Die Begriffe "Champion" und "Coach" gewinnen auch außerhalb des Sports zunehmend an Bedeutung und haben in den meisten Kontexten eine starke Präsenz. Es gibt Life-Coaches, Wellness-Coaches, Empathie-Coaches und "Champions", die in vielen Organisationen gekrönt werden, Titel wie "Safety Champion" oder "Vibe Champion" werden immer mehr zum Mainstream und in den Geist und die Kultur des Unternehmens integriert. Wer möchte nicht einen Coach oder einen Champion an seiner Seite haben, wenn es hart auf hart kommt? 

Institutionen in der Cybersicherheitsbranche setzen seit langem Champions ein, um das Thema Sicherheit auf der Entwicklungsebene zu verbreiten und höhere Standards für die Softwaresicherheit aufrechtzuerhalten. BSIMM nennt sie die Satellite-Gruppe, während OpenSAMM und Axway zu den Pioniergruppen gehören, die Sicherheits-Champions als Konzept und formalisiertes Programm unterstützen. Diese Initiativen überschneiden sich mit einem der Hauptziele der DevSecOps-Bewegung, nämlich der Verpflichtung, die Verantwortung für die Sicherheit über alle Teams und Funktionen hinweg zu teilen, und zwar von Beginn des Softwareentwicklungsprozesses an.

Viele Unternehmen, die mit ihrem Cybersicherheitskonzept hohe Ziele verfolgen, haben ein offizielles Security-Champion-Programm eingeführt, das Personen, die für diese Aufgabe geeignet sind und sich dafür begeistern können, mit wichtigen Sicherheitsaufgaben betraut - von der Zusammenarbeit zwischen Teams über allgemeine Unterstützung bis hin zur Überwachung bewährter Verfahren. 

Es hat sich jedoch gezeigt, dass sich die Rolle des "Sicherheitschampions" verändert und dass ein zukunftsorientiertes Unternehmen mit einem erweiterten Team, in dem die wichtigsten Mitarbeiter unterschiedliche, aber gleichermaßen wichtige Funktionen wahrnehmen, neue Dimensionen skalierbarer Best Practices im Bereich der Sicherheit erreichen kann. 

Wir definieren den Sicherheitschampion neu und vervielfältigen ihn, um in einem zukunftssicheren Sicherheitsprogramm wirklich etwas bewirken zu können. Sind Sie bereit, Ihr nächstes Dream Team zusammenzustellen?

Jede großartige Mannschaft steht hinter einem inspirierenden Trainer.

Wenn man an Lionel Messi, Michael Jordan oder Serena Williams denkt, können in der Regel nur die eingefleischtesten Fans Fakten über ihre Trainer aufzählen, aber es ist diese enge Unterstützung, die ihre natürlichen Fähigkeiten, ihr Talent und ihre Zielstrebigkeit fördert, die den immensen Erfolg hervorbringt, den wir im Rampenlicht sehen. 

Niemand erwartet von Entwicklern, dass sie einen Grand Slam gewinnen oder ein Tor für Argentinien schießen, und niemand sollte auch nur erwarten, dass Entwickler Sicherheitsexperten sind (schließlich haben sie sich verpflichtet, coole Funktionen zu entwickeln, und nicht, sich tief in die Sicherheit zu vertiefen), aber ein großartiger Sicherheits-"Coach" ist ihr wahrer Champion im Team.

Ein entwicklerseitiger Sicherheits-Champion entspricht viel mehr dem, was wir als die Grundlagen eines Coaches bezeichnen würden. Sie engagieren sich leidenschaftlich für die Sicherheit, kennen sich aus und sind ein wichtiger Ansprechpartner, wenn ein Entwickler ein Sicherheitsproblem zu lösen hat. Sie verfügen über das praktische Know-how, um das Problem zu beheben und aus den Fehlern zu lernen, und stellen gleichzeitig sicher, dass das Team die grundlegenden bewährten Sicherheitsverfahren und -werte befolgt. 

Würde der AppSec-Champion bitte aufstehen?

Ein AppSec-Champion ist ein oft vermisstes Puzzlestück im Sicherheitsprogramm. Sie sind für den Erfolg eines Entwicklungsteams absolut unverzichtbar. Als Brücke zwischen der Führungsebene und den Entwicklern können sie sich aktiv für diese einsetzen und ihnen die Tools an die Hand geben, die sie benötigen, um einen positiven Einfluss auf die Verringerung von Schwachstellen, die Softwaresicherheit und das Vertrauen und die Zufriedenheit der Kunden zu haben. 

Ein großartiger AppSec-Champion ist innerhalb des Unternehmens als Sicherheitsführer anerkannt und sollte eine wichtige Rolle bei der direkten Schulung der Sicherheitstrainer spielen, um bessere Ergebnisse und Beziehungen zwischen den Teams zu erzielen, die alle ein gemeinsames Ziel verfolgen: erstklassigen, wasserdichten sicheren Code. 

Rufen Sie Ihren Supercoach.

Champions und großartige Coaches gehen Hand in Hand, und zusammen schaffen sie Magie. Bestehende Security-Champion-Programme konzentrieren sich in der Regel auf den Entwickler, aber wie wir festgestellt haben, sollte die wirkliche Förderung auf der AppSec-Seite stattfinden, so dass die leidenschaftlichsten, sicherheitsbewussten Entwickler dabei helfen können, unter der Haube sichere Codierung zu erreichen und den Rest des Teams zu fördern. 

Die Suche nach dem idealen Coach ist ein ähnlicher Prozess wie beim traditionellen Champion: Der beste Coach ist nicht einfach die Person, die im Bereich Sicherheit "am besten" ist. Die Person, die zufälligerweise erstaunlich gut im sicheren Programmieren ist und qualitativ hochwertigen, abgesicherten Code produziert, hat vielleicht kein Interesse daran, eine außerschulische Rolle zu übernehmen, oder sie ist trotz ihrer Begabung nicht besonders von Sicherheit begeistert. 

Stattdessen könnte Ihr Coach aufgedeckt werden, wenn Sie sich jemanden suchen, der:

• großes Interesse an der Cybersicherheit, von der praktischen Programmierung bis hin zur ständigen Information über die neuesten Vorfälle, Tools und coolen Entwicklungen
• Sie verfügen über gute zwischenmenschliche Fähigkeiten; sie helfen anderen gerne, fühlen sich als Ansprechpartner (oder Experte) und sind ansprechbare Teamplayer
• Sie wissen, was benötigt wird, um dem Team zu helfen, und können mit ihrem AppSec-Verbindungsmann (ihrem Champion) zusammenarbeiten, um die Bedürfnisse zu erfüllen, so dass gemeinsame Sicherheitsergebnisse erzielt werden können.

