Secure-by-Design ist die neueste Initiative, die in aller Munde ist, und die australische Regierung, die mit der CISA auf höchster Ebene der globalen Governance zusammenarbeitet, setzt sich für einen höheren Standard der Softwarequalität und -sicherheit bei den Anbietern ein.

Ein signifikanter Anstieg der Softwaresicherheit erfordert eine breite Unterstützung für den Aufbau von Sicherheitskompetenzen und, was die Entwickler betrifft, eine Betonung des kontinuierlichen Lernens von Best Practices zur sicheren Programmierung. Es ist erfrischend, Zeuge eines neuen Kapitels für die Branche zu werden, in dem globale Regierungen mit gutem Beispiel vorangehen und geeignete Anleitungen zur Entschärfung heimtückischer Sicherheitslücken auf Code-Ebene bereitstellen.

Das Australian Women in Security Network (AWSN) hat sich unermüdlich dafür eingesetzt, dass in Australien mehr Frauen im Bereich der Cybersicherheit arbeiten. Gemeinsam mit der Commonwealth Bank (CBA) veranstalteten wir vor kurzem einen Secure Coding-Wettbewerb ( tournament ), bei dem sicherheitsbewusste Entwickler und Fachleute ihre Fähigkeiten in einer freundlichen, wettbewerbsorientierten Umgebung präsentieren konnten.

Diese Veranstaltung am 17. Juli wurde von unglaublichen Frauen aus verschiedenen Bereichen besucht, und man kann mit Sicherheit sagen, dass ihre Beiträge dazu beitragen werden, Australien bis 2030 zu einer der sichersten Nationen der Welt zu machen.

Unterstützung für eine sicherere Zukunft

Wir hatten das Glück, dass Generalleutnant Michelle McGuiness, Australiens Koordinator für Cybersicherheit, die gemeinsame Veranstaltung von AWSN/CBA/SCW tournament unterstützte. Ihre Worte, in denen sie direkt auf die australischen Six Cyber Shields-Initiativen einging und die Secure-by-Design-Prinzipien befürwortete, fanden bei den engagierten Cyber-Experten, die sich für positive Veränderungen und höhere Standards bei der Softwareentwicklung und -ausführung einsetzen, großen Anklang:

‍

‍

"Wir wollen das ganze Land in die Bewältigung der Herausforderungen im Bereich der Cybersicherheit einbeziehen, und dazu gehört auch, dass wir eine starke und vielfältige und natürlich integrative und einladende Cyberbelegschaft aufbauen.

Unsere Strategie basiert auf sechs Cyber-Schutzschilden, die zum Schutz unserer Unternehmen, Organisationen und Bürger beitragen. Am relevantesten für die heutige Veranstaltung ist vielleicht unsere Arbeit im Rahmen der Strategie, die sich auf "Secure by Design" und "Secure by Default" konzentriert. Wir sollten darauf vertrauen können, dass wir keine unnötigen Risiken eingehen, wenn wir digitale Geräte oder Software kaufen.

Und natürlich spielt die Industrie eine große Rolle dabei, uns dabei zu helfen, diese Wege zum Nutzen ihres Unternehmens, zum Nutzen unserer Wirtschaft ... und zur Sicherheit unserer Nation zu fördern, zu wachsen und zu unterstützen ... Ich empfehle Secure Code Warrior und CBA sowie ... AWSN für ihre Führungsrolle bei der Organisation der heutigen Veranstaltung."

Was passiert, wenn man wie ein Mädchen programmiert?

Etwas Unglaubliches ist mir schon immer aufgefallen, wenn wir große tournament Veranstaltungen wie diese haben. In der Regel nehmen daran Zehntausende von Entwicklern teil, und wie es in der gesamten Branche der Fall ist, ist der Anteil der weiblichen Teilnehmer recht gering.

