Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.

Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.

Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.

Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.

'Tick-the-box' ist vom Tisch. 

Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen. 

In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:

‍

"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”

Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann. 

Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann. 

‍

Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).

Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein. 

Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.

Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:

‍

"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”

Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann. 

Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht. 

‍

Absicherung der Lieferkette.

Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:

"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”

Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.

Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.

‍

In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

• 76 % nominierte Anwendungsleistung 
• 62% wählten Features und Funktionalität
• Und etwas mehr als 50% wählten sicheren Code
  

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

Unsicherer Code kostet Unternehmen Millionen - was also steht der Einführung sicherer Codierungspraktiken im Weg? 

In einer Welt, die sich für fast alles auf Software verlässt, ist es entscheidend, dass der Code sicher ist. Die Reputation von Marken und die finanzielle Lebensfähigkeit hängen davon ab. Dennoch gibt es viele Bedenken in Bezug auf sichere Programmierung - und viele Hindernisse für ihre vollständige und effektive Einführung. Mehr als je zuvor ist eine neue Arbeitsweise erforderlich. Daher hat Secure Code Warrior in Zusammenarbeit mit Evans Data Corp. im Jahr 2020 eine Primärstudie* über die Einstellung von Entwicklern und ihren Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt (Whitepaper herunterladen hier).

Momentan fälltes Unternehmen schwer, sichere Code-Praktiken zu implementieren. Sowohl Entwickler als auch Manager empfinden den Umgang mit Schwachstellen und die Verantwortlichkeit für den Code als besonders besorgniserregend.

Es besteht eindeutig ein Bedarf an besserem Training und einem Programm, das sichere Code-Praktiken unterstützt. Dieser Bedarf wird deutlich, wenn wir Entwickler und ihre Manager nach ihren Bedenken bezüglich sicherer Codierung fragen. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben. Aber aufgrund ihrer unterschiedlichen Rollen unterscheiden sie sich darin, welche dieser Bedenken am dringendsten sind.  

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Das Einhalten von Terminen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was einmal mehr die Notwendigkeit eines neuen Ansatzes für Schulungen zu sicherem Code widerspiegelt. 

Manager hingegen nehmen eher eine Top-Down-Sicht ein. 

Als Teammanager und -leiter ist es ihr wichtigstes Anliegen, für den Code verantwortlich zu sein. Wenn ein Team lausigen Code produziert, liegt die Verantwortung beim Manager. 

Code, der frühere Schwachstellen wiederholt, steht an zweiter Stelle. An dritter Stelle steht die Tatsache, dass der Lernprozess eine Herausforderung darstellt. Da die derzeitigen Schulungskonzepte für sicheren Code nicht ausreichen, erkennen die Manager, dass ein neuer Ansatz erforderlich ist.

Hindernisse bei der Einführung sicherer Kodierungspraktiken

Als wir Manager nach den Hindernissen für die Einführung von sicheren Kodierungspraktiken in ihren Unternehmen fragten, stachen zwei Dinge laut und deutlich hervor: Kommunikation und Schulung. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als ein wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Codierungskenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen. 

Es gibt prozess- und personalbezogene Hindernisse für die erfolgreiche Einführung von Secure Code-Praktiken in Unternehmen. 

Aber Sie können trotz solcher hartnäckigen Probleme Fortschritte machen. Der Mangel an sicheren Programmierkenntnissen bei Neueinstellungen und unzureichende Schulungen und Ressourcen sind leichter zu beheben. 

Entwickler stehen an der vordersten Front, wenn es darum geht, Schwachstellen zu stoppen. Aber erhalten sie die Unterstützung, die Tools und das Training, um ihren Teil der Sicherheitsvereinbarung einzuhalten?

Basierend auf ihren Bedenken ist die kurze Antwort "Nein". 

Die Wahrheit ist, dass sich das richtige Training nicht wie ein Vortrag anfühlen sollte. 

Als Verfechter des Wandels in der sicheren Kodierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, der Entwickler aktiv einbindet, um ihre sicheren Kodierungsfähigkeiten zu erlernen und auszubauen. Unser bewährtes Learning Platform bietet Entwicklungs- und Sicherheitsteams kontextbezogenes und hyper-relevantes Lernen innerhalb ihres bevorzugten Workflows. Es versetzt sie nicht nur in die Lage, Schwachstellen zu finden, sondern auch zu verhindern, dass diese überhaupt erst entstehen.