Setzen Sie Anreize für die Trainertätigkeit; wer auch immer Sie auswählen , wird mehr Verantwortung übernehmen müssen, und sein Arbeitspensum muss entsprechend bewertet werden. Auch wenn persönliches Interesse und berufliches Fortkommen bei der Motivation eines potenziellen Coaches eine Rolle spielen, ist es sinnvoll zu prüfen, wo er sonst noch für das Erreichen von Zielen belohnt werden kann. Können sie zu einer großartigen Konferenz geschickt werden? Können sie zusätzlichen Urlaub bekommen? Können courses und Zertifizierungen für sie finanziert werden? Zeit und Geld, die jetzt in die Sicherung des SDLC von Anfang an investiert werden, sparen später im Zyklus viel mehr - oder schlimmer noch, wenn eine Schwachstelle live entdeckt wird - und ein guter Coach wird das Bewusstsein hoch halten. Finden Sie einen Weg, um sinnvolle Belohnungen anzubieten.

Ihr Sicherheits-Champion-Programm der nächsten Stufe.

Letztendlich müssen wir als Industrie mehr tun, um Entwickler zu unterstützen und sie für die dunkle Seite der Sicherheit zu gewinnen, indem wir sie motivieren, zu erkennen, dass Qualitätscode sicherer Code ist. Es ist schwierig, sich für etwas zu interessieren, wenn die Zeit und der Aufwand für die Ausbildung und die Ermöglichung des Erfolgs ausbleiben, und leider ist das bei der Ausbildung in sicherer Programmierung oft der Fall. Relevante, praxisnahe Fortbildung in Verbindung mit einem Peer-Coach und einem AppSec-Befürworter ist wirklich der Triple-Hit, der nötig ist, um das Entwicklungsteam zu unterstützen und seine Verteidigungskraft zu entfalten.

Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.

‍

Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten. 

Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher. 

In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.

Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.    

Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?

Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen. 

Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten. 

Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:

• Suche nach jeder Schwachstelle, in jeder Sprache: Framework
• Scannen mit Geschwindigkeit
• Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit

Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.

Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel. 

Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen. 

Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?

Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich. 

Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.

Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme. 

Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?

Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.

Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen. 

Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt. 

Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.

Wir waren kürzlich sehr erfreut, als der erste Forbes Technology Council-Beitrag unseres Vorsitzenden und CEO Pieter Danhieux online ging. Der Beitrag beschreibt, wie die Weiterbildung von Entwicklern zur Erstellung von sichererem Code ein Schlüssel zur Verhinderung von Cyberangriffen und Datenschutzverletzungen ist. Darüber hinaus wird aufgezeigt, wie dieselben sicherheitsbewussten Entwickler dabei helfen können, besseren und sichereren Code zu liefern, und zwar schneller, als es vielen IT-Abteilungen bewusst ist. Die Notwendigkeit für diesen Ansatz ist sicherlich zwingend. Eine kürzlich durchgeführte Studie hat ergeben, dass heute alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störung gesehen, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der SolarWinds-Hack. 

‍

Viele verbreitete Schwachstellen existieren weiterhin, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie man schlechte Codierungsmuster durch einen besseren Weg ersetzt, um die gleichen Funktionen auf eine sicherere Art und Weise zu erreichen. Und die Auswirkungen der Korrektur von Software in einem späten Entwicklungsstadium sind extrem kostspielig, sowohl in Bezug auf die aufgewendeten Stunden als auch auf die Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach der Bereitstellung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei ist der Schaden für den Ruf eines Unternehmens nach einer großen Sicherheitslücke noch gar nicht berücksichtigt.

Sicherheitsgeschulte Entwickler werden natürlich zu besseren Programmierern. Sicherlich sollten CISOs ihre Sicherheitstools nicht so bald fallen lassen, aber indem sie einen umfassenden, präventiven Sicherheitsansatz von oben anführen, können CISOs die größte Ressource ihres Unternehmens nutzen, den Faktor Mensch, insbesondere wenn es um sichere Codierung von Beginn des Softwareentwicklungszyklus an geht.

Um dies zu tun, sind hier die drei wichtigsten Strategien, die Sie im Auge behalten sollten.

1. Seien Sie proaktiv, nicht reaktiv

Unternehmen tappen oft in die Falle, reaktiv zu sein, z. B. auf das zu reagieren, was die Konkurrenz tut, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfallen auch in diesen Ansatz, wenn es um Sicherheitsschwachstellen im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie durch einen erfolgreichen Einbruch dazu gezwungen werden. Leider ist der Schaden dann schon angerichtet, denn Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke schlagen zu Buche. Eine andere Form des Reagierens statt Agierens ist das Verlassen auf automatisches oder manuelles Code-Scanning, um Schwachstellen im bestehenden Code zu finden, anstatt sich von vornherein auf die Erstellung sicheren Codes zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, d. h. je mehr Schwachstellen im Code vorhanden sind, desto größer ist die Chance, dass einige davon durchschlüpfen. 

Nur wenn Sie proaktiv vorgehen und mit den Entwicklern zusammenarbeiten, um sie von Anfang an bei der Erstellung von sicherem Code zu unterstützen, können Sie einen Softwareentwicklungs-Lebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, deutlich reduziert.

2. Upskill, nicht Overkill

Wenn Sie sich entschieden haben, Entwicklern das Wissen zu vermitteln, das sie zur Erstellung von sicherem Code benötigen, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die die Codierung zum Stillstand bringen, frustrieren Entwickler und Manager gleichermaßen. Offsite-Schulungen courses , die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch weniger beliebt. Die beste Herangehensweise ist der schrittweise Aufbau von Programmierkenntnissen, indem relevante Informationen Schritt für Schritt während des Programmierprozesses vermittelt werden - im Wesentlichen ein Upskilling, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen. 

3. Anreize schaffen, nicht voraussetzen

Entwickler sollten Sicherheits-Upskilling nicht als Bestrafung oder als totale Plackerei sehen. Manager müssen die Entwickler inspirieren, indem sie ihnen die wichtige Rolle vermitteln, die sicherer Code für den Erfolg des Unternehmens spielt. Es ist auch wichtig, zu vermitteln, dass sichere Programmierer wertvoller für das Unternehmen sind und in Zukunft erweiterte Karrieremöglichkeiten genießen werden.