Dennoch landet oft eine weibliche Teilnehmerin auf dem Siegertreppchen und teilt sich den Preispool. Ich glaube, das spricht für die Einbeziehung von Frauen in traditionell von Männern dominierten Bereichen. Sie gehören nicht nur dazu, sondern können auch hervorragende Leistungen erbringen und eine aufstrebende Kraft innerhalb ihrer Teams sein.

Die Konkurrenz war bei dieser Veranstaltung sehr groß, und unsere Gesamtsiegerinnen, Bella Howard und Shanelle Haire, haben eindeutig eine glänzende Zukunft an der Spitze der entwicklungsorientierten Sicherheitspraktiken. Sie sagten über ihren Sieg:

"Wir freuen uns sehr über den Sieg! Die Arbeit zu zweit war entscheidend für unseren Erfolg - wir glauben, dass sich unsere unterschiedlichen Fähigkeiten und Erfahrungen perfekt ergänzt haben.

Wir möchten auch anerkennen, dass alle außergewöhnlich gut gearbeitet haben. Wir fühlen uns wirklich geehrt, dass wir gewonnen haben, und haben die Veranstaltung sehr genossen. Wir freuen uns darauf, Sie beim nächsten Mal wiederzusehen!

Lernen wir sie ein wenig besser kennen:

‍

• Wie lange arbeiten Sie schon an Ihren Fähigkeiten zur sicheren Programmierung?

Wir haben beide ein Doppelstudium in IT absolviert, in dem unsere Fähigkeiten im sicheren Programmieren Gestalt annahmen. Bella entwickelte ein großes Interesse an Cybersicherheit, und wir besuchten beide Veranstaltungen und Workshops, um unser Wissen im Bereich der Sicherheit zu erweitern.

Durch unsere Anstellung hatten wir die Möglichkeit, Secure Code Warrior zu nutzen, was für unsere Entwicklung von großer Bedeutung war. Bellas Fokus auf sichere Kodierungspraktiken erweitert ihr Wissen als Sicherheitsanalystin, während Shanelles Rolle als Software-Ingenieurin eine sichere Denkweise erfordert, was sichere Kodierung zu einem wesentlichen Teil ihrer Aufgaben macht.

• Haben Sie Tipps für Frauen in MINT-Fächern, die ihre Karriere als Programmiererinnen beginnen?

Wir können sehr empfehlen, an Sicherheits-Communities teilzunehmen und von denen zu lernen, die bereits in diesem Bereich tätig sind. Der Beitritt zu von Frauen geleiteten Gemeinschaften ist auch eine fantastische Möglichkeit, Unterstützung von Frauen zu erhalten, die bereits in Ihren Schuhen stecken und wertvolle Ratschläge und Ermutigung bieten können.

Besuchen Sie Veranstaltungen wie die Secure Coding Tournament und andere branchenbezogene Workshops, um zu lernen und sich zu vernetzen und dabei Spaß zu haben. Suchen Sie sich Mentoren, die Sie auf Ihrem Karriereweg begleiten und Ihnen wertvolle Einblicke geben können. Warten Sie nicht, bis Sie das Gefühl haben, alles zu wissen, bevor Sie anfangen - praktische Erfahrungen sind der beste Weg, um zu lernen.

• Was würden Sie tun, um die Bedeutung bewährter Verfahren für die Cybersicherheit zu fördern?

Es ist wichtig zu betonen, dass die Sicherheit in der Verantwortung aller liegt. Für eine wirksame und tiefgreifende Sicherheit müssen alle Personen, die im gesamten Technologiebereich arbeiten, sowie alle Nutzer der Technologie die bewährten Sicherheitsverfahren kennen und einhalten. Durch die Förderung einer Kultur, in der Sicherheit als kollektive Verantwortung angesehen wird, können wir unsere Systeme und Daten besser schützen.‍

‍

Wir danken allen Teilnehmern und freuen uns auf die Zusammenarbeit mit AWSN bei künftigen Projekten.