Diese Art von praktischem Training ist eine Möglichkeit, sich weiterzubilden - ein Karriereschritt, der nur Vorteile für Entwickler hat, die es ernst damit meinen, Schwachstellen zu beseitigen und mit dem Rest des Teams zusammenzuarbeiten, um einen höheren Standard des Codes zu produzieren.

Wenn Sie mehr erfahren möchten - und die potenziellen Auswirkungen auf die Fähigkeit Ihrer Teams sehen möchten, "links" zu starten und sicheren Code schneller auszuliefern, ohne die Sicherheit zu gefährden, jetzt eine Demo buchen.

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

Im Moment sind nur 15 % der Entwickler der Meinung, dass sichere Code-Praktiken in der Verantwortung eines jeden liegen sollten. In einer Welt zunehmender Sicherheitsbedrohungen ist das einfach nicht gut genug. Es muss etwas getan werden. Ein Schlüssel zur Schaffung einer gesunden AppSec-Kultur ist das Verständnis der wichtigsten Einflüsse (und Beeinflusser!) im Spiel. Daher hat Secure Code Warrior im Jahr 2020 zusammen mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

Wenn es um die lebenswichtige Übernahme von sicheren Kodierungspraktiken geht, haben bestimmte Rollen einen wachsenden Einfluss und eine Stimme, die dazu beitragen kann, andere zu zwingen, zu lernen und Best Practices zu übernehmen. 

Der erste ist der Entwicklungsleiter, der AppSec-averse Entwickler zu einem sicheren Coding-Mindset überredet. Entwicklungsmanager sind sich bewusst, dass sie und ihre Teams ihre Fähigkeiten im Bereich der sicheren Programmierung erweitern und verbessern müssen. 42 % der befragten Manager beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen.

Der zweite ist der "Sicherheits-Champion". Während die meisten Entwickler Sicherheit immer noch als die Verantwortung von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich für sichere Kodierung einsetzt und diese gegenüber ihren Kollegen vertritt. 25 % der befragten Entwickler stimmen zu, dass es "Go-to-Leute" gibt, die den Wechsel zu sicherem Coding anführen.

Auch wenn es sich bei diesen Champions vielleicht nur um einen Entwickler oder einen leitenden Entwickler handelt, können sie einen großen Einfluss darauf haben, dass ein Unternehmen eine proaktive Sicherheitshaltung einnimmt.

Aber lassen Sie uns zunächst einen Blick auf die Rolle des Entwicklungsleiters in diesem Zusammenhang werfen. 

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten.  

• 67 % bieten Entwicklern das Potenzial für mehr Verantwortung als Anerkennung für das Erlernen sicherer Codierungspraktiken. 
• 47 % geben an, dass sie das Potenzial für eine höhere Vergütung bieten. 

Viele Manager legen bei der Einstellung neuer Entwickler großen Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

Es ist klar, dass auf organisatorischer Ebene die Entwicklungsleiter die entscheidenden Treiber für die Einführung sicherer Coding-Praktiken sind - und entscheidend, um Sicherheits-Champions in den Reihen ihrer Entwickler zu erkennen.  

Identifizierung von Sicherheits-Champions 

Einer der Schlüssel zur Verbesserung des Engagements von Entwicklern bei Schulungen und Awareness-Programmen für sicheren Code ist die Identifizierung von Sicherheitsbefürwortern oder Champions in den Reihen ihrer aktuellen Entwicklerkohorte. 

Einige Entwicklungsleiter tun dies bereits - 55 % der Befragten geben an, dass sie Entwickler, die gute Leistungen erbringen, bei speziellen Veranstaltungen anerkennen. 

Als Verfechter des Wandels in der sicheren Codierung versteht Secure Code Warrior die Macht von speziellen Veranstaltungen und Wettbewerben, um das Beste aus der Entwicklerbasis einer Organisation herauszuholen. Aus diesem Grund haben wir Tournaments zu einem zentralen Bestandteil unserer Learning Platform gemacht. 

Steigern Sie das Sicherheitsbewusstsein und die Eigenverantwortung

Mit einer Reihe von Herausforderungen, Zeitlimits, Bestenlisten und Preisen erzeugt tournaments einen Buzz, der sicheres Coding cool macht und Sicherheitsbewusstsein und Eigenverantwortung fördert. 

