßnahmen zum neuen Goldstandard* geworden. Aber damit solche Maßnahmen effektiv sind, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. 

Shift One - wer ist jetzt verantwortlich?

Mit dem Aufkommen von DevSecOps setzen Unternehmen auf sichere Kodierungspraktiken. Eine der ersten Verschiebungen, die unsere Studie aufzeigte, ist die Verlagerung der Verantwortung für die Codesicherheit auf die operative Ebene. 

Als wir Entwickler und Entwicklungsleiter fragten, "wer sollte die letztendliche Verantwortung für die Codesicherheit haben?", sagten 46 %, dass der Projekt-/Teamleiter - fast doppelt so viele wie diejenigen, die sagten, dass die Verantwortung beim Anwendungssicherheitsteam bleiben sollte. 

Dies ist ein deutlicher Hinweis auf eine Verlagerung der Sicherheitsverantwortung weg von den traditionellen Anwendungssicherheitsteams hin zu den Leitern der Entwicklungsteams.

Schicht zwei - Die sich verändernden Rollen von Managern  

Der Druck, Secure Code Training zu implementieren, kommt aus mehreren Richtungen auf die Manager zu. 

41 % geben an, dass die organisatorische Notwendigkeit für die Schulung in sicherem Code von der obersten Führungsebene ausgeht. Auch die zunehmenden Anforderungen an die Einhaltung von Vorschriften spielen eine Rolle. 

Manager spielen eine entscheidende Rolle bei der Unterstützung des Übergangs von der traditionellen Entwicklung zu DevSecOps und entwickeln sich zu wichtigen Entscheidungsträgern für Schulungen und Tooling-Kaufentscheidungen.

Schicht drei - Entwickler treten auf

Wir sehen aber auch, dass der Druck zur Veränderung von unten nach oben sprudelt; 24 % der Manager geben an, dass sie sichere Coding-Praktiken aufgrund von Vorschlägen und Empfehlungen ihrer Entwickler implementieren. Dieser Punkt unterstreicht die zunehmend wichtige Rolle der Entwickler als Mitwirkende an den Sicherheitsprogrammen ihrer Unternehmen. Der Wechsel zu DevSecOps mit seiner neuen Betonung von präventiven sicheren Kodierungspraktiken versetzt Entwickler in die Rolle der "ersten Verteidigungslinie".

Schicht Vier - Verbesserte Teamdynamik  

Die Implementierung sicherer Code-Praktiken hat nicht nur einen wesentlichen Einfluss auf die Softwarequalität, sondern verändert auch die Art und Weise, wie Teams zusammenarbeiten, zum Besseren. 60 % der befragten Entwickler sind der Meinung, dass der Einsatz sicherer Code-Praktiken ihre Kommunikation mit anderen Entwicklern verbessert hat - aber das ist noch nicht der einzige Vorteil. 

Die Hälfte aller befragten Entwickler und Manager stimmte zu, dass sichere Coding-Praktiken zu mehr Zusammenarbeit zwischen Entwicklern und ihren Führungskräften führten. 46 % gaben an, dass die Zusammenarbeit zwischen Entwicklern und Stakeholdern verbessert wurde. Gleichzeitig wiesen 41 % auf mehr Zusammenarbeit zwischen Führungskräften und Stakeholdern hin.

DevSecOps bringt Teams, Führungskräfte und Stakeholder auf neue Weise zusammen und verbessert die Zusammenarbeit über verschiedene Rollen und Phasen des Softwareentwicklungslebenszyklus hinweg. 

62 % der befragten Manager geben an, dass sichere Code-Praktiken dazu beitragen, die Geschwindigkeit von Code-Releases zu erhöhen. Diese eine Tatsache in Kombination mit all den anderen Veränderungen zeigt die klaren Vorteile eines DevOps-Ansatzes auf. Aber, wie bereits in diesem Artikel erwähnt, müssen alle Beteiligten des SDLCs sicherheitsbewusst sein, damit solche Maßnahmen wirksam sind. Diese Erkenntnis hat entscheidende Auswirkungen darauf, wie Unternehmen ihre Entwickler schulen. Teams müssen sich über kürzlich identifizierte Schwachstellen informieren und in der spezifischen Sprache:Frameworks lernen, in der sie programmieren. Kurz gesagt, sie müssen verstehen, wie sie bekannte Schwachstellen im Code in dem Kontext finden, identifizieren und beheben können, in dem sie jeden Tag arbeiten. Eine solche Schulung macht Ihre Teams von der ersten Risikolinie zur ersten Verteidigungslinie.  