Die von der Biden-Administration begrüßte Durchführungsverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, "Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Zulieferer selbst einzubeziehen und innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken zu identifizieren." Aber obwohl Werkzeuge wichtig sind, reichen sie nicht aus. Kein Tool wird jemals vollständig ausschließen können, dass ein Einzelner die eingerichteten Systeme und Tools irgendwie ignoriert, missversteht, missbraucht oder anderweitig umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den menschlichen Faktor ausnutzen und Entwickler dazu ermutigen, bereitwillige Sicherheitsbefürworter und -praktiker zu werden.

Die jüngste Cybersecurity Executive Order der Biden-Administration hat die Sicherheitsbranche sicherlich ins Gerede gebracht, insbesondere diejenigen, die Entwickler für die Bedeutung der Anwendung von Best Practices für sichere Codierung bei ihrer täglichen Arbeit gewinnen wollen. Zum ersten Mal müssen Entwickler, die an Software arbeiten, die von der Bundesregierung eingesetzt wird, über nachgewiesene Sicherheitskompetenzen verfügen und sich an neue, weiterentwickelte Richtlinien halten.

Dies stellt eine positive Veränderung des Status quo in der Cyberverteidigung dar und macht endlich die adäquate Weiterbildung von Entwicklern zum Bestandteil des Gesprächs. Obwohl diese Richtlinien auf die US-Regierung ausgerichtet sind, bieten sie eine globale Gelegenheit für Organisationen, sich mit den aktuellen Sicherheitsstandards zu befassen und diese zu verbessern - von Entwicklern bis hin zur Sicherheitsanalyse von Software-Lieferketten. 

Das NIST hat kürzlich die Öffentlichkeit um Kommentare gebeten, um die nächsten Aktualisierungen der HIPAA-Gesetzgebung zu informieren, und dies war eine unübersehbare Gelegenheit für uns, unsere Firmenexpertise in Positionspapieren zu bündeln, die dazu beitragen können, einen sichereren und effektiveren, von Menschen geleiteten Ansatz für die Cybersicherheit zu entwickeln, der Organisationen dabei hilft, ihre Teams für bessere Ergebnisse einzusetzen. 

Als expertengetriebene Organisation haben wir das Glück, dass einige der engagiertesten und versiertesten Cybersecurity-Experten mit uns zusammenarbeiten, darunter der Doktorand Pieter de Cremer und Dr. Brian Chess, der Teil unseres Technical Advisory Board ist. Wir drei haben unsere Köpfe zusammengesteckt, um formell Positionspapiere bei NIST einzureichen, in denen wir Wege aufzeigen, wie unser Ansatz für die Fortbildung von Entwicklern und präventive Sicherheit in der Softwareerstellungsphase die zukünftigen Cybersicherheitsstandards positiv beeinflussen könnte. 

Ein sicherer Entwicklungspfad, geebnet für Entwickler

Tools zum Scannen von Schwachstellen, Monitoring und andere Formen der Sicherheitsautomatisierung werden immer häufiger eingesetzt, und sie sind sowohl in der neuen Executive Order als auch in den NIST-Richtlinien enthalten. Sie sind ein immer wichtigerer Bestandteil eines modernen Sicherheitsprogramms, aber die Geschichte und die Gegenwart zeigen, dass insbesondere Scanning-Tools zwar mit immer größerer Effizienz Schwachstellen in Software finden, dies allein aber keinen Effekt auf deren Reduzierung oder gar eine Verbesserung der Sicherheit von Anfang an hat. 

Ein schwerfälliger Tech-Stack, der ablenkt und den Arbeitsablauf von Entwicklern verlangsamt, ist einer der Hauptgründe dafür, dass sich Entwickler nicht mit Sicherheit beschäftigen und sie in einem negativen Licht sehen. Hätten Entwickler jedoch einen geebneten Weg zur sicheren Entwicklung, der nicht nur an die Technologie, sondern auch an Sprachen, Frameworks und projektspezifische Entwicklungsziele angepasst ist, dann wäre die Einbettung von Sicherheit in den Entwicklungsprozess von Anfang an - mit so wenig Unterbrechung ihrer Produktivität wie möglich - ein Ideal, das im Laufe der Zeit zu einer signifikanten Verringerung der gängigen Schwachstellen führen würde. 

Um unser NIST-Positionspapier vollständig zu lesen, laden Sie es jetzt herunter:

Zertifizierungsrahmen für sichere Entwicklungspraktiken: Das (derzeit) fehlende Glied

Bis heute gibt es keine formale Zertifizierung zur Verifizierung von sicheren Codierungsfähigkeiten und Best Practices. Dies ist seit langem ein Versäumnis der Branche, und wir sind der Meinung, dass dies für die Zukunft einer verbesserten Cyberabwehr und sicheren Entwicklung unerlässlich ist. 

Wir wissen, dass es viele Formen von Sicherheitstrainings gibt, die auf Entwickler abzielen, aber wenn die Menge an groß angelegten Datenschutzverletzungen, Cyberangriffen und minderwertigem Code, die es da draußen gibt, irgendein Anzeichen dafür ist, dann werden keine sicherheitsbewussten Entwickler geschaffen und sie werden nicht mit dem Wissen ausgestattet, um eine Delle in ein Problem zu machen, das nur noch schlimmer wird. 

Die Weiterbildung von Entwicklern erfordert Tools und Schulungen, die für die tägliche Arbeit relevant, kontextbezogen und mundgerecht (aber dennoch häufig) sind und es ihnen ermöglichen, auf dem vorhandenen Wissen in den Sprachen und Frameworks aufzubauen, die sie tatsächlich verwenden. Allgemeine Schulungen reichen nicht aus, und dies muss in der Gesetzgebung und in Branchengremien wie dem NIST deutlich gemacht werden. 

Das NICE-Framework ist mehr als geeignet, um umfassende Zertifizierungsrichtlinien zu erstellen, die aktiv Methoden verwenden, die funktionieren und die für Entwickler und ihre Arbeit von größtem Interesse und Relevanz sind. Die Ausrichtung an diesem anerkannten institutionellen Rahmen hilft dabei, Praktiken zu standardisieren, die wirklich einen Unterschied machen, und bietet konkretere Wege für Organisationen, denen sie folgen können.