Wenn es darum geht, die Wirkung von Schulungen zu sicherem Code zu messen, geben 65 % der befragten Entwicklungsmanager an, dass regelmäßige Bewertungen der Fähigkeiten ihren organisatorischen Fokus auf sichere Codierung vorantreiben. Tournaments kann verwendet werden, um die Sicherheitsfähigkeiten der Programmierer in einer aktiven, aber sicheren Umgebung zu messen und schnell eine Basislinie für die zukünftige Entwicklung der Fähigkeiten zu schaffen. Dieses gamifizierte Training bietet kontextbezogene, praktische Erfahrungen in relevanten Programmiersprachen und Frameworks mit Herausforderungen, die denen in der realen Welt ähneln.

Auf der Website tournament können Entwickler Punkte sammeln und beobachten, wie sie an die Spitze der Bestenliste klettern. Das Beobachten der Bestenliste hilft dem Management, potenzielle Sicherheits-Champions innerhalb ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über den Aufbau von Fähigkeiten und Bewusstsein für sicheren Code mit gamifizierten Schulungen erfahren möchten, die Entwickler einbinden und Security Champions identifizieren, Jetzt eine Demo buchen.

‍

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

In den letzten Jahren wurden viele Dinge auf dem Altar der Markteinführungsgeschwindigkeit geopfert - Dinge wie Netzwerksicherheit, Terabytes an sensiblen Kundendaten und unbezahlbare Markenreputationen. Der intensive Druck, die Veröffentlichung neuer Features und Funktionen zu beschleunigen, hat zu komplexen, verteilten Teams geführt, die sich auf eine schnelle Entwicklung konzentrieren, ohne sich der Schwachstellen, die sie schaffen könnten, oder der enormen Risiken bewusst zu sein. Mehr denn je ist eine neue Arbeitsweise gefragt. Daher hat Secure Code Warrior in Zusammenarbeit mit Evans Data Corp. im Jahr 2020 eine Primärstudie* über die Einstellung von Entwicklern und ihren Managern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen durchgeführt (Laden Sie Ihr Exemplar des Whitepapers hier).

Leistungsindikatoren für den Projekterfolg - wo passt die Sicherheit? 

Entwickler und Manager halten sicheren Code für wichtig - aber nicht annähernd so wichtig wie andere Faktoren. Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess befragten:

• 76 % nominierte Anwendungsleistung 
• 62% wählten Features und Funktionalität
• Und etwas mehr als 50% wählten sicheren Code
  

Im Vergleich zu anderen Leistungsindikatoren für den Projekterfolg rangiert die sichere Codierung derzeit auf einem hinteren Platz.

Derzeit - und das ist vielleicht nicht überraschend - beurteilen Entwickler den Erfolg eines Projekts anhand von Leistungsindikatoren, die nur den Code nach Abschluss des Projekts bewerten. 

Fragt man jedoch danach, wie sich dies in Zukunft ändern könnte, stellt sich das Bild auf den Kopf. Die Art und Weise, wie Unternehmen Sicherheit als Erfolgsmaßstab betrachten, ändert sich. Sichere Kodierung wird zu einer größeren Priorität.

Auf die Frage nach den wichtigsten Prioritäten für die Messung des Projekterfolgs in der Zukunft stimmen 79 % der Befragten zu, dass sichere Kodierung an Bedeutung gewinnen wird. Auffallend ist, dass ein signifikanterer Prozentsatz die Bedeutung von Sicherheit in der Zukunft stärker steigen sieht als die von jedem anderen Leistungsindikator. Das Bewusstsein für sichere Kodierung wächst, ebenso wie eine Bewegung hin zum "Shifting Left". Es liegt in der Natur der Sache, dass die Praxis der sicheren Programmierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, dass die Sicherheit von Anfang an aktiv in die Software eingebaut wird, anstatt sie erst später zu berücksichtigen. 

Da CIOs danach streben, ihre Organisationen agiler zu machen, werden sichere Coding-Fähigkeiten zu einer wichtigen Innovationswaffe. CIOs und CISOs sollten sorgfältig darüber nachdenken, ob ihre Entwicklungsteams die erste Risikolinie oder ihre erste Verteidigungslinie sind. 

