Ein sicherer Weg zur Verbesserung der Sicherheitslage Ihres Unternehmens ist die Weiterbildung von Entwicklern in Bezug auf Best Practices für sichere Kodierung, und zwar in einem Rahmen, der Grundlinien und Benchmarks umfasst, die Entwicklern die erforderlichen spezifischen Lernpfade vermitteln. Sichere Kodierung ist jedoch keine einmalige Lösung - sie muss zu einer Lebensweise werden, die in der DNA eines Unternehmens verankert ist. Entwickler müssen sich nicht nur nach links orientieren, sondern sie müssen es auch bleiben. 

Es reicht nicht aus, nur Schulungen anzubieten. Die Unternehmen müssen sich vergewissern, dass die Entwickler die Schulung vollständig verinnerlicht haben und die Best Practices zu Beginn des Softwareentwicklungszyklus (SDLC) als Teil ihrer täglichen Routine befolgen. Sie müssen die Leistung der Entwickler nachverfolgen und ihre Fortschritte sowohl an internen Standards als auch an Branchen-Benchmarks messen, um den ROI der Schulungsinvestitionen effektiv zu ermitteln.

Secure Code WarriorDer Trust Score gibt Aufschluss über die Leistung der einzelnen Entwickler und fasst die Daten zusammen, um einen Überblick über die Gesamtleistung Ihres Unternehmens zu geben ( assessment ). Er zeigt die Wirksamkeit von Weiterbildungsprogrammen und identifiziert verbesserungsbedürftige Bereiche. Darüber hinaus hilft er bei der Einhaltung einer Reihe von gesetzlichen Anforderungen, sei es die General Data Protection Regulation(GDPR), der Payment Card Industry Data Security Standard(PCI DSS), der California Consumer Privacy Act(CCPA) oder andere.

Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.

Schulungen verbessern die Sicherheit - wenn die Entwickler sie verstehen 

Jahrelang schien die Anwendung bewährter Sicherheitspraktiken zu Beginn des SDLC in der Softwarebranche eher ein Wunschtraum zu sein - schön, wenn es eines Tages so weit ist, aber keine Priorität für heute. Doch die immer schneller werdende Softwareentwicklung und die zunehmende Geschwindigkeit ausgeklügelter und zerstörerischer Cyber-Bedrohungen - die häufig auf Software-Schwachstellen abzielen - haben eine sichere Programmierung unabdingbar gemacht. Die Cybersecurity and Infrastructure Security Agency(CISA) stellt mit ihrer Secure-by-Design-Initiative, die sich zu einer internationalen Bewegung entwickelt, sicheren Code in den Mittelpunkt. 

Unsere Forschung hat dies bewiesen - die Korrelation zwischen einem Secure-by-Design-Ansatz und einer Verringerung der Software-Schwachstellen ist eindeutig. Wir haben die Daten zur Verringerung der Schwachstellen von 26 % der SCW-Kunden analysiert und festgestellt, dass Entwicklerschulungen zu einer Verringerung der Software-Schwachstellen zwischen 22 % und 84 % führten. Diese Spanne ergab sich aus Variablen wie der Größe der beteiligten Unternehmen (kleinere Unternehmen mit relativ wenigen Entwicklern erzielten dramatischere Ergebnisse) und der Tatsache, dass sich eine Lerngruppe auf ein bestimmtes Problem konzentrierte und in diesem Fall einen höheren Prozentsatz von Schwachstellen beseitigte.

Die Ergebnisse bei großen Unternehmen waren ziemlich einheitlich. Unternehmen mit 7.000 oder mehr Entwicklern können davon ausgehen, dass sich die Zahl der Schwachstellen um 47 % bis 53 % verringert, wenn die Entwickler ihre Sicherheitsfähigkeiten verbessern. Ein statistisch durchschnittliches Unternehmen mit mehr als 10.000 Entwicklern - weder ein Spitzenreiter auf der Plattform noch eines mit dem höchsten Benchmark - verzeichnete beispielsweise eine Verringerung der Sicherheitslücken um 53 %. 

Natürlich ist die effektivste Schulung kein allgemeiner Ansatz, der für alle passt. Sie sollte auf die Arbeitsumgebung der Entwickler und die Art der Entwicklung, die sie durchführen, zugeschnitten sein.

Unternehmen sollten damit beginnen, die Grundfertigkeiten festzulegen, über die Entwickler verfügen müssen, damit das Schreiben von sicherem Code für sie so selbstverständlich wird wie das Schreiben von Code selbst. Weiterbildungsprogramme sollten aus praktischen, agilen Schulungen in realen Szenarien bestehen, die der Art ihrer Arbeit und den von ihnen verwendeten Sprachen entsprechen. Und sie sollten so flexibel sein, dass die Schulungen in die Arbeitszeiten der Entwickler integriert werden können. 