Um unser zweites NIST-Positionspapier vollständig zu lesen, laden Sie es jetzt herunter:

Der Faktor Mensch wird bei der Cybersicherheit oft vergessen, und es ist an der Zeit, dass wir auf menschliche Lösungen für menschliche Probleme wie wiederkehrende allgemeine Sicherheitslücken hinarbeiten. Jahrzehnte alte Bugs sollten uns nicht mehr in die Quere kommen, aber es braucht die Unterstützung von globalen Regierungen, um den Status quo zu ändern und messbare, positive Auswirkungen zu erzielen.

Sind Sie bereit, Ihre Entwickler zu zertifizieren? Dann sind Sie bei uns genau richtig. Schauen Sie sich unser Learning Platform heute.

Wir haben uns kürzlich mit Dimitri Vanderhaeghe, Software-Ingenieur bei Selligent Marketing Cloud, einer hochintegrierten, KI-gesteuerten Omnichannel-Marketing-Automatisierungsplattform, zusammengesetzt, die es ambitionierten B2C-Marketern ermöglicht, jeden Moment der Interaktion mit den vernetzten Konsumenten von heute zu maximieren. Für Selligent, ein schnelllebiges B2C-Technologie-Unternehmen, ist es wichtig, zu skalieren und die wachsenden Anforderungen des Marktes zu erfüllen. Ein Teil der Fähigkeit, diese Anforderungen zu erfüllen, ist ein Schwerpunkt auf Cybersecurity und vor allem ein von Entwicklern geführtes, sicherheitsrelevantes Programm. 

Warum ist Cybersicherheit entscheidend für die Skalierung Ihres Unternehmens? 

Eine starke Sicherheitsstrategie muss ganz oben auf der Agenda Ihres Unternehmens stehen, wenn Sie Ihr Geschäft skalieren wollen, da Sie sich sonst für Schwachstellen offen halten. Alle 39 Sekunden findet ein Angriff auf die Cybersicherheit statt, und die Kosten eines Angriffs auf Ihr Unternehmen können finanziell nachteilig sein und Ihren Ruf ruinieren. Wir müssen uns nur den Equifax-Hack im Jahr 2017 als Paradebeispiel ansehen, als ihr CEO zurücktrat und deutlich machte, dass der Hack der Grund dafür war. 

Allerdings muss Cybersicherheit zu einer gemeinsamen Verantwortung werden, um zu skalieren, insbesondere innerhalb Ihrer Entwicklergemeinschaft, wie Dimitri erklärt:

"Der wichtigste Grund, Ingenieure zu schulen, ist die Skalierbarkeit, denn wir haben ein großes Produkt, an dem fast 60 Ingenieure arbeiten. Wenn sie sich nicht um die Sicherheit kümmern, kommen alle Schwachstellenscans zu den Sicherheitsspezialisten zurück."

Wie schaffen Sie eine entwicklergeführte Sicherheitskultur?

Dimitri und das Selligent-Team scheinen eine entwicklergeführte Sicherheitskultur geknackt zu haben, aber aus unserer jüngsten Umfrage geht hervor, dass nur 15% der Entwickler Sicherheit als die Verantwortung aller in ihrer Organisation sehen. Also, wie fangen Sie links an und schaffen eine Entwickler-geführte Sicherheitskultur?

Dimitri führt dies auf eine Steigerung des Sicherheitsbewusstseins zurück, das durch Secure Code Warrior® 's learning platform erzeugt wurde, um ihre Entwickler weiterzubilden. Dimitri sagt, dass sie ohne die Plattform Schwierigkeiten gehabt hätten, ein Sicherheitsbewusstsein zu schaffen. Das Ergebnis ist, dass die Entwickler bei der Erstellung von Code das Thema Sicherheit ganz oben auf der Agenda haben. 

Ein weiterer wichtiger Aspekt bei der Schaffung einer von Entwicklern geprägten Sicherheitskultur ist die Relevanz der Schulungen. Unsere kürzlich durchgeführte Studie hat auch gezeigt, dass 40 % der Entwickler sagen, dass die Schulungen nicht praxisnah sind und 30 % sagen, dass sie auch nicht relevant sind. Dimitri merkt an, dass die Granularität und der reale Charakter von Secure Code Warrior® tournaments den Unterschied ausmachen. Der Spaß- und Wettbewerbscharakter der Plattform führt auch zu engagierteren und bewussteren Entwicklern. 

Wie Dimitri betont, fällt ohne Bewusstsein die Last der Cybersicherheit auf die Sicherheitsspezialisten zurück, was einfach nicht skalierbar ist. Die Antwort liegt darin, Ihr Unternehmen und Ihre Produkte effektiv zu skalieren, um sicherzustellen, dass Sie vor Software-Schwachstellen geschützt sind, indem Sie sich auf die kontextbezogene Schulung Ihrer Entwicklergemeinschaft mit einem von Entwicklern geleiteten Sicherheitsprogramm konzentrieren. 

‍
Secure Code Warrior kann Ihrer Organisation genau das bieten. Sind Sie an einer Demo interessiert? Buchen Sie unten eine. 

‍

Was ist das für eine ernüchternde Statistik? 60 % der KMUs sind innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff nicht mehr im Geschäft*. Großkonzerne verlieren Millionen (oder Milliarden!), während der Ruf der Marke leidet. Da Unternehmen zunehmend sichere Kodierungspraktiken anwenden, findet eine "Linksverschiebung" statt. Mit dem Aufkommen von DevSecOps rückt sicherer Code bereits zu Beginn des SDLC in den Mittelpunkt. Um die Auswirkungen dieses Trends in der Praxis zu untersuchen, hat Secure Code Warrior zusammen mit Evans Data Corp*** eine aktuelle Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen in Auftrag gegeben.

Shifting Left - eine Verschiebung auf vielen Ebenen  

Da Unternehmen erkennen, dass es 30-mal teurer ist, Schwachstellen im Nachhinein zu beheben, sind präventive Maßnahmen zum neuen Goldstandard* geworden. Aber damit solche Maßnahmen effektiv sind, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. 

Shift One - wer ist jetzt verantwortlich?

Mit dem Aufkommen von DevSecOps setzen Unternehmen auf sichere Kodierungspraktiken. Eine der ersten Verschiebungen, die unsere Studie aufzeigte, ist die Verlagerung der Verantwortung für die Codesicherheit auf die operative Ebene. 

Als wir Entwickler und Entwicklungsleiter fragten, "wer sollte die letztendliche Verantwortung für die Codesicherheit haben?", sagten 46 %, dass der Projekt-/Teamleiter - fast doppelt so viele wie diejenigen, die sagten, dass die Verantwortung beim Anwendungssicherheitsteam bleiben sollte. 