Als Verfechter des Wandels in der sicheren Kodierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Ihre Organisation dabei zu unterstützen, einen "shift left" zu vollziehen - und Ihren gesamten Sicherheitsansatz von reaktiv auf proaktiv umzustellen.

Wenn Sie mehr über das praxisnahe, hochgradig ansprechende und bewährte Secure Code Training erfahren möchten, das die Bedürfnisse von Managern, Entwicklern und der Organisation in Einklang bringt, um eine DevSecOps-Zukunft zu erreichen, buchen Sie jetzt eine Demo.


*60 Prozent der kleinen Unternehmen schließen innerhalb von 6 Monaten, nachdem sie gehackt wurden.
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Wechselvon Reaktion zu Prävention: The changing face of application security 2021. Secure Code Warrior und Evans Data Corp.
https://scw.buzz/3169uzS

Ressource anzeigen
Ressource anzeigen

Autor

Secure Code Warrior

Secure Code Warrior baut eine Kultur von sicherheitsorientierten Entwicklern auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unser Flaggschiff Agile Learning Platform bietet relevante fähigkeitsbasierte Pfade, praktische Übungen missions und kontextbezogene Tools, mit denen Entwickler ihre Fähigkeiten zum Schreiben von sicherem Code schnell erlernen, aufbauen und anwenden können.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Der Aufstieg von DevSecOps - und was "shifting left" wirklich für Ihr Unternehmen bedeutet.

Veröffentlicht Jun 10, 2021
Unter Secure Code Warrior

Was ist das für eine ernüchternde Statistik? 60 % der KMUs sind innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff nicht mehr im Geschäft*. Großkonzerne verlieren Millionen (oder Milliarden!), während der Ruf der Marke leidet. Da Unternehmen zunehmend sichere Kodierungspraktiken anwenden, findet eine "Linksverschiebung" statt. Mit dem Aufkommen von DevSecOps rückt sicherer Code bereits zu Beginn des SDLC in den Mittelpunkt. Um die Auswirkungen dieses Trends in der Praxis zu untersuchen, hat Secure Code Warrior zusammen mit Evans Data Corp*** eine aktuelle Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen in Auftrag gegeben.

Shifting Left - eine Verschiebung auf vielen Ebenen  

Da Unternehmen erkennen, dass es 30-mal teurer ist, Schwachstellen im Nachhinein zu beheben, sind präventive Maßnahmen zum neuen Goldstandard* geworden. Aber damit solche Maßnahmen effektiv sind, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. 

Shift One - wer ist jetzt verantwortlich?

Mit dem Aufkommen von DevSecOps setzen Unternehmen auf sichere Kodierungspraktiken. Eine der ersten Verschiebungen, die unsere Studie aufzeigte, ist die Verlagerung der Verantwortung für die Codesicherheit auf die operative Ebene. 

Als wir Entwickler und Entwicklungsleiter fragten, "wer sollte die letztendliche Verantwortung für die Codesicherheit haben?", sagten 46 %, dass der Projekt-/Teamleiter - fast doppelt so viele wie diejenigen, die sagten, dass die Verantwortung beim Anwendungssicherheitsteam bleiben sollte. 

Dies ist ein deutlicher Hinweis auf eine Verlagerung der Sicherheitsverantwortung weg von den traditionellen Anwendungssicherheitsteams hin zu den Leitern der Entwicklungsteams.

Schicht zwei - Die sich verändernden Rollen von Managern  

Der Druck, Secure Code Training zu implementieren, kommt aus mehreren Richtungen auf die Manager zu. 

41 % geben an, dass die organisatorische Notwendigkeit für die Schulung in sicherem Code von der obersten Führungsebene ausgeht. Auch die zunehmenden Anforderungen an die Einhaltung von Vorschriften spielen eine Rolle. 