Für Entwickler geht es um mehr als das Schreiben von Code. Sie müssen in der Lage sein, Software zu prüfen, die von Assistenten künstlicher Intelligenz und von Dritten, z. B. in Open-Source-Repositories, erstellt wurde. Entwickler haben von generativen KI-Modellen regen Gebrauch gemacht und loben im Allgemeinen deren Vorteile, die ihnen dabei helfen, mehr Code schneller zu erstellen. Doch obwohl 76 % der Befragten einer Snyk-Umfrage angaben, dass KI-generierter Code sicherer sei als von Menschen erstellter Code, gaben 56,4 % an, dass KI manchmal oder häufig Fehler einbringt. Und dieselbe Umfrage ergab, dass 80 % der Entwickler es versäumen, Sicherheitsrichtlinien für KI-Code anzuwenden, was darauf hindeutet, dass Code-Probleme in KI-Code nicht angegangen werden.

Bei einem Secure-by-Design-Ansatz arbeiten die Entwickler mit den Sicherheitsteams zusammen und nicht getrennt von ihnen, um diese Probleme frühzeitig im SDLC anzugehen und Schwachstellen zu identifizieren und zu beheben, bevor der Code in Produktion geht.

Trust Score misst die Leistung des Einzelnen und des Unternehmens

Entscheidend ist auch, dass die Ausbildung kontinuierlich erfolgt. Die Unternehmen müssen eine Sicherheitskultur einführen, die von den höchsten Rängen des Unternehmens bis hinunter zu den Mitarbeitern gilt. Der Schwerpunkt sollte auf der kontinuierlichen Verbesserung und der Anwendung bewährter Sicherheitsverfahren während des gesamten SDLC liegen. Technologie und Cyber-Kriminelle entwickeln sich ständig weiter, und das sollte auch für die Cybersicherheit gelten. Für Unternehmen, die Software herstellen, sind sicherheitsgeschulte Entwickler die Grundlage.

Aus diesem Grund ist der Nachweis, dass die Schulung tatsächlich gegriffen hat, genauso wichtig wie die Schulung selbst. Trust Score liefert nicht nur einen Überblick über die Leistung der einzelnen Entwickler und des Unternehmens insgesamt, sondern ermöglicht es Unternehmen auch, die Leistungsdaten aufzuschlüsseln und sich auf bestimmte Sprachen, Entwicklerteams oder Softwarekategorien zu konzentrieren. Die Daten aus individuellen und aggregierten Leistungsergebnissen helfen auch dabei, Bereiche zu identifizieren, in denen die Schulung verbessert werden muss - zum Beispiel, wenn sie nicht die gewünschte Wirkung auf die tägliche Leistung der Entwickler hat.

Trust Score ermöglicht es Unternehmen, die Leistung von Entwicklern zu bewerten und festzustellen, ob sie die erforderlichen Sicherheitskenntnisse erworben haben und anwenden, um sicherzustellen, dass sie die Lizenz zum Programmieren erhalten haben. So können Unternehmen qualifizierten Entwicklern vertrauensvoll Zugang zu ihren sensiblen Daten und kritischen Softwareprojekten gewähren, während sie denjenigen, die noch nicht ganz so weit sind, diesen Zugang verweigern.

Der Beweis für eine sich verändernde Sicherheitskultur

Cybersicherheit ist nicht mehr nur ein Sicherheitsproblem. Es ist ein Geschäftsthema, das die Integrität des wertvollsten Vermögens vieler Unternehmen betrifft - ihrer Daten. Eine schwerwiegende Sicherheitsverletzung beeinträchtigt den Betrieb, den Ruf und möglicherweise auch die Lebensfähigkeit eines Unternehmens. Die Bedeutung der Cybersicherheit ist auch den Aufsichtsbehörden nicht entgangen, die immer strengere Vorschriften einführen und bereit sind, Fälle gegen CISOs und möglicherweise andere Mitglieder der oberen Führungsebene zu verfolgen, bis hin zur Erhebung von Strafanzeigen, wie in den Fällen Uber und SolarWinds. 

Die Einführung einer unternehmensweiten Sicherheitskultur ist in der heutigen Zeit unerlässlich. Und da ein Großteil des Wertes eines Unternehmens in seinen Daten, Anwendungen und Diensten liegt, ist die sichere Programmierung ein Kernelement dieser Kultur. Gezielte Schulungen und Weiterbildungen als Teil einer kulturellen Denkweise sowie der Nachweis, dass die Schulungen zur Veränderung der Kultur beigetragen haben, können Unternehmen auf den Weg zur Stärkung ihrer Sicherheitsposition bringen. 

Entwicklergesteuerte Sicherheitsprogramme sind von großem Wert. Der Beweis dafür ist der Trust Score.

Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben. 

Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.

Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.

Bislang war dies leichter gesagt als getan. 

Sichere Codierer sind Mangelware

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.

Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt. 

Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code. 

Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll. 

In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen. 

Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war. 

Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern. 

Aufbau einer Kultur der Prävention

Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.

Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.

Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen. 

Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.

Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

‍

Es ist ermutigend zu sehen, wie die Secure-By-Design (SBD)-Bewegung der CISA weltweit an Schwung gewinnt, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich dazu verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Länder auch zu den ursprünglichen Empfehlungen beitragen.