‍

Unternehmen sind sich darüber im Klaren, dass die Grundsätze des "Secure by Design" nur dann erfolgreich umgesetzt werden können, wenn die Sicherheit von den Entwicklern bestimmt wird. Schließlich sind es die Entwickler, die den Code, der die Software eines Unternehmens antreibt, entwerfen, erstellen und schließlich übertragen. Es ist von entscheidender Bedeutung, dass diese unschätzbaren Mitarbeiter über das Wissen und die Fähigkeiten verfügen, um die Best Practices für sicheren Code umzusetzen. Die Herausforderung bei der Umsetzung besteht jedoch oft darin, die Kenntnisse und Fähigkeiten der Entwickler in Bezug auf sicheren Code mit den Programmiersprachen abzustimmen, die sie bei der Erstellung von Software verwenden.

Diese Herausforderung wird durch die schiere Menge und den Mix an Programmiersprachen, die in der Codebasis eines Unternehmens verwendet werden, noch komplizierter, was den Sicherheitsteams oft gar nicht bewusst ist. Wie also können CISOs, AppSec- und Engineering-Verantwortliche sicherstellen, dass der Code, der produziert und übertragen wird, von den Kenntnissen und Fähigkeiten eines Entwicklers in der jeweiligen Programmiersprache gestützt wird?
‍

Einführung des SCW Trust Agent

Secure Code Warrior hat den SCW Trust Agent eingeführt, um diese schwierige Frage zu beantworten. SCW Trust Agent bietet Sicherheitsverantwortlichen die Transparenz und Kontrolle, die sie für die Skalierung der entwicklergesteuerten Sicherheit benötigen. Entwickler und Teams können so Code schneller bereitstellen und gleichzeitig die Sicherheit der übertragenen Daten erhalten und verbessern.
‍

Wie funktioniert der SCW Trust Agent?

SCW Trust Agent stellt eine Verbindung zu Ihrem Code-Repository her, um die Metadaten jeder Code-Übertragung zu bewerten. Er prüft den Entwickler, der die Übertragung vorgenommen hat, die verwendeten Programmiersprachen und den genauen Zeitstempel, zu dem der Code ausgeliefert wurde. Diese Analyse wird dann mit Daten und Erkenntnissen von SCWs agilem learning platform kombiniert, um festzustellen, ob der Entwickler über ausreichende Sicherheitskenntnisse in der jeweiligen Programmiersprache verfügt. Auf der Grundlage dieser Informationen wird eine Bewertung des Zustands dieser Übergabe in Übereinstimmung mit Ihrer Richtlinienkonfiguration erstellt. Diese Richtlinien sind anpassbar und können von Admin-Benutzern konfiguriert werden, die spezifische Richtlinien und Anforderungen für Commits festlegen können, die je nach der allgemeinen Sensibilität des Projekts oder Repositorys einen höheren oder niedrigeren Schwellenwert haben können.
‍

Stärkung Ihrer Sicherheitsposition

Mit dieser Transparenz und anpassbaren Kontrolle erhält ein Unternehmen nicht nur einen Einblick in den allgemeinen Zustand der Übertragungen in allen Repositories, sondern auch die nötigen Werkzeuge, um die Sicherheitslage zu verbessern und das Risiko durch einen proaktiven Ansatz zu verringern. SCW Trust Agent stellt sicher, dass die Entwickler die Sicherheitsaspekte der von ihnen verwendeten Programmiersprache kennen und beherrschen, wenn sie eine Übertragung vornehmen. Dadurch wird die Wahrscheinlichkeit verringert, dass versehentlich eine Sicherheitslücke in den Code eingebaut wird, die ausgenutzt werden könnte.
‍

Optimierung des Entwicklungslebenszyklus

Dieser proaktive Ansatz verbessert nicht nur die allgemeine Sicherheitslage eines Unternehmens, sondern kann auch zu neuen Optimierungen im Entwicklungslebenszyklus führen. Indem sichergestellt wird, dass die Entwickler über sichere Code-Kenntnisse und Fähigkeiten in der Sprache, die sie verwenden, verfügen, wird die Anzahl der eingeführten Schwachstellen, die später identifiziert und behoben werden müssen, reduziert. Die Behebung von Schwachstellen und die Überarbeitung des Codes nehmen viel Zeit in Anspruch, unterbrechen oft den Arbeitsablauf und beeinträchtigen die Geschwindigkeit der Entwicklung. Die Reduzierung von Schwachstellen durch einen proaktiven Ansatz minimiert diese Behebungszyklen, so dass sich die Entwicklungsteams auf die Bereitstellung von hochwertigem Code und Funktionen konzentrieren können.
‍