Diese Erkenntnis hat entscheidende Auswirkungen darauf, wie Unternehmen ihre Entwickler schulen. Die Teams müssen über kürzlich identifizierte Schwachstellen informiert werden und in ihren eigenen Sprachen/Frameworks lernen. Kurz gesagt, sie müssen verstehen, wie sie bekannte Schwachstellen im Code in dem Kontext finden, identifizieren und beheben können, in dem sie tagtäglich arbeiten.

Als Verfechter des Wandels in der sicheren Codierung verfolgt Secure Code Warrior einen menschengeführten Ansatz, der Entwickler aktiv einbindet, damit sie ihre Fähigkeiten zur sicheren Codierung erlernen und ausbauen. Wenn Sie die potenziellen Auswirkungen auf die Fähigkeit Ihrer Teams sehen möchten, sicheren Code schneller zu starten und auszuliefern, ohne die Sicherheit zu gefährden, jetzt eine Demo buchen.

‍

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

Eine Version dieses Artikels erschien in VMblog .. Er wurde aktualisiert und hier syndiziert.

‍

Egal, wie viele Cybersecurity Awareness Months vergehen, wie viele Sicherheitsexperten mit Fallschirmen abgesetzt werden oder wie viel Geld in ein schwarzes Loch fließt, das Problem der großen Datenschutzverletzungen wird von Jahr zu Jahr schlimmer. Sie sind so regelmäßig, dass sie es heutzutage kaum noch in die Mainstream-Nachrichten schaffen, es sei denn, sie sind katastrophal. Im Jahr 2020 wurden mehr als 36 Milliarden Datensätze durch böswillige Cyberangriffe offengelegt, und wir sind gespannt, wie viele davon im Jahr 2021 erbeutet werden.

Bedrohungsakteure sind ständig auf der Suche nach Gelegenheiten, und obwohl nicht jeder Angriff eine Katastrophe ist, finden sie im Durchschnitt alle 39 Sekunden statt. Wir sind nicht einmal annähernd in der Lage, den Kampf zu gewinnen, und die Bösewichte haben einen großen Vorteil gegenüber den Verteidigern unserer Daten.

Es scheint jedoch, als läge ein Wandel in der Luft, da die Biden-Administration die Cybersicherheit zu einer frühen Priorität in ihrer Amtszeit gemacht hat und dafür zusätzliche Mittel in Höhe von 10 Milliarden US-Dollar bereitstellt. Dies ist ohne Frage ein Schritt in die richtige Richtung, aber wird dies tatsächlich eine Delle in die Cyberkriminalität machen, die immer häufiger und raffinierter wird?

Cyber-Bedrohungen können nur von einem (globalen) Dorf gelöst werden

Eine wirksame Verteidigung gegen immer wirkungsvollere Cyberangriffe kann nicht die Aufgabe von nur einer Handvoll Ländern sein, und leider fehlte es lange Zeit an einer einheitlichen Strategie auf breiter Front. Angesichts der zunehmenden Bedrohungen durch Nationalstaaten sind viele Regierungen jedoch aufgewacht und werden aufmerksam. 

Der SolarWinds-Angriff, der die US-Regierung betraf, war eine deutliche Warnung vor dem, was möglich ist, und ein Indikator für die potenzielle Verwüstung, wenn eine kritische Infrastruktur angegriffen wird. Kürzlich gab das FBI eine Warnung heraus, dass ein Wassersystem in Florida angegriffen wurde, wobei der Bedrohungsakteur in der Lage war, die Wasserversorgung aus der Ferne zu kontaminieren. Die Angreifer wurden gestoppt, bevor es zu ernsthaften Schäden kam, aber ein fortschrittlicherer Angreifer hätte massive Zerstörungen anrichten können, die Menschenleben gefährden würden.