Dies ist ein deutlicher Hinweis auf eine Verlagerung der Sicherheitsverantwortung weg von den traditionellen Anwendungssicherheitsteams hin zu den Leitern der Entwicklungsteams.

Schicht zwei - Die sich verändernden Rollen von Managern  

Der Druck, Secure Code Training zu implementieren, kommt aus mehreren Richtungen auf die Manager zu. 

41 % geben an, dass die organisatorische Notwendigkeit für die Schulung in sicherem Code von der obersten Führungsebene ausgeht. Auch die zunehmenden Anforderungen an die Einhaltung von Vorschriften spielen eine Rolle. 

Manager spielen eine entscheidende Rolle bei der Unterstützung des Übergangs von der traditionellen Entwicklung zu DevSecOps und entwickeln sich zu wichtigen Entscheidungsträgern für Schulungen und Tooling-Kaufentscheidungen.

Schicht drei - Entwickler treten auf

Wir sehen aber auch, dass der Druck zur Veränderung von unten nach oben sprudelt; 24 % der Manager geben an, dass sie sichere Coding-Praktiken aufgrund von Vorschlägen und Empfehlungen ihrer Entwickler implementieren. Dieser Punkt unterstreicht die zunehmend wichtige Rolle der Entwickler als Mitwirkende an den Sicherheitsprogrammen ihrer Unternehmen. Der Wechsel zu DevSecOps mit seiner neuen Betonung von präventiven sicheren Kodierungspraktiken versetzt Entwickler in die Rolle der "ersten Verteidigungslinie".

Schicht Vier - Verbesserte Teamdynamik  

Die Implementierung sicherer Code-Praktiken hat nicht nur einen wesentlichen Einfluss auf die Softwarequalität, sondern verändert auch die Art und Weise, wie Teams zusammenarbeiten, zum Besseren. 60 % der befragten Entwickler sind der Meinung, dass der Einsatz sicherer Code-Praktiken ihre Kommunikation mit anderen Entwicklern verbessert hat - aber das ist noch nicht der einzige Vorteil. 

Die Hälfte aller befragten Entwickler und Manager stimmte zu, dass sichere Coding-Praktiken zu mehr Zusammenarbeit zwischen Entwicklern und ihren Führungskräften führten. 46 % gaben an, dass die Zusammenarbeit zwischen Entwicklern und Stakeholdern verbessert wurde. Gleichzeitig wiesen 41 % auf mehr Zusammenarbeit zwischen Führungskräften und Stakeholdern hin.

DevSecOps bringt Teams, Führungskräfte und Stakeholder auf neue Weise zusammen und verbessert die Zusammenarbeit über verschiedene Rollen und Phasen des Softwareentwicklungslebenszyklus hinweg. 

62 % der befragten Manager geben an, dass sichere Code-Praktiken dazu beitragen, die Geschwindigkeit von Code-Releases zu erhöhen. Diese eine Tatsache in Kombination mit all den anderen Veränderungen zeigt die klaren Vorteile eines DevOps-Ansatzes auf. Aber, wie bereits in diesem Artikel erwähnt, müssen alle Beteiligten des SDLCs sicherheitsbewusst sein, damit solche Maßnahmen wirksam sind. Diese Erkenntnis hat entscheidende Auswirkungen darauf, wie Unternehmen ihre Entwickler schulen. Teams müssen sich über kürzlich identifizierte Schwachstellen informieren und in der spezifischen Sprache:Frameworks lernen, in der sie programmieren. Kurz gesagt, sie müssen verstehen, wie sie bekannte Schwachstellen im Code in dem Kontext finden, identifizieren und beheben können, in dem sie jeden Tag arbeiten. Eine solche Schulung macht Ihre Teams von der ersten Risikolinie zur ersten Verteidigungslinie.  

Als Verfechter des Wandels in der sicheren Kodierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Ihre Organisation dabei zu unterstützen, einen "shift left" zu vollziehen - und Ihren gesamten Sicherheitsansatz von reaktiv auf proaktiv umzustellen.

Wenn Sie mehr über das praxisnahe, hochgradig ansprechende und bewährte Secure Code Training erfahren möchten, das die Bedürfnisse von Managern, Entwicklern und der Organisation in Einklang bringt, um eine DevSecOps-Zukunft zu erreichen, buchen Sie jetzt eine Demo.

‍

*60 Prozent der kleinen Unternehmen schließen innerhalb von 6 Monaten, nachdem sie gehackt wurden.
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

***Wechselvon Reaktion zu Prävention: The changing face of application security 2021. Secure Code Warrior und Evans Data Corp.
https://scw.buzz/3169uzS

Abhängigkeiten flexibel managen

Die Scope-Funktionalität von Sensei war schon immer ein Favorit der Entwickler. Mit der Möglichkeit, den Anwendungsbereich eines Rezepts zu erweitern oder einzuschränken, konnten Entwicklungsteams die Verwendung des Rezepts an einzelne Projekte und Branchen innerhalb ihrer Organisationen anpassen - was den Entwicklern die Möglichkeit gab, ihre Erfahrung zu personalisieren.

Und verständlicherweise steht sie im Mittelpunkt der kontinuierlichen Innovationsprozesse von Sensei. Während eines Innovations-Brainstormings zur Erweiterung des "Scope" (ja, Wortspiel beabsichtigt) kam eine Frage auf: 

"Ich habe versucht, ein Rezept für ... zu erstellen, aber seit Version x hat das Framework die Funktion veraltet. Ich bin mir nicht sicher, ob es noch sinnvoll ist, ein Rezept zu erstellen. Was denken Sie?"

Natürlich ist dies nicht das erste Mal, dass wir gezögert haben, ein Rezept zu erstellen. Während das Rezept als Bereitstellung redundanter Informationen angesehen werden könnte, glauben wir, dass es wertvoll ist, etwas zu erstellen, das auf eine begrenzte Anzahl von Versionen der beteiligten Abhängigkeit anwendbar ist. Und deshalb haben wir den Library-Bereich erstellt.

Mit dem Bibliotheksumfang können wir prüfen, ob eine Abhängigkeit im Projekt vorhanden ist und Sensei Rezepte bedingt anwenden. Dies bietet große Flexibilität, wenn Teams durch Legacy-Code und Abhängigkeiten navigieren.