Manager spielen eine entscheidende Rolle bei der Unterstützung des Übergangs von der traditionellen Entwicklung zu DevSecOps und entwickeln sich zu wichtigen Entscheidungsträgern für Schulungen und Tooling-Kaufentscheidungen.

Schicht drei - Entwickler treten auf

Wir sehen aber auch, dass der Druck zur Veränderung von unten nach oben sprudelt; 24 % der Manager geben an, dass sie sichere Coding-Praktiken aufgrund von Vorschlägen und Empfehlungen ihrer Entwickler implementieren. Dieser Punkt unterstreicht die zunehmend wichtige Rolle der Entwickler als Mitwirkende an den Sicherheitsprogrammen ihrer Unternehmen. Der Wechsel zu DevSecOps mit seiner neuen Betonung von präventiven sicheren Kodierungspraktiken versetzt Entwickler in die Rolle der "ersten Verteidigungslinie".

Schicht Vier - Verbesserte Teamdynamik  

Die Implementierung sicherer Code-Praktiken hat nicht nur einen wesentlichen Einfluss auf die Softwarequalität, sondern verändert auch die Art und Weise, wie Teams zusammenarbeiten, zum Besseren. 60 % der befragten Entwickler sind der Meinung, dass der Einsatz sicherer Code-Praktiken ihre Kommunikation mit anderen Entwicklern verbessert hat - aber das ist noch nicht der einzige Vorteil. 

Die Hälfte aller befragten Entwickler und Manager stimmte zu, dass sichere Coding-Praktiken zu mehr Zusammenarbeit zwischen Entwicklern und ihren Führungskräften führten. 46 % gaben an, dass die Zusammenarbeit zwischen Entwicklern und Stakeholdern verbessert wurde. Gleichzeitig wiesen 41 % auf mehr Zusammenarbeit zwischen Führungskräften und Stakeholdern hin.

DevSecOps bringt Teams, Führungskräfte und Stakeholder auf neue Weise zusammen und verbessert die Zusammenarbeit über verschiedene Rollen und Phasen des Softwareentwicklungslebenszyklus hinweg. 

62 % der befragten Manager geben an, dass sichere Code-Praktiken dazu beitragen, die Geschwindigkeit von Code-Releases zu erhöhen. Diese eine Tatsache in Kombination mit all den anderen Veränderungen zeigt die klaren Vorteile eines DevOps-Ansatzes auf. Aber, wie bereits in diesem Artikel erwähnt, müssen alle Beteiligten des SDLCs sicherheitsbewusst sein, damit solche Maßnahmen wirksam sind. Diese Erkenntnis hat entscheidende Auswirkungen darauf, wie Unternehmen ihre Entwickler schulen. Teams müssen sich über kürzlich identifizierte Schwachstellen informieren und in der spezifischen Sprache:Frameworks lernen, in der sie programmieren. Kurz gesagt, sie müssen verstehen, wie sie bekannte Schwachstellen im Code in dem Kontext finden, identifizieren und beheben können, in dem sie jeden Tag arbeiten. Eine solche Schulung macht Ihre Teams von der ersten Risikolinie zur ersten Verteidigungslinie.  

Als Verfechter des Wandels in der sicheren Kodierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Ihre Organisation dabei zu unterstützen, einen "shift left" zu vollziehen - und Ihren gesamten Sicherheitsansatz von reaktiv auf proaktiv umzustellen.

Wenn Sie mehr über das praxisnahe, hochgradig ansprechende und bewährte Secure Code Training erfahren möchten, das die Bedürfnisse von Managern, Entwicklern und der Organisation in Einklang bringt, um eine DevSecOps-Zukunft zu erreichen, buchen Sie jetzt eine Demo.


*60 Prozent der kleinen Unternehmen schließen innerhalb von 6 Monaten, nachdem sie gehackt wurden.
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Wechselvon Reaktion zu Prävention: The changing face of application security 2021. Secure Code Warrior und Evans Data Corp.
https://scw.buzz/3169uzS

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.