Langsam, aber sicher investieren Regierungen auf der ganzen Welt mehr in die Cyberabwehr. Das Vereinigte Königreich hat Rekordinvestitionen in den Cybersicherheitsbereich getätigt und eine neue Task Force eingerichtet. Australien verstärkte seine Cybersicherheitsstrategie (insbesondere für die Infrastruktur), und Länder wie Israel und Dänemark gelten als Spitzenreiter bei ihren Cyberprogrammen. Japan belegt den fünften Platz bei der Cyberverteidigung - ein willkommener Vertrauensbeweis, nachdem der damalige Minister für Cybersicherheit, Yoshitaka Sakurada, 2018 erklärt hatte, er habe noch nie einen Computer benutzt. Kürzlich kündigte die Regierung von Singapur an, 50 Millionen US-Dollar in die KI- und Cybersicherheitsforschung für die künftige Kommunikationsinfrastruktur zu investieren - ein zukunftsweisender Schritt zur Stärkung der digitalen Sicherheit und Integrität.

Eine starke, koordinierte globale Cybersecurity-Antwort ist von entscheidender Bedeutung, da wir schnell in die Zukunft der Technologie vordringen, und jede Regierungsbehörde sollte dies als einen Hauptschwerpunkt beleuchten.

Mehr Geld bedeutet nicht weniger Probleme

Wenn wir die Vereinigten Staaten, Großbritannien und Australien als Beispiel nehmen, die alle in den letzten Jahren ihre Investitionen in staatlich geführte Cybersicherheit und Fachwissen erhöht haben, mag es so aussehen, als ob Sicherheit endlich eine Priorität ist und die "Guten" bekommen, was sie brauchen, um den Kampf zu gewinnen. 

Das ist sicherlich hilfreich, aber es ist nur ein Teil des Gesamtbildes. Mit diesen Geldern können Super-Expertenteams (wie mit Bidens Finanzspritze geschehen), umfassende Bug-Bounty-Programme und eine erstklassige Reaktion auf Vorfälle und Schadensbegrenzung im Falle katastrophaler Sicherheitsverletzungen gekauft werden.

Jede Regierung muss über reaktive Sicherheitsmaßnahmen hinausblicken und ernsthafte Anstrengungen (und Mittel) in eine präventive Strategie stecken. Wenn der Schwerpunkt weiterhin auf der Reaktion auf erfolgreiche Cyberangriffe liegt, anstatt sie von vornherein zu verhindern, wird kein noch so großer Geldbetrag das wachsende Risiko verringern. Bei einem echten, proaktiven Sicherheitsansatz würde das Budget für die Härtung der Infrastruktur und die Einführung effektiver Sicherheitsschulungen und -weiterbildungen verwendet werden, um die Angriffsfläche von Anfang an so weit wie möglich zu reduzieren.

Die Qualifikationslücke in der Cybersicherheit wird sich vielleicht nie schließen, aber es gibt verschenktes Potenzial

Hochqualifiziertes, spezialisiertes Sicherheitspersonal ist auf der ganzen Welt sehr gefragt, und es ist unwahrscheinlich, dass wir jemals eine Schwemme dieser Cyber-Gurus sehen werden. Dies ist jedoch ein Grund mehr für Regierungen und Organisationen, kreativ zu werden und mit den ihnen zur Verfügung stehenden Ressourcen cleverer umzugehen.

Ein wirklich präventiver Ansatz zur Cyberverteidigung beginnt damit, dass jede Person, die am Softwareentwicklungs- und Infrastrukturprozess beteiligt ist, so sicherheitsbewusst wie möglich für ihre Rolle ist. Vor allem Entwickler benötigen die richtige Sicherheitsschulung und die passenden Tools für ihre Arbeit, damit sichere Kodierung ein fester Bestandteil ihres Prozesses werden kann. Dies trägt wesentlich dazu bei, dass häufige Schwachstellen behoben werden können, bevor sie überhaupt das Licht der Welt erblicken. Dies allein ist schon ein wichtiger - und nicht zu vergessen ein kostengünstiger - Schritt, der den Druck und die Nacharbeit im weiteren Verlauf des Softwareentwicklungszyklus reduziert. 

Wir müssen einen von Menschen geführten Ansatz für Best Practices im Bereich der Cybersicherheit verstärken. Das wird zu besseren Ergebnissen führen als eine starke Abhängigkeit von Automatisierung, Tools und Reaktion auf Probleme, die bereits eingebettet und entdeckt wurden - eine Strategie, die eindeutig nicht funktioniert, wenn wir uns die Zahl der heutigen Sicherheitsverletzungen ansehen.