Seit April 2024 haben mehr als 200 Unternehmen, darunter Secure Code Warriorhaben die Secure-by-Design-Verpflichtung unterzeichnet, was auf ein breiteres Engagement der Industrie für höhere Softwarequalität und Sicherheitsstandards hinweist. Wir sehen diese Richtlinien als einen entscheidenden Moment für die Verantwortlichen im Bereich der Cybersicherheit, die zum ersten Mal die Unterstützung einer globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung haben. Auch wenn diese Empfehlungen außerhalb der Softwareanbieter, die direkt an die US-Regierung verkaufen, noch nicht verpflichtend sind, sehe ich darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zur Wehr zu setzen. Im Mittelpunkt der Leitlinien steht das Streben nach der Beseitigung von Schwachstellen, und wenn wir uns branchenweit auf dieses Ziel konzentrieren, könnten wir die größten positiven Auswirkungen auf die digitale Sicherheit seit Jahrzehnten erzielen.

Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier, Benchmarking von Sicherheitskompetenzen: Streamlining Secure-by-Design in the Enterprise ist das Ergebnis einer eingehenden Analyse realer Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse. 

Messung des ROI organisatorischer Secure-by-Design-Bemühungen

Eine Überarbeitung seit langem etablierter Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen häufig vor der Herausforderung, den Return on Investment (ROI) und den geschäftlichen Wert von Sicherheitsprogrammaktivitäten sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Viele äußern zunehmende Frustration über Budgetkürzungen und mangelnde Zustimmung der obersten Führungsebene zu neuen Cyber-Initiativen. Ein auf Daten basierender Vorschlag kann hier jedoch den entscheidenden Unterschied machen. 

In den letzten Jahren war das Fehlen eines Kompetenzmaßstabs, der es Unternehmen ermöglicht, ihre Leistung im Vergleich zu Branchenstandards zu bewerten, eine große Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die die richtigen Bereiche beeinflussen und eine kontinuierliche Verbesserung der Entwicklungskohorte fördern, ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken. 

Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, die für die Gewährleistung von sicherem Code erforderlich sind, sondern auch darin, den Regulierungsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Daher haben wir uns entschlossen, die Bereitschaft der Entwicklerteams zu analysieren. Die Ergebnisse könnten überraschen.

Wie Unternehmen, die ihre SBD-Initiativen beschleunigen möchten, vom Trust Score profitieren können

Ohne eine klare Vorstellung davon, wo Sie anfangen und wo Sie hin müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen jedoch erfolgreich den SCW Trust Score – einen globalen Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert –, um diese hilfreichen, detaillierten Datenpunkte bereitzustellen. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklergesteuerte Sicherheitsprogramme, die erfolgreiche Secure-by-Design-Initiativen ermöglichen.

Die in unserem Whitepaper veröffentlichte Analyse zeigt, dass Organisationen in den wichtigsten Infrastrukturbranchen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen eine durchschnittliche Sicherheitslage aufweisen.

Secure Code Warrior Die Analyse von zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab Folgendes:

• Die Gesamtzahl der Entwickler, die derzeit an entwicklerzentrierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4 % aller Entwickler weltweit.
• Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
• Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Wenn sie jedoch ein Mandat erhalten, liefern sie nachweislich schneller einen messbaren Return on Investment (ROI);
• Wenn Weiterbildungsinitiativen fest etabliert sind, sind die von Entwicklern in Anwendungen eingebrachten Risiken erheblich geringer. Die Analyse ergab, dass Entwickler im Rahmen großer Weiterbildungsinitiativen (7000+ Entwickler in einem einzigen Unternehmen) Schwachstellen voraussichtlich um 47-53 % reduzieren können.

Die Lösung | Fazit

SCW Trust Score ist ein leistungsstarkes Tool für jeden Sicherheitsverantwortlichen, das einen umfassenden Einblick in bestimmte Bereiche innerhalb einer Organisation ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass benutzerdefinierte Berichte erstellt werden, mit denen Unternehmen auf die spezifischen Anforderungen von Entwicklern oder Teams eingehen und die Bereiche identifizieren können, in denen zusätzliche Schulungen oder Coaching erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektives Benchmarking der Leistung hilft dabei, Möglichkeiten zur kontinuierlichen Verbesserung zu identifizieren.

Die beschleunigte Softwareentwicklung und -bereitstellung, gepaart mit einer immer bedrohlicheren Cyberbedrohungslandschaft und zunehmend scharfsinnigen Regulierungsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie dies nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, in der Sicherheit an erster Stelle steht, Priorität einräumen.

Linux-Benutzer hatten es in letzter Zeit nicht leicht, denn in den letzten Jahren wurden mehrere hochgradige Sicherheitslücken bekannt, die das System auf unterschiedliche Weise beeinträchtigen. Sicherheitsforscher haben nun eine weitere Gruppe von Schwachstellen zu entpacken, die alle mit der Funktion Common UNIX Printing System (CUPS) zu tun haben, die auf GNU/Linux-Systeme abzielt und einen potenziellen Weg für eine starke Remote Code Execution (RCE) bietet.

Am 27. September 2024 veröffentlichte Simone Margaritelli von evilsocket.net kritische Informationen über mehrere ausnutzbare Schwachstellen in CUPS, wobei vier davon CVEs zugewiesen wurden. Diese Zahl könnte noch steigen, aber zum Zeitpunkt der Erstellung dieses Artikels diskutiert die Sicherheitsgemeinschaft über den tatsächlichen Schweregrad dieser Entdeckungen. Während eine der CVEs, CVE-2024-47177, von MITRE derzeit als kritisch eingestuft wird, ist die erfolgreiche Manipulation dieses Befehlsinjektionsfehlers von Servern abhängig, auf denen der CUPS-Dienst aktiviert ist, und erfordert außerdem Zugriff auf den UDP-Port 631 oder DNS-SD. RedHat weist jedoch darauf hin, dass es möglich ist, CUPS auf einen anderen Port umzuleiten. 