Skalierung der entwicklergesteuerten Sicherheit

SCW Trust Agent gibt Unternehmen die Tools an die Hand, die sie für die Skalierung ihrer entwicklergesteuerten Sicherheitsprogramme benötigen. CISOs und Appsec-Teams haben den Überblick und die Kontrolle, die sie benötigen, um eine angemessene Governance anzuwenden und die Compliance-Standards mit detaillierten Einblicken in die Gestaltung, Anwendung und Einhaltung von Richtlinien zu erfüllen oder sogar zu übertreffen. Und Entwickler sind in der Lage, sicheren Code schneller zu liefern, da die Schulungen für sicheren Code speziell auf die Sprachen zugeschnitten sind, die sie für den von ihnen gelieferten Code verwenden.

Der SCW Trust Agent funktioniert mit jedem Git-basierten Quellcode-Verwaltungstool und die Anbindung Ihres Code-Repositorys ist mit mehreren Verbindungsoptionen einfach, einschließlich lokaler, cloudbasierter und manueller Uploads. Wenn Sie mehr erfahren möchten, besuchen Sie www.scwtrustagent.com oder kontaktieren Sie uns. Wir würden gerne mit Ihnen besprechen, wie wir Ihr Unternehmen dabei unterstützen können, seine Sicherheitslage zu verbessern und die entwicklergesteuerte Sicherheit zu skalieren.

‍

Wir freuen uns, die Diskussion über die neueste Erweiterung der SCW-Plattform - den SCW Trust Score - fortzusetzen. Diese bahnbrechende Funktion wurde im Mai offiziell eingeführt und stellt einen entscheidenden Fortschritt in unserer Mission dar, Entwicklern und Organisationen die Werkzeuge an die Hand zu geben, die sie zum Schreiben von sicherem Code benötigen.

Im Kern bietet der SCW Trust Score unschätzbare Einblicke in die Sicherheitslage Ihres Unternehmens und die Wirksamkeit Ihrer sicheren Kodierungsverfahren. Schauen wir uns die wichtigsten Vorteile und Nutzen des SCW Trust Score an.

• Sichtbarkeit: Durch Lern- und Ausbildungsprogramme, deren Erfolg von verschiedenen Faktoren abhängt, entwickeln sich in den Teams unterschiedliche Fähigkeiten und Kompetenzen. Obwohl Teams identische Programme für sicheren Code durchlaufen, weisen sie oft ein breites Spektrum an Fachkenntnissen auf, das sowohl Spitzenkräfte als auch durchschnittliche Leistungsträger und solche, die zusätzliche Unterstützung benötigen, umfasst. Der SCW Trust Score bietet Unternehmen eine datengestützte Messung der Effektivität ihres Sicherheitslernprogramms, indem er die Sicherheitslage der einzelnen Entwickler bei der Nutzung von Secure Code Warrior zusammenfasst.
  
  
• Benchmarking-Metriken: Unternehmen benötigen ein Benchmarking, um die Glockenkurve des Sicherheitsstatus ihrer Entwickler zu definieren und Bereiche zu identifizieren, die optimiert werden müssen, um ein wirklich sicherheitsbereites, leistungsfähiges und produktives Softwareteam zu schaffen. Mit dem SCW Trust Score sind Unternehmen in der Lage, ihre Sicherheitslage im Vergleich zu Branchen-Benchmarks und Best Practices zu bewerten. Mithilfe dieser umfassenden Kennzahl können die Beteiligten Bereiche mit Stärken und Verbesserungsmöglichkeiten mit unvergleichlicher Präzision identifizieren.
  