Wenn es um die Schulung von Entwicklern in sicherem Code geht, lassen die Ergebnisse der Ausbildung viel zu wünschen übrig. Viele Unternehmen geben viel Geld aus, um dann in der Praxis nur minimale Ergebnisse zu erzielen. Und das ist kein Wunder. Aktuelle Untersuchungen* zeigen, dass Entwickler glauben, dass das Erlernen von sicherem Code langweilig ist und dass das Erlernen der Implementierung von sicherem Code eine Herausforderung darstellt. Es werden neue Ansätze für die Schulung von sicherem Code benötigt. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie über die Einstellung von Entwicklern zu sicherem Code, sicheren Code-Praktiken und Sicherheitsoperationen durchgeführt (Whitepaper herunterladen hier).

Als man den Entwicklern die Möglichkeit bot, das angebotene Training zu kritisieren, waren sie schonungslos und behaupteten, dass das derzeitige Training für sicheren Code schlecht sei:  

• Unterrichtet im Vakuum - 40% 
• Zu theoretisch, ohne Bezug zu ihrer Arbeit und nicht "praxisnah" genug - 40% 
• Oft unregelmäßig, nicht mit ihrer Arbeit verbunden oder engagiert - 30%.
  

Diese Statistiken sind ernst zu nehmen; sie sagen uns, dass das derzeitige Training für sicheren Code kontextuell irrelevant ist, ohne sinnvolle Beziehung zu dem, was Entwickler jeden Tag tun. 

Oft können sie das Gelernte nicht in ihrer Arbeitsumgebung anwenden. Das macht so viele Sicherheitsschulungen zu einer Verschwendung von Zeit und Geld. 

Fünf Wege, um die von Entwicklern gewünschten Schulungen zu erstellen

Wenn es darum geht, welche Art von Training die Entwickler wünschen, waren fünf Dinge überdeutlich. 

1. 75 % der Entwickler bevorzugen ein strukturiertes Training am Arbeitsplatz und halten es für die effektivste und zufriedenstellendste Art des Lernens.
   
   Und wenn es darum geht, was dieses Training beinhalten sollte, haben die Entwickler einige sehr klare und spezifische Wünsche: 
2. 65 % sagen, dass mehr Schulungen zu sprachspezifischen Schwachstellen erforderlich sind
3. 65 % wünschen sich mehr Schulungen zu den OWASP Top 10.
4. Viele wünschen sich auch einen Fokus auf Compliance-Sicherheits-Frameworks, darunter NIST (58%), CIS (52%) und PCI DSS (50%).
5. 78 % wünschen sich informelles Peer-Coaching und Beratung als Teil dieser Schulung.

Aber vor allem wollen Entwickler eine sichere Code-Schulung, die praktisch ist und im Kontext ihrer täglichen Arbeit steht. Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das in den aktuellen Schulungsprogrammen schmerzlich vermisst wird. Laut den von uns befragten Entwicklern sind die Top-5-Merkmale einer guten Schulung folgende: 

• Mehr praktisches Training, das reale Arbeitsszenarien zeigt (30 %). 
• Geführte Aktivitäten, die sich auf bestimmten Code oder Schwachstellen konzentrieren (24 %).
• Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
• Bietet einen greifbaren Nutzen für die Teilnahme an der Schulung. 
• Beinhaltet mehr Übungen zur Teambildung.
  

Entwickler wünschen sich eine Schulung in sicherem Code, die ihnen grundlegende Fähigkeiten vermittelt - und echte Anerkennung. Da sichere Programmierkenntnisse von Arbeitgebern sehr erwünscht und anerkannt sind, haben Entwickler ihren Enthusiasmus unter Beweis gestellt, um sich von ihren Kollegen abzuheben, insbesondere wenn sie sich für neue Stellen bewerben. Entwickler, die ihre technische Beherrschung oder ihre speziellen Fähigkeiten unter Beweis stellen wollen, nutzen seit langem formale Zertifizierungsprogramme. Auf die Frage, ob sie nach strukturierten Schulungsprogrammen für die Zertifizierung suchten, gaben 70 % an, dass sie nach solchen Programmen suchten. Die wichtigsten Beweggründe waren die offizielle Anerkennung der erworbenen Fähigkeiten, die Steigerung der Arbeitseffizienz und die Tatsache, dass sie für ihr Unternehmen von unschätzbarem Wert sind.