Margaritellis umfassende Aufschlüsselung des Vorfalls offenbart eine heimtückische, komplexe Kette von Angriffen, die trotz der Meinungsverschiedenheiten in der Community nicht ignoriert werden sollte. Der Vorfall bietet uns eine Lektion darüber, dass scheinbar harmlose Abhängigkeiten ausgenutzt werden können, wenn ein Bedrohungsakteur entschlossen genug ist und wenn durch schlechte Codierungsmuster kleine Zeitfenster offen gelassen wurden.

Das CUPS-Szenario unterscheidet sich ein wenig von dem, was viele Entwickler und AppSec-Profis bisher erlebt haben, also lassen Sie uns einen Blick darauf werfen und Ihre Fähigkeiten auf diesem Weg testen.

Die Sicherheitslücke: Remote Code Execution (RCE) über CUPS

Der Evilsocket-Blog bietet einen unübertroffenen, gründlichen Hintergrund zu diesen Exploits, und wir werden diese Quelle weiterhin aufmerksam verfolgen. Margaritelli zitiert in seinem Artikel auch eine ungenannte Quelle, die sich nicht optimistisch über die allgemeine Sicherheitsstabilität von Linux äußert:

‍

"Vom allgemeinen Sicherheitsstandpunkt aus gesehen ist ein ganzes Linux-System in seiner heutigen Form nur ein endloses und hoffnungsloses Durcheinander von Sicherheitslücken, die darauf warten, ausgenutzt zu werden."

Dies ist eine ernüchternde Erinnerung an die inhärenten Sicherheitsrisiken, die in Open-Source-Umgebungen nach wie vor vorherrschen, ganz zu schweigen von der dringenden Notwendigkeit eines erhöhten Sicherheitsbewusstseins und sicherer Programmierkenntnisse in der weltweiten Entwicklergemeinschaft.

Lassen Sie uns einen Blick auf die CVEs werfen:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

DieVerwundbarkeitskette ist weit verbreitet und wirkt sich derzeit auf alle aktuellen und früheren Versionen der folgenden Pakete aus:

• distrotech/becher-filter
• OpenPrinting/Tassen-Filter
• Cups-browsed
• libcupsfilters
• libppd
  
  

CUPS ist seit über zwei Jahrzehnten eine Legacy-Komponente von UNIX- und Linux-Betriebssystemen. Aufgrund seiner Funktion als Abhängigkeit von Druckdiensten ist es sehr anfällig für Netzwerkanfragen, was es zu einem bevorzugten Ziel für Schwachstellen der RCE-Klasse macht.

In diesem Fall gibt es jedoch eine raffinierte Kombination der Angriffe, die zu einem erfolgreichen Ergebnis führt. Im Wesentlichen handelt es sich um die Fähigkeit eines nicht authentifizierten, unentdeckten Angreifers, IPP-URLs (Internet Printing Protocol) durch bösartige URLs zu ersetzen und zusätzlich Direktiven zu ändern, die eine Befehlsinjektion in die PPD-Datei (PostScript Printer Description) bewirken können, eine Datei, die die Funktionen des neu hinzugefügten Druckers beschreibt. Dies führt zu einem Angriff zur Befehlsausführung, sobald ein Druckauftrag aktiviert wird, und beruht auf einer fehlenden Eingabevalidierung innerhalb der CUPS-Komponenten.

Außerdem ist die Behebung dieser speziellen Schwachstelle eine Art zweischneidiges Schwert, wie Evilsocket betont. CUPS enthält den foomatic-rip-Filter, eine ausführbare Datei, die bereits in der Vergangenheit als hochriskante, ausnutzbare Komponente bekannt war. CVEs, die sich auf diese Komponente beziehen, reichen bis ins Jahr 2011 zurück, und obwohl festgestellt wurde, dass foomatic-rip zur Ausführung von Betriebssystembefehlen genutzt werden kann, führt die Behebung dieses Problems zu Stabilitätsproblemen und zum Verlust der Unterstützung für viele ältere Drucker. Es ist ein komplexes Problem, das es zu lösen gilt.

1. Der Bedrohungsakteur initiiert den Angriff
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. Das Opfersystem verarbeitet die Druckereigenschaften
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. Das Opfersystem verbindet sich mit dem IPP-Server des Angreifers
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

Wie können Sie das RCE-Risiko mindern?

Unternehmen, die CUPS im Rahmen ihres Geschäftsbetriebs einsetzen, müssen die empfohlenen Abhilfemaßnahmen von Evilsocket und RedHat befolgen. Dazu gehört unter anderem das Einspielen von Sicherheitspatches als Priorität für den Notfall.

Für Command Injection im Allgemeinen lesen Sie bitte unseren umfassenden Leitfaden.

Wenn Sie an weiteren kostenlosen Kodierungsrichtlinien interessiert sind, besuchen Sie Secure Code Coach, um sich über die besten Praktiken für sichere Kodierung zu informieren.