  
• Datengestützt: Der SCW Trust Score nutzt die Leistung von 20 Millionen Lerndaten, die von über 600 Unternehmen und 250.000 Entwicklern stammen. Durch die Analyse aller Lernaktivitäten, die auf unserer Plattform durchgeführt wurden, erstellt unser Algorithmus eine umfassende Bewertung. Dieser Score berücksichtigt Faktoren wie die Breite und Tiefe der Lernaktivitäten, das Verständnis der Aktivitäten, die Häufigkeit des Lernens, die Stellenbeschreibung, den Onboarding-Lebenszyklus und die Gesamtzahl der geschulten Entwickler.
  
  

Wir sind stolz darauf, dass wir unsere Gespräche mit Kunden und Interessenten kürzlich auf der RSAC fortsetzen konnten, wo sie bei Kunden, Partnern und Branchenführern gleichermaßen auf großes Interesse stießen.

Wir freuen uns, Ihnen mitteilen zu können, dass wir am 12. Juni ein Webinar veranstalten werden, in dem unser Chief Technology Officer und Mitbegründer Matias Madou einen umfassenden Überblick über den SCW Trust Score und seine praktischen Anwendungen in realen Szenarien geben wird. Wir freuen uns darauf, Sie dort zu sehen.

Abschließend möchten wir allen Mitgliedern der Kunden- und Partnergemeinschaft danken, die zur Entwicklung und Verfeinerung des SCW Trust Score beigetragen haben. Gemeinsam machen wir uns auf den Weg, um zu verstehen, wie eine gute Sicherheitslage in Unternehmen aussieht

Entwickler stehen vor der ständigen Herausforderung, ihre Fähigkeiten auf dem neuesten Stand zu halten und der Entwicklung immer einen Schritt voraus zu sein. Da sich die Technologie in rasantem Tempo weiterentwickelt und regelmäßig neue Tools und Frameworks auf den Markt kommen, war die Notwendigkeit des kontinuierlichen Lernens noch nie so wichtig wie heute. In diesem digitalen Zeitalter, in dem Informationen jederzeit zur Verfügung stehen, können Entwickler die Kraft von Lerninhalten auf Abruf nutzen, um ihre Karriere voranzutreiben und im wettbewerbsintensiven Bereich der Softwareentwicklung relevant zu bleiben.

Lerninhalte auf Abruf bieten Entwicklern mehrere wichtige Vorteile. On-Demand-Ressourcen bieten eine unvergleichliche Flexibilität und Bequemlichkeit, die es Entwicklern ermöglicht, in ihrem eigenen Tempo zu lernen und die Ausbildung an ihre vollen Terminkalender und persönlichen Vorlieben anzupassen. Darüber hinaus bieten agile Plattformen oft gezielte Lernpfade, die auf die individuellen Ziele und Qualifikationsniveaus zugeschnitten sind, wodurch die Lerneffizienz maximiert und sichergestellt wird, dass die Entwickler die für den beruflichen Aufstieg erforderlichen Fähigkeiten erwerben. Letztendlich fördert On-Demand-Lernen eine Kultur der kontinuierlichen Kompetenzentwicklung, die es Entwicklern ermöglicht, angesichts des technologischen Wandels flexibel und widerstandsfähig zu bleiben und ihren langfristigen Erfolg im Bereich der Softwareentwicklung sicherzustellen.