Wenn es um bessere Ausbildungsergebnisse geht, sind entwicklerzentrierte Schulungen der Schlüssel. Strukturiertes Secure Code Training ist für Entwickler wünschenswert - aber nur, wenn es ihnen das bietet, was sie wollen. Unternehmen, die sich der Herausforderung stellen und ihre Secure-Code-Schulungen auf die Bedürfnisse der Entwickler abstimmen, werden von weniger wiederkehrenden Schwachstellen, schnellerer Codebereitstellung und dem damit verbundenen besseren Ruf profitieren.

Es gibt eindeutige Beweise dafür, dass Entwickler eine kontextbezogene, praxisnahe Ausbildung in relevanten Programmiersprachen und Frameworks mit Herausforderungen wünschen, die denen in der realen Welt ähneln. Als Verfechter des Wandels im Bereich der sicheren Programmierung verfolgt Secure Code Warrior einen von Menschen geführten Ansatz, um die Wünsche der Entwickler zu erfüllen. Wenn Sie die potenziellen Auswirkungen auf die Fähigkeit Ihrer Teams, sicheren Code schneller auszuliefern, sehen möchten, jetzt eine Demo anfordern.

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

Da Datenschutzverletzungen und deren Kosten weiter steigen, ist das Volumen des in unserer Welt produzierten Codes zu groß, als dass Sicherheitsexperten es allein bewältigen könnten. Unternehmen brauchen Entwickler mit sicheren Code-Fähigkeiten - und Entwickler wissen, dass sie diese Fähigkeiten brauchen, um ihre Karriere voranzutreiben. Aber das derzeitige Training für sicheren Code lässt sie im Stich. Was wünschen sich also Entwickler, wenn es um die Ausbildung in sicherem Code geht? Um diese Frage zu beantworten, werfen wir einen Blick auf einige Erkenntnisse aus einer aktuellen Studie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen, die von Secure Code Warrior in Zusammenarbeit mit Evans Data Corp* durchgeführt wurde. (Whitepaper herunterladen hier).

Wenn es darum geht, welche Art von Training Entwickler wünschen, ist die Antwort glasklar. 75 % der Entwickler bevorzugen ein strukturiertes Training am Arbeitsplatz und halten es für die effektivste und zufriedenstellendste Art zu lernen. Und wenn es darum geht, was dieses Training beinhalten sollte, haben die Entwickler einige sehr klare und spezifische Fragen: 

• 65 % geben an, dass sie Schulungen zu sprachspezifischen Schwachstellen benötigen
• 65% wünschen sich mehr Schulungen zu den OWASP Top 10
• Viele wollen auch einen Fokus auf Compliance-Sicherheits-Frameworks, einschließlich NIST (58 %), CIS (52 %) und PCI DSS (50 %)
• 78 % wünschen sich informelles Peer-Coaching und Beratung als Teil dieser Schulung
  

Aber während Entwickler strukturierte Kursarbeit dem unstrukturierten Lernen stark vorziehen, ist die Art und Weise, wie die Kursarbeit vermittelt wird, entscheidend. Das wirft natürlich eine weitere entscheidende Frage auf:

Wie lernen die Entwickler am liebsten? 

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Entwicklerschulungen benötigen einen von Menschen geleiteten Ansatz, der geführte Lernpfade mit "gamifizierten" Coding-Herausforderungen bietet, die sowohl praxisorientiert als auch sprachen- und frameworkspezifisch sind. Rollenspezifische "Gamified"-Schulungen sorgen für ein hohes Engagement der Entwickler. Konfigurierbare Lernmodule ermöglichen es einer Organisation, das Lernen der Entwickler auf bestimmte Schwachstellen auszurichten.

Finden Sie heraus, wie Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses machen können - mit strukturierten, fähigkeitsbasierten Pfaden, die das Training liefern, das Entwickler wünschen, Demo anfordern jetzt.