Viele von Ihnen kennen vielleicht den Bibliotheksbereich, der bereits unter Allgemeine Einstellungen verfügbar ist. Was ist das also, fragen Sie? Wir haben dafür gesorgt, dass der Bibliotheksbereich in YAML vorhanden ist, genau wie die Suche. Dies schafft ein besseres Benutzererlebnis und unterbricht nicht den Fluss beim Erstellen des Rezepts, bei dem Sie sonst zu den Allgemeinen Einstellungen und zurück navigieren müssten, um die Metadaten zu aktualisieren. Weitere dieser Scopes werden in YAML Einzug halten, aber wir haben mit dem Library Scope begonnen.

Lassen Sie uns also anhand eines Beispiels ein wenig tiefer in die Funktionsweise eintauchen.

Bibliotheksumfang, der auf hibernate-jpamodelgen angewendet wird

Stellen Sie sich den folgenden Fall vor: 

Wir möchten eine Spring Web REST-API erstellen, mit der wir einige Daten abfragen können. Gemäß den Best Practices erstellen wir ein Modell für die Entität, die wir abfragen wollen. Als Nächstes fügen wir eine Abhängigkeit zum Hibernate ORM hinzu, damit wir uns nicht mit der Datenbankstruktur herumschlagen müssen. Der ORM übernimmt das für uns. Außerdem müssen wir einen Dienst erstellen, der die Daten aus der Datenzugriffsschicht (CRUD-Repositories usw.) für den Controller bereitstellt. Schließlich erstellen wir die Controller-Klasse für unsere API, in der wir die zulässigen Abfragen als Endpunkte bereitstellen.

Um zu vermeiden, dass wir für jedes abfragbare Feld unterschiedliche Endpunkte bereitstellen müssen, entscheiden wir uns stattdessen für die Verwendung von JPA 2-Spezifikationen. Dazu erstellen wir eine Spezifikation im Controller aus der Anfrage-URL. Diese Spezifikation beschreibt, wie die Entitäten, nach denen wir suchen, aussehen sollen. In der Klasse `Specification` selbst implementieren wir die Methode `toPredicate`, um anzugeben, wie die Spezifikation validiert werden kann.

Aber wir stehen vor einem Problem in der Methode "toPredicate". Um das Prädikat zu konstruieren, müssen wir die Namen der zu vergleichenden Spalten in der Datenbank kennen. Da wir aber ein ORM verwenden, haben wir diese Spalten nicht in einem separaten Modell. Also kommt der JPA 2 Metamodel Generator() von Hibernate zur Rettung! Dieser hilft dabei, ein Metamodell für die Entitäten zu generieren, die wir angefordert haben. Diese Metamodelle ermöglichen es uns, die Spaltennamen als Eigenschaften zu referenzieren, anstatt sie hart zu kodieren.

Erstellen des Rezepts Sensei

Jetzt, wo wir die Metamodelle generiert haben, wollen wir sie sinnvoll einsetzen. Sensei kann jedem, der an dem Projekt arbeitet, helfen, indem es ihn daran erinnert, das Metamodell zu verwenden, und sicherstellt, dass die Spaltennamen nirgendwo hardcodiert sind. Lassen Sie uns das also in die Praxis umsetzen.

Zunächst werfen wir einen Blick auf die Methode `toPredicate`.

Dieses einfache Prädikat vergleicht nur den Namen unserer Entität. Wir können es mit "und"-Klauseln erweitern, aber für den Zweck dieses Rezepts ist diese "einfache" Prüfung ausreichend.

Für die Suchkomponente des Rezepts wollen wir die Methode `get()` des Root-Parameters aufrufen, also wählen wir die Option `methodcall` aus dem Dropdown. Als nächstes wollen wir die Suche auf einen Methodenaufruf mit dem Namen `get` beschränken, dessen Signatur in der Schnittstelle `Path` des Pakets `javax.persistence.criteria` deklariert ist. Da die Methode überladen wurde, müssen wir der Suche auch mitteilen, dass unser Rezept nur für die Variante gilt, die einen einzelnen String als Argument nimmt. Um das Problem mit den Spaltennamen im Code zu beheben, möchten wir stattdessen ein Argument vom Typ `SingularAttribute` verwenden, demselben Typ, der vom Metamodell-Generator bereitgestellt wird.

Das Rezept, das wir bisher erstellt haben, wird auf jeder Codebasis ausgelöst, die die JPA 2 `Path`-Schnittstelle verwendet, unabhängig davon, ob die Codebasis für die Verwendung des Hibernate Model Generator eingerichtet ist. Wenn diese Bibliothek im Projekt vorhanden ist, möchten wir dem Benutzer anzeigen, dass sie verwendet werden soll, also fügen wir dem Rezept einen Bibliotheksbereich hinzu.

Und schließlich ist unser Rezept nun fertig.

Mit diesem Rezept wird jedes Auftreten von `Path#get`, das einen String-Wert als Argument verwendet, gekennzeichnet. Wie Sie an dem hervorgehobenen Beispielcode im obigen Screenshot erkennen können, funktioniert dieses Rezept auch dann, wenn der literale Name des Spaltennamens in einer Zwischenvariablen gespeichert ist.

Hinweis - Wir können den Bibliotheksbereich auch invertieren, um den Fall zu behandeln, dass die Bibliothek nicht verfügbar ist, indem wir dem Bereich eine "not"-Klausel voranstellen.

Fazit

Wie wir im obigen Beispiel gesehen haben, können wir mit dieser neuen Funktion nützlichere Rezepte erstellen, indem wir sie basierend auf dem Vorhandensein von Abhängigkeiten im Projekt anwenden. Um die Leistungsfähigkeit noch weiter zu erhöhen, haben wir mehr Optionen als im Beispiel gezeigt aufgenommen, wie z. B. nicht nur zu prüfen, ob die Abhängigkeit vorhanden ist, sondern auch Bedingungen auf die spezifische Version der Abhängigkeit anzuwenden. 

Die Hauptanwendungsfälle, die wir für diese Funktion sehen, sind das Verhindern, dass Rezepte doppelte Informationen bereitstellen, das Erkennen von Problemen im Zusammenhang mit bestimmten Versionen von Abhängigkeiten, aber auch die Durchführung von Migrationen von einer Abhängigkeitsversion zur nächsten. Wir freuen uns darauf, von Ihnen zu hören, welche Anwendungen Sie für diese Funktion sehen.

Wie bei allen Funktionen von Sensei finden Sie weitere Informationen über den Umfang der Bibliothek in der Referenzdokumentation.