Umsetzbare Erkenntnisse, die Ihre Bemühungen um sicheres Codelernen messen 

Die Maximierung des Werts Ihres Programms zum Erlernen von sicherem Code hängt stark vom Engagement Ihrer Benutzer ab. Die Welt der Cybersicherheit ist eine sich ständig weiterentwickelnde Landschaft mit neuen Bedrohungen, aber auch mit Möglichkeiten zur Stärkung Ihrer allgemeinen Sicherheitslage. Eine proaktive Herangehensweise an die Sicherheit Ihres Codes erfordert kontinuierliches Secure Code Learning, um die Wirksamkeit und Relevanz des Programms zu maximieren. Um dies zu erreichen, müssen die Programmverantwortlichen ein klares Verständnis der Benutzerinteraktion haben, und zwar nicht nur zu einem bestimmten Zeitpunkt, sondern über längere Zeiträume hinweg, um Trends zu erkennen und die Leistung des Programms zu optimieren.

Deshalb freuen wir uns, einen neuen Bericht vorzustellen, der das Engagement Ihrer Benutzer misst und es einfach macht, wichtige Trends zu erkennen und zu bestimmen, wann in Ihrem Unternehmen Maßnahmen ergriffen werden müssen. Mit diesen neuen Erkenntnissen können Unternehmen nicht nur ihre Investitionen in sicheres Code-Lernen maximieren, sondern auch ihre Cybersicherheitslage nachhaltig verbessern.

Was ist neu in diesem Bericht?

Der Bericht "Engagement Insights" präsentiert eine Reihe von Schlüsselstatistiken, die für Ihr agiles Lernprogramm relevant sind, über den von Ihnen gewählten Zeitraum (standardmäßig die letzten 12 Monate), die alle auch über die Reporting API zugänglich sind. Der Engagement-Bericht bietet einen schnellen und einfachen Überblick über die Anzahl der neuen Lernenden, die sich in diesem Zeitraum aktiv mit der SCW agile learning platform beschäftigt haben, der aktiven Lernenden, die sich mit der Plattform beschäftigt haben, und der aktuellen Anzahl der aktivierten Lernenden.

‍

‍

Diese Gesamtzahlen sind nur der Anfang. Sie können aufschlüsseln, wie Ihre Lernenden sich mit der Plattform beschäftigt haben, und Trends bei den aktiven Lernenden über den ausgewählten Zeitraum feststellen. Anhand dieser Informationen können Sie Kommunikationsmaßnahmen (interne Newsletter, Blogs) oder andere Aktivitäten planen, um die Entwickler dazu zu bewegen, ihre Fähigkeiten weiter zu verbessern.

‍

Ebenso zeigt die Aufschlüsselung der letzten Lernaktivität, wann Ihre Lernenden das letzte Mal mit der SCW-Plattform gearbeitet haben. Wie bei jeder Form des Lernens verblasst die Erinnerung an Konzepte mit der Zeit. Ideal ist es, wenn der Großteil der Lernenden in den ersten beiden Klammern steht, die die jüngste Beschäftigung anzeigen. Diese Art der Gruppierung sorgt nicht nur dafür, dass die Fähigkeiten der Entwickler auf dem neuesten Stand bleiben, sondern verbessert auch den SCW Trust Score Ihres Unternehmens, da ein zeitlich bedingtes Nachlassen der Fähigkeiten in der Gesamtheit vermieden wird.

‍

‍

Und die Erkenntnisse gehen über die Häufigkeit und Häufigkeit hinaus. Der Engagement-Bericht liefert eine Aufschlüsselung der Zeit, die die Lernenden in den verschiedenen Bereichen der Secure Code Warrior Plattform in dem ausgewählten Zeitraum verbracht haben. Administratoren können diese Informationen nutzen, um herauszufinden, was das Engagement der Nutzer antreibt. Ist es schon eine Weile her, dass Sie das letzte Mal einen SCW tournament durchgeführt haben, könnte es eine Möglichkeit geben, einen Teil Ihrer Entwickler-Kohorte wieder einzubinden? Nutzen die Lernenden das Erkundungsmodul, um ihren Horizont außerhalb der strukturierten Lerninhalte in Courses oder Prüfungen zu erweitern? Die Identifizierung von Lerntypen mit hohem Engagement und von Top-Nutzern bietet die Möglichkeit, Programme zu entwerfen, die bei Entwicklern beliebt sind, und Ihre aktiven Führungskräfte zu feiern.

‍

Wie Sie sehen können, gibt es viele Möglichkeiten, das Engagement Ihrer Lernenden mit Ihrem agilen Lernprogramm zu messen. Wir werden auch in Zukunft weitere Einblicke und Berichte bereitstellen, um die effektivsten Lernergebnisse zu erzielen und die Cybersicherheitslage Ihres Unternehmens zu verbessern. Bleiben Sie dran, um die nächsten neuen Erkenntnisse zu erhalten, und lassen Sie uns wissen, wenn Sie Fragen, Feedback oder spezifische Daten haben, die Sie gerne sehen würden, um Ihr Programm zu optimieren!