"Die interaktiven Simulationen helfen einem, Sicherheitslücken im Code zu erkennen, fordern einen zum kritischen Denken heraus und lassen einen die Lösung oder mehrere Lösungen finden. Ich habe Code durch eine neue Linse gesehen, und das praktische Arbeiten hat so viel Freude gemacht!"
Software-Ingenieur, Finanzdienstleistungen

*Verlagerung von der Reaktion zur Prävention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020

Langweilig, langweilig, langweilig! Das ist eine der Hauptantworten, die Sie von Entwicklern hören werden, wenn es um Schulungen zu sicherem Code geht. Wir von Secure Code Warrior sind der Meinung, dass es einen besseren Weg geben muss. Deshalb haben wir uns mit Evans Data Corp. zusammengetan, um eine Primärstudie über die Einstellung von Entwicklern zu sicherem Coding, sicheren Code-Praktiken und Sicherheitsoperationen durchzuführen (laden Sie sich Ihr Exemplar des Whitepapers hier).

In der in Kürze erscheinenden Studie Shifting from reaction to prevention: The changing face of application security wurden Entwickler nach ihren Hauptproblemen mit dem aktuellen Secure Code Training gefragt - und die Antwort war aufschlussreich.

Training, das Entwickler zu Fall bringt

40 % der befragten Entwickler waren der Meinung, dass sicheres Coding in einem Vakuum gelehrt wird. Weitere 40 % waren der Meinung, die Schulung sei zu theoretisch, habe keinen Bezug zu ihrer Arbeit und sei nicht "praxisnah" genug. 30 % sahen einen Mangel an Schulungen in der Sprache:Framework, mit der sie täglich arbeiten. Dies ist ernst zu nehmen, denn es zeigt uns, dass die derzeitige Schulung zu sicherem Code kontextuell irrelevant ist und keinen sinnvollen Bezug zu dem hat, was Entwickler täglich tun. 

Für viele Entwickler besteht die größte Herausforderung darin, wach zu bleiben, während sie sich mit langweiligen Aktivitäten beschäftigen, die weder effektiv sind noch sie dazu inspirieren, die Sicherheit im Auge zu behalten.

Training in einem Vakuum verhindert, dass Entwickler die kognitiven Verbindungen zwischen dem Labor und der realen Welt herstellen können.

3 Dinge, die Entwickler von einem Secure Code Training erwarten: 

1. Mit überwältigender Mehrheit sagen die Entwickler, dass sie sich ein Training wünschen, das praxisnäher und kontextbezogener für ihre tägliche Arbeit ist. 
2. 65 % der Entwickler sagen, dass mehr Schulungen zu sprachspezifischen Schwachstellen und den OWASP Top 10 erforderlich sind. 
3. 75% der befragten Entwickler bevorzugen ein strukturiertes Training "on the job". 

Training, das Entwickler anhebt

Wenn es um On-the-Job-Training geht, bringen die Entwickler ein gewisses Maß an Erfahrung und vorhandenem Wissen mit. Dies weist auf die Notwendigkeit von "gerüstbasiertem" Lernen hin. Dies ist ein Training, das strukturiert - oder gerüstartig - ist, um auf dem aufzubauen, was der Entwickler bereits weiß. Gerüstgestütztes Lernen aktiviert und erweitert alle vorherigen Erfahrungen und baut gleichzeitig neue Fähigkeiten in mundgerechten Stücken auf. Das macht sie zum perfekten Mittel für das Lernen am Arbeitsplatz.

Vermitteln von Fähigkeiten, die haften bleiben

Wenn es um Sicherheitsschulungen für Entwickler geht, wissen wir, dass Entwickler die Methode "Learning-by-Doing" der Plackerei des theoriebasierten statischen Lernens vorziehen. In diesem Sinne ist das Erlernen von sicherem Code in einer hyper-relevanten, kontextbezogenen Umgebung der Schlüssel. Als Verfechter des Wandels im Bereich der sicheren Programmierung bietet Secure Code Warrior kontextbezogene, praxisnahe Schulungen in relevanten Programmiersprachen und Frameworks mit Herausforderungen, die denen entsprechen, denen Entwickler in der realen Welt begegnen. Die Lerninhalte umfassen über 5.500 Herausforderungen und missions , die über 147 verschiedene Schwachstellenarten abdecken, darunter die wichtigen OWASP Top 10, OWASP Mobile Top 10, OWASP API Security Top 10 und CWE/SANS Top 25. 

Wenn Sie die möglichen Auswirkungen auf Ihre Teams und deren Fähigkeit, sicheren Code schneller zu liefern, sehen möchten, Demo buchen jetzt.