Laut einer IBM-Studie ist es dreißigmal teurer, Schwachstellen nach der Veröffentlichung zu beheben, als sie zunächst zu finden und zu beheben. Vor diesem Hintergrund ist es nicht überraschend, dass vorausschauende CIOs sichere Coding-Praktiken implementieren. Das bedeutet, dass Entwickler geschult und ausgerüstet werden, um von Anfang an sichereren Code zu schreiben - und damit die erste Verteidigungslinie" ihres Unternehmens zu bilden. Um die tatsächlichen Auswirkungen dieses Trends zu messen, hat Secure Code Warrior in Zusammenarbeit mit Evans Data Corp* eine aktuelle Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen in Auftrag gegeben. Diese Untersuchung zeigt, dass die Implementierung von sicheren Code-Praktiken für Unternehmen an verschiedenen Fronten transformativ ist. Laden Sie Ihr Exemplar des Whitepapers hier.

Sicheres Kodieren mit mehr Selbstvertrauen und Achtsamkeit

Zweifelsohne steigert die Implementierung von sicheren Codierungspraktiken das Sicherheitsbewusstsein von Entwicklern in einer Weise, die ihren Arbeitgebern zugutekommt. Unsere Studie zeigt, dass 55 % der Entwickler sagen, dass eine gute Schulung ihr Vertrauen in ihre Codierungstechniken gestärkt hat, und 53 % gaben an, dass eine gute Schulung es ihnen ermöglicht hat, beim Debuggen und Testen ihres eigenen Codes vorsichtiger zu sein. Ebenfalls 53 % sind der Meinung, dass sie beim Schreiben von Code mehr auf die Sicherheit geachtet haben.

Was sagt uns das? Es sagt uns, dass Entwickler mit ein wenig Fortbildung zu Ihrer ersten Verteidigungslinie werden können.

Klügere Werkzeugauswahl + erhöhte Freigabegeschwindigkeit

Als wir Manager zu den Auswirkungen von Secure Code-Schulungen befragten, spiegelten ihre Perspektiven ihre Verantwortlichkeiten als Manager wider. 43 % der Manager stimmten zu, dass die Schulung zu sicherem Code dazu beigetragen hat, dass ihr Unternehmen beim Debuggen und Testen des Codes sorgfältiger geworden ist. 47 % gaben an, dass eine gute Schulung es ihnen ermöglicht hat, bei der Auswahl von Werkzeugen, die mehr Sicherheit bieten, wählerischer zu sein. Aber vielleicht am wichtigsten ist, dass 44 % angaben, dass Schulungen und Techniken für sicheren Code dazu beigetragen haben, Zeit zu sparen und Software-Releases zu beschleunigen - ein wesentlicher Vorteil, wenn es um die Geschwindigkeit der Markteinführung geht.

Gesteigerte Produktivität auf der ganzen Linie

Als wir die Entwickler fragten, wie sichere Kodierung die Produktivität verbessert hat, war mehr als die Hälfte der Meinung, dass sie sowohl die Qualität der Kodierung als auch des App-Designs verbessert hat.  

63 % gaben an, dass es die Nacharbeit reduziert, indem es wiederkehrende Schwachstellen verhindert. 70 % gaben an, dass es geholfen hat, Fehler zu beseitigen, die zu Nacharbeit oder Patches führen. 56 % geben an, dass es die Produktivität beim Debuggen und Testen verbessert hat. Wir können sehen, dass der Wandel in mehreren Phasen des Lebenszyklus der Softwareentwicklung stattfindet.

Teamdynamik und Codequalität

Sichere Codepraktiken haben auch Auswirkungen auf die Teamdynamik. Auch wenn die Entwickler individuell lernen, sicherer zu programmieren, existiert ihr Code nicht in einem Vakuum. Ihr Code ist oft von der Arbeit anderer abhängig und umgekehrt. Die Implementierung von Praktiken für sicheren Code veranlasst Entwickler dazu, Wissen über sicheren Code zu teilen und zu suchen, was zu einer besseren Kommunikation zwischen Entwicklern, Entwicklern und Management sowie dem Entwicklungsteam und seinen Stakeholdern führt.

• 60 % der befragten Entwickler sind der Meinung, dass der Einsatz von sicheren Code-Praktiken ihre Kommunikation mit anderen Entwicklern verbessert hat
• 45% sagen, dass der Kontakt mit dem Management zugenommen hat.

Diese Meinung wird auch von Managern geteilt, wenn auch aus einer anderen Perspektive. 62 % der befragten Manager geben an, dass sie durch sichere Code-Praktiken mehr Zeit für die Verwaltung von Mitarbeitern aufwenden müssen und die Geschwindigkeit von Code-Releases erhöhen.

Für Unternehmen, die sichere Code-Praktiken implementieren, hat die verstärkte Kommunikation einen transformativen Einfluss auf die Teamdynamik und wirkt sich positiv auf die Code-Qualität und die Markteinführungsgeschwindigkeit aus.

Umstellung von reaktiv auf präventiv

Schließlich wirkt sich sicherer Code auf die Art und Weise aus, wie Entwickler und Entwicklungsleiter Sicherheitsmaßnahmen und die dazugehörigen Metriken anwenden.

Heute verlassen sich 81 % der Unternehmen immer noch auf reaktive Metriken wie Fehlerzählungen und Scanner-Metriken, um die Sicherheitsqualität zu bestimmen.

Aber diese reaktiven Aktivitäten werden zunehmend durch proaktive oder präventive Metriken ergänzt oder weichen diesen. 67 % der Unternehmen messen jetzt das Bewusstsein der Entwickler für die OWASP Top 10 als Kennzahl für die Sicherheitsbereitschaft. Andere proaktive Metriken, die zunehmend verwendet werden, sind:

• Messung der Entwicklerkompetenz rund um die Anwendungssicherheit
• Verwendung eines vordefinierten Codes
• Einhaltung der regulatorischen Anforderungen.

90 % der Entwickler achten inzwischen auf diese vorbeugenden Maßnahmen. Aber obwohl das Bewusstsein und die Umsetzung der sicheren Kodierungspraxis wachsen, ist es noch ein weiter Weg, um das volle Potenzial auszuschöpfen.

Wie geht es jetzt weiter?