‍

Die Verringerung der Sicherheitsschuld ist ein Ziel, das alle Unternehmen anstreben. Wie kann man die Anzahl der Sicherheitslücken minimieren? Wie kann man die Zeit bis zur Marktreife verkürzen und gleichzeitig sicherstellen, dass der erzeugte Code erstklassig ist?  

Wie viele andere Unternehmen hat sich auch DigitalOcean für Secure Code Warrior entschieden, um die digitale Innovation und Modernisierung voranzutreiben, indem von Anfang an hochwertiger Code mit sicherheitsbewussten Entwicklern erstellt und freigegeben wird.  

DigitalOcean, das skalierbare Rechenressourcen und eine Reihe von Cloud-Lösungen anbietet, mit denen Entwickler Anwendungen mühelos bereitstellen, verwalten und skalieren können, wandte sich an Secure Code Warrior , als das Unternehmen expandierte und seine technischen Teams vergrößerte. In der schnelllebigen Technologiebranche musste das Unternehmen sicherstellen, dass seine Entwickler häufige schlechte Codierungsmuster, die bei Design-Reviews auftraten, identifizieren konnten, um proaktiv zu verhindern, dass sie wieder auftreten. 

Wie Ari Kalfus, Senior Manager of Product Security, feststellte, "brauchten wir eine Lösung, die auf die Bedürfnisse der Entwickler zugeschnitten war und sich auf die Risiken konzentrierte, mit denen unser Unternehmen konfrontiert war". Secure Code Warrior erfüllte diese Anforderungen, wobei eines der bemerkenswertesten Ergebnisse die Fähigkeit war, schnell und regelmäßig sichere Codierungspraktiken zu verstärken. Dies führte zu einem deutlichen Rückgang der Sicherheitsverschuldung in den Teams. Insgesamt hat DigitalOcean festgestellt, dass die mit SCW geschulten Teams nicht nur besser in der Lage waren, Sicherheitsprobleme zu erkennen und zu entschärfen, sondern dass sie nun auch das Vertrauen haben, die Grenzen der Innovation zu erweitern, ohne die Sicherheit zu gefährden.

Lesen Sie hier mehr darüber, wie DigitalOcean seine Sicherheitsverschuldung reduziert hat... und nun seinen Sicherheitsüberschuss nutzt, um die Grenzen von Produktivität und Innovation weiter zu verschieben.

Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf höchster Ebene der globalen Governance zusammenarbeitet, setzt sich für einen höheren Standard der Softwarequalität und -sicherheit bei den Anbietern ein.

Ein signifikanter Anstieg der Softwaresicherheit erfordert eine breite Unterstützung für den Aufbau von Sicherheitskompetenzen und, was die Entwickler betrifft, eine Betonung des kontinuierlichen Lernens von Best Practices zur sicheren Programmierung. Es ist erfrischend, Zeuge eines neuen Kapitels für die Branche zu werden, in dem globale Regierungen mit gutem Beispiel vorangehen und geeignete Anleitungen zur Entschärfung heimtückischer Sicherheitslücken auf Code-Ebene bereitstellen.

Das Australian Women in Security Network (AWSN) hat sich unermüdlich dafür eingesetzt, dass in Australien mehr Frauen im Bereich der Cybersicherheit arbeiten. Gemeinsam mit der Commonwealth Bank (CBA) veranstalteten wir vor kurzem einen Secure Coding-Wettbewerb ( tournament ), bei dem sicherheitsbewusste Entwickler und Fachleute ihre Fähigkeiten in einer freundlichen, wettbewerbsorientierten Umgebung präsentieren konnten.

Diese Veranstaltung am 17. Juli wurde von unglaublichen Frauen aus verschiedenen Bereichen besucht, und man kann mit Sicherheit sagen, dass ihre Beiträge dazu beitragen werden, Australien bis 2030 zu einer der sichersten Nationen der Welt zu machen.

Unterstützung für eine sicherere Zukunft

Wir hatten das Glück, dass Generalleutnant Michelle McGuiness, Australiens Koordinator für Cybersicherheit, die gemeinsame Veranstaltung von AWSN/CBA/SCW tournament unterstützte. Ihre Worte, in denen sie direkt auf die australischen Six Cyber Shields-Initiativen einging und die Secure-by-Design-Prinzipien befürwortete, fanden bei den engagierten Cyber-Experten, die sich für positive Veränderungen und höhere Standards bei der Softwareentwicklung und -ausführung einsetzen, großen Anklang:

‍

‍

"Wir wollen das ganze Land in die Bewältigung der Herausforderungen im Bereich der Cybersicherheit einbeziehen, und dazu gehört auch, dass wir eine starke und vielfältige und natürlich integrative und einladende Cyberbelegschaft aufbauen.

Unsere Strategie basiert auf sechs Cyber-Schutzschilden, die zum Schutz unserer Unternehmen, Organisationen und Bürger beitragen. Am relevantesten für die heutige Veranstaltung ist vielleicht unsere Arbeit im Rahmen der Strategie, die sich auf "Secure by Design" und "Secure by Default" konzentriert. Wir sollten darauf vertrauen können, dass wir keine unnötigen Risiken eingehen, wenn wir digitale Geräte oder Software kaufen.