‍

Bei Secure Code Warrior haben wir uns verpflichtet, Entwicklern die umfassendsten und zuverlässigsten Inhalte zur Verfügung zu stellen. Unser Ziel ist es nicht nur, hervorragende Lern- und Entwicklungsressourcen anzubieten, sondern diese auch zum richtigen Zeitpunkt mit Informationen bereitzustellen, die für die aktuellen Bedürfnisse der Entwickler relevant sind. Dieses Engagement spiegelt sich in unserer Registerkarte "Explore" wider, einer Inhaltsbibliothek innerhalb der SCW-Plattform, die das Problem der verstreuten Ressourcen lösen soll. Explore fasst alle Schulungsinhalte an einem zentralen Ort zusammen und bietet den Benutzern mühelos einen umfassenden Überblick über die verfügbaren Inhaltstypen. Ganz gleich, ob die Lernenden eine neue Programmiersprache beherrschen oder komplizierte Konzepte erforschen wollen, Explore bietet ihnen alles. Unser sorgfältig zusammengestellter Inhaltskatalog deckt ein breites Spektrum an Interessen und Fähigkeiten ab, so dass für jeden etwas dabei ist. Mit Explore entdecken die Lernenden eine Fülle von interaktiven Tutorials, praktischen Übungen und realen Szenarien, die allesamt darauf ausgelegt sind, die Lernerfahrung zu verbessern und Entwickler zu Höchstleistungen zu befähigen.

‍

‍

Die heutigen technologischen Ökosysteme sind durch ständige Innovationen und Umwälzungen gekennzeichnet, so dass der Bedarf an flexiblen Lernplattformen immer wichtiger wird. Traditionelle Methoden des Lernens und der Kompetenzentwicklung reichen nicht mehr aus, um mit den rasanten Fortschritten in der Technologie und den dynamischen Anforderungen der Branche Schritt zu halten. Infolgedessen wenden sich Unternehmen agilen Lernplattformen zu, um Entwicklern die Werkzeuge und Ressourcen an die Hand zu geben, die sie benötigen, um sich in diesem schnelllebigen Umfeld, in dem die Sicherheit der Entwickler von entscheidender Bedeutung ist, anzupassen und erfolgreich zu sein.

Einer der Hauptgründe, warum agile Lernplattformen so wichtig sind, ist ihre Fähigkeit, zeitnahe und relevante Lerninhalte zu liefern. Agile Lernplattformen nutzen dynamische Mechanismen zur Bereitstellung von Inhalten, wie z. B. Mikro-Lernmodule und Just-in-Time-Ressourcen, um Entwicklern genau dann das Wissen zur Verfügung zu stellen, wenn sie es brauchen. Ein weiterer Vorteil ist ihre Flexibilität und Anpassungsfähigkeit, die es Entwicklern ermöglicht, ihre Lernerfahrungen an ihre individuellen Bedürfnisse und Vorlieben anzupassen. Ob sie nun interaktive Tutorials, praktische Übungen oder Videoinhalte bevorzugen, Entwickler können das Format wählen, das am besten zu ihrem Lernstil und Zeitplan passt.

Alles in allem spielen agile Lernplattformen eine entscheidende Rolle, wenn es darum geht, Entwickler zu befähigen, in der heutigen schnelllebigen und sich ständig verändernden Technologielandschaft erfolgreich zu sein. Durch die Bereitstellung zeitnaher, relevanter und personalisierter Lernerfahrungen ermöglichen diese Plattformen den Entwicklern, neue Fähigkeiten zu erwerben, den Branchentrends voraus zu sein und die Innovation innerhalb ihrer Unternehmen voranzutreiben. Bei Secure Code Warrior haben wir die Entwickler bei der kontinuierlichen Verbesserung unserer Plattform stets im Blick. Da wir wissen, dass Entwickler bei der Erstellung sicherer Software eine entscheidende Rolle spielen, stellen wir sicher, dass unsere Erweiterungen nicht nur aktuelle Herausforderungen adressieren, sondern Entwickler auch in die Lage versetzen, zuverlässigen Code zu erstellen. Im Folgenden finden Sie einige der entwicklerfreundlichen Plattformverbesserungen, die wir kürzlich implementiert haben, um dieses Engagement zu unterstreichen.

Wir glauben, dass wir Ihre Entwickler durch moderne Kommunikationskanäle wie Microsoft Teams effektiver einbinden können. Unsere Integration mit Microsoft Teams ist unser erster Schritt in Richtung der nächsten Generation der Benutzerkommunikation innerhalb