Als Verfechter des Wandels in der sicheren Kodierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Ihre Entwickler in Ihre erste Verteidigungslinie zu verwandeln - und Ihren gesamten Sicherheitsansatz von reaktiv zu proaktiv. Unser bewährtes learning platform bietet kontextbezogene, praxisnahe Schulung in 52 sprach:framework-spezifischen Kategorien, mit Herausforderungen, die diejenigen nachahmen, denen Entwickler in der realen Welt gegenüberstehen. Wir wissen aus eigener Erfahrung, dass Entwickler die Learning-by-Doing-Methode dem mühsamen theoriebasierten statischen Lernen vorziehen. Wenn Sie sehen möchten, welche transformativen Auswirkungen dies auf Ihre Teams und deren Fähigkeit, qualitativ hochwertigen Code zu liefern, haben kann, buchen Sie jetzt eine Demo.

‍

*Der Wechsel von der Reaktion zur Prävention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
1. IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Cost - https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

‍

Eine neue Studie erforscht die Vorteile eines hochwertigen Sicherheitstrainings. 

Was sind die potenziellen Auswirkungen einer qualitativ hochwertigen Secure-Code-Schulung für Ihr Unternehmen - und könnte es eine lohnende Investition sein? Um einige Antworten zu finden, schauen wir uns einige Erkenntnisse aus einer aktuellen Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen an, die von Secure Code Warrior mit Evans Data Corp* durchgeführt wurde.

Als Entwickler und ihre Manager gefragt wurden, wie die Schulung die Art und Weise, wie sie programmieren, verändert hat, antwortete jede Kohorte etwas anders. Diese Unterschiede entsprachen der Art und Weise, wie sie ihre Arbeit und ihre Rolle innerhalb des Lebenszyklus der Softwareentwicklung angehen. Insgesamt zeigt sich jedoch, dass die Auswirkungen von Schulungen zu sicherem Code überwältigend positiv sind. 

55 % der Entwickler gaben an, dass eine gute Schulung ihr Vertrauen in ihre Codierungstechniken gestärkt hat, während 53 % sagten, dass eine gute Schulung ihnen erlaubt hat, beim Debuggen und Testen ihres eigenen Codes vorsichtiger zu sein. 

Am wichtigsten ist, dass 53 % der Meinung sind, dass sie beim Schreiben ihres Codes mehr auf die Sicherheit achten - was zu weniger Schwachstellen und weniger Nacharbeit führt. 

Manager erreichen schnellere Software-Releases

Während 43 % der Manager der Meinung sind, dass das Training für sicheren Code dazu beigetragen hat, dass ihr Unternehmen beim Debuggen und Testen des Codes vorsichtiger geworden ist, spiegeln die beiden wichtigsten Änderungen die Verantwortlichkeiten der Manager wider. 47 % gaben an, dass eine gute Schulung es ihnen ermöglicht hat, bei der Auswahl von Werkzeugen, die mehr Sicherheit bieten, wählerischer zu sein. Während 44 % angaben, dass Schulungen und Techniken für sicheren Code dazu beigetragen haben, Zeit zu sparen und Software-Releases zu beschleunigen.

Der Einfluss von Secure Coding auf die Produktivität

Wenn es um die Steigerung der Produktivität geht, können sichere Kodierungspraktiken einen starken Effekt haben. Auf die Frage, wie sichere Kodierung zur Produktivitätssteigerung beitragen könnte, gaben mehr als 63 % der Entwickler an, dass das Schreiben von sicherem/qualitativem Code Nacharbeiten reduziert, indem es wiederkehrende Schwachstellen verhindert. 70 % der Entwickler gaben an, dass Qualitätsschulungen Fehler beseitigen könnten, die später Nacharbeiten oder Patches verursachen. 

Der Einfluss von Secure Coding auf den Entwicklungslebenszyklus

Wenn Entwickler und ihre Manager sichere Coding-Praktiken in ihre Entwicklungslebenszyklen integrieren, können die realen Auswirkungen ihrer Schulung gemessen werden. 

Es scheint, dass Verbesserungen über alle Bereiche hinweg fließen und die Produktivität gleich zu Beginn des SDLC verbessern. Mehr als die Hälfte aller befragten Entwickler geben an, dass eine gute Schulung die Produktivität in den Bereichen Anwendungsdesign, Codierung sowie Debug & Testing verbessert hat.

Die Debug- und Testphase ist davon am stärksten betroffen. 56 % der Entwickler geben an, dass sie mit diesen Aktivitäten produktiver geworden sind. Während bessere Scan- und Test-Tools diese Phase der Entwicklung verkürzt haben könnten, fördern sichere Kodierungspraktiken die Verwendung und Wiederverwendung von geprüftem Code, der nachweislich keine Code-Schwachstellen aufweist, sowie einen sicherheitsorientierten Ansatz bei der Entwicklung von Anwendungen. Indem sie mit ihrer Herangehensweise an die Sicherheit "links" des Entwicklungslebenszyklus beginnen, können Entwickler in der Debug-Phase Zeit sparen.

Das Deployment, das weiter unten liegt, ist weniger betroffen, obwohl 44 % der Entwickler angeben, dass sie auch beim Deployment produktiver geworden sind. Dies ist ein Ergebnis der erhöhten Release-Geschwindigkeit, die mit sicheren Kodierungspraktiken verbunden ist.

Ein bewährter Weg zu besserem Training

Es besteht kein Zweifel, dass ein qualitativ hochwertiges Secure Code Training viele Vorteile bietet. Die Frage ist nur, wie Sie die Qualität von Secure-Code-Schulungen beurteilen können. 

Um die Antwort zu finden, haben wir Entwickler gefragt, was sie sich wünschen. 75 % der Entwickler bevorzugen ein strukturiertes On-the-Job-Training. Sie bevorzugen die Learning-by-Doing-Methode gegenüber der Plackerei des theoriebasierten statischen Lernens. Entwickler sind an vorderster Front dabei, wenn es darum geht, Schwachstellen zu beseitigen. Daher wollen sie ein Training, das sich auf praktische Anwendungen konzentriert - etwas, das den meisten aktuellen Trainingsprogrammen fehlt.

Als Verfechter des Wandels in der sicheren Codierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Ihnen zu helfen, eine menschengeführte Verteidigung zu schaffen. Unser bewährtes learning platform liefert kontextbezogene, praxisnahe Schulungsinhalte für mehr als 50 Sprachen:Frameworks, mit Herausforderungen, die denen entsprechen, mit denen Entwickler in der realen Welt konfrontiert sind. All das reduziert die Kosten und die Zeit bis zur Veröffentlichung, indem Schwachstellen verhindert werden, bevor sie zu den Nachrichten von morgen werden.

Wenn Sie die möglichen Auswirkungen auf Ihre Teams und deren Fähigkeit, sicheren Code schneller zu liefern, sehen möchten, buchen Sie jetzt eine Demo.