Und natürlich spielt die Industrie eine große Rolle dabei, uns dabei zu helfen, diese Wege zum Nutzen ihres Unternehmens, zum Nutzen unserer Wirtschaft ... und zur Sicherheit unserer Nation zu fördern, zu wachsen und zu unterstützen ... Ich empfehle Secure Code Warrior und CBA sowie ... AWSN für ihre Führungsrolle bei der Organisation der heutigen Veranstaltung."

Was passiert, wenn man wie ein Mädchen programmiert?

Etwas Unglaubliches ist mir schon immer aufgefallen, wenn wir große tournament Veranstaltungen wie diese haben. In der Regel nehmen daran Zehntausende von Entwicklern teil, und wie es in der gesamten Branche der Fall ist, ist der Anteil der weiblichen Teilnehmer recht gering.

Dennoch landet oft eine weibliche Teilnehmerin auf dem Siegertreppchen und teilt sich den Preispool. Ich glaube, das spricht für die Einbeziehung von Frauen in traditionell von Männern dominierten Bereichen. Sie gehören nicht nur dazu, sondern können auch hervorragende Leistungen erbringen und eine aufstrebende Kraft innerhalb ihrer Teams sein.

Die Konkurrenz war bei dieser Veranstaltung sehr groß, und unsere Gesamtsiegerinnen, Bella Howard und Shanelle Haire, haben eindeutig eine glänzende Zukunft an der Spitze der entwicklungsorientierten Sicherheitspraktiken. Sie sagten über ihren Sieg:

"Wir freuen uns sehr über den Sieg! Die Arbeit zu zweit war entscheidend für unseren Erfolg - wir glauben, dass sich unsere unterschiedlichen Fähigkeiten und Erfahrungen perfekt ergänzt haben.

Wir möchten auch anerkennen, dass alle außergewöhnlich gut gearbeitet haben. Wir fühlen uns wirklich geehrt, dass wir gewonnen haben, und haben die Veranstaltung sehr genossen. Wir freuen uns darauf, Sie beim nächsten Mal wiederzusehen!

Lernen wir sie ein wenig besser kennen:

‍

• Wie lange arbeiten Sie schon an Ihren Fähigkeiten zur sicheren Programmierung?

Wir haben beide ein Doppelstudium in IT absolviert, in dem unsere Fähigkeiten im sicheren Programmieren Gestalt annahmen. Bella entwickelte ein großes Interesse an Cybersicherheit, und wir besuchten beide Veranstaltungen und Workshops, um unser Wissen im Bereich der Sicherheit zu erweitern.

Durch unsere Anstellung hatten wir die Möglichkeit, Secure Code Warrior zu nutzen, was für unsere Entwicklung von großer Bedeutung war. Bellas Fokus auf sichere Kodierungspraktiken erweitert ihr Wissen als Sicherheitsanalystin, während Shanelles Rolle als Software-Ingenieurin eine sichere Denkweise erfordert, was sichere Kodierung zu einem wesentlichen Teil ihrer Aufgaben macht.

• Haben Sie Tipps für Frauen in MINT-Fächern, die ihre Karriere als Programmiererinnen beginnen?

Wir können sehr empfehlen, an Sicherheits-Communities teilzunehmen und von denen zu lernen, die bereits in diesem Bereich tätig sind. Der Beitritt zu von Frauen geleiteten Gemeinschaften ist auch eine fantastische Möglichkeit, Unterstützung von Frauen zu erhalten, die bereits in Ihren Schuhen stecken und wertvolle Ratschläge und Ermutigung bieten können.

Besuchen Sie Veranstaltungen wie die Secure Coding Tournament und andere branchenbezogene Workshops, um zu lernen und sich zu vernetzen und dabei Spaß zu haben. Suchen Sie sich Mentoren, die Sie auf Ihrem Karriereweg begleiten und Ihnen wertvolle Einblicke geben können. Warten Sie nicht, bis Sie das Gefühl haben, alles zu wissen, bevor Sie anfangen - praktische Erfahrungen sind der beste Weg, um zu lernen.

• Was würden Sie tun, um die Bedeutung bewährter Verfahren für die Cybersicherheit zu fördern?

Es ist wichtig zu betonen, dass die Sicherheit in der Verantwortung aller liegt. Für eine wirksame und tiefgreifende Sicherheit müssen alle Personen, die im gesamten Technologiebereich arbeiten, sowie alle Nutzer der Technologie die bewährten Sicherheitsverfahren kennen und einhalten. Durch die Förderung einer Kultur, in der Sicherheit als kollektive Verantwortung angesehen wird, können wir unsere Systeme und Daten besser schützen.‍

‍

Wir danken allen Teilnehmern und freuen uns auf die Zusammenarbeit mit AWSN bei künftigen Projekten.

‍

Unternehmen sind sich darüber im Klaren, dass die Grundsätze des "Secure by Design" nur dann erfolgreich umgesetzt werden können, wenn die Sicherheit von den Entwicklern bestimmt wird. Schließlich sind es die Entwickler, die den Code, der die Software eines Unternehmens antreibt, entwerfen, erstellen und schließlich übertragen. Es ist von entscheidender Bedeutung, dass diese unschätzbaren Mitarbeiter über das Wissen und die Fähigkeiten verfügen, um die Best Practices für sicheren Code umzusetzen. Die Herausforderung bei der Umsetzung besteht jedoch oft darin, die Kenntnisse und Fähigkeiten der Entwickler in Bezug auf sicheren Code mit den Programmiersprachen abzustimmen, die sie bei der Erstellung von Software verwenden.

Diese Herausforderung wird durch die schiere Menge und den Mix an Programmiersprachen, die in der Codebasis eines Unternehmens verwendet werden, noch komplizierter, was den Sicherheitsteams oft gar nicht bewusst ist. Wie also können CISOs, AppSec- und Engineering-Verantwortliche sicherstellen, dass der Code, der produziert und übertragen wird, von den Kenntnissen und Fähigkeiten eines Entwicklers in der jeweiligen Programmiersprache gestützt wird?
‍

Einführung des SCW Trust Agent

Secure Code Warrior hat den SCW Trust Agent eingeführt, um diese schwierige Frage zu beantworten. SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit benötigen. Entwickler und Teams können so Code schneller bereitstellen und gleichzeitig die Sicherheit der übertragenen Daten erhalten und verbessern.
‍

Wie funktioniert der SCW Trust Agent?

SCW Trust Agent stellt eine Verbindung zu Ihrem Code-Repository her, um die Metadaten jeder Code-Übertragung zu bewerten. Er prüft den Entwickler, der die Übertragung vorgenommen hat, die verwendeten Programmiersprachen und den genauen Zeitstempel, zu dem der Code ausgeliefert wurde. Diese Analyse wird dann mit Daten und Erkenntnissen von SCWs agilem learning platform kombiniert, um festzustellen, ob der Entwickler über ausreichende Sicherheitskenntnisse in der jeweiligen Programmiersprache verfügt. Auf der Grundlage dieser Informationen wird eine Bewertung des Zustands dieser Übergabe in Übereinstimmung mit Ihrer Richtlinienkonfiguration erstellt. Diese Richtlinien sind anpassbar und können von Admin-Benutzern konfiguriert werden, die spezifische Richtlinien und Anforderungen für Commits festlegen können, die je nach der allgemeinen Sensibilität des Projekts oder Repositorys einen höheren oder niedrigeren Schwellenwert haben können.
‍

Stärkung Ihrer Sicherheitsposition

Mit dieser Transparenz und anpassbaren Kontrolle erhält ein Unternehmen nicht nur einen Einblick in den allgemeinen Zustand der Übertragungen in allen Repositories, sondern auch die nötigen Werkzeuge, um die Sicherheitslage zu verbessern und das Risiko durch einen proaktiven Ansatz zu verringern. SCW Trust Agent stellt sicher, dass die Entwickler die Sicherheitsaspekte der von ihnen verwendeten Programmiersprache kennen und beherrschen, wenn sie eine Übertragung vornehmen. Dadurch wird die Wahrscheinlichkeit verringert, dass versehentlich eine Sicherheitslücke in den Code eingebaut wird, die ausgenutzt werden könnte.
‍

Optimierung des Entwicklungslebenszyklus

Dieser proaktive Ansatz verbessert nicht nur die allgemeine Sicherheitslage eines Unternehmens, sondern kann auch zu neuen Optimierungen im Entwicklungslebenszyklus führen. Indem sichergestellt wird, dass die Entwickler über sichere Code-Kenntnisse und Fähigkeiten in der Sprache, die sie verwenden, verfügen, wird die Anzahl der eingeführten Schwachstellen, die später identifiziert und behoben werden müssen, reduziert. Die Behebung von Schwachstellen und die Überarbeitung des Codes nehmen viel Zeit in Anspruch, unterbrechen oft den Arbeitsablauf und beeinträchtigen die Geschwindigkeit der Entwicklung. Die Reduzierung von Schwachstellen durch einen proaktiven Ansatz minimiert diese Behebungszyklen, so dass sich die Entwicklungsteams auf die Bereitstellung von hochwertigem Code und Funktionen konzentrieren können.
‍

Skalierung der entwicklergesteuerten Sicherheit

SCW Trust Agent gibt Unternehmen die Tools an die Hand, die sie für die Skalierung ihrer entwicklergesteuerten Sicherheitsprogramme benötigen. CISOs und Appsec-Teams haben den Überblick und die Kontrolle, die sie benötigen, um eine angemessene Governance anzuwenden und die Compliance-Standards mit detaillierten Einblicken in die Gestaltung, Anwendung und Einhaltung von Richtlinien zu erfüllen oder sogar zu übertreffen. Und Entwickler sind in der Lage, sicheren Code schneller zu liefern, da die Schulungen für sicheren Code speziell auf die Sprachen zugeschnitten sind, die sie für den von ihnen gelieferten Code verwenden.

Der SCW Trust Agent funktioniert mit jedem Git-basierten Quellcode-Verwaltungstool und die Anbindung Ihres Code-Repositorys ist mit mehreren Verbindungsoptionen einfach, einschließlich lokaler, cloudbasierter und manueller Uploads. Wenn Sie mehr erfahren möchten, besuchen Sie www.scwtrustagent.com oder kontaktieren Sie uns. Wir würden gerne mit Ihnen besprechen, wie wir Ihr Unternehmen dabei unterstützen können, seine Sicherheitslage zu verbessern und die entwicklergesteuerte Sicherheit zu skalieren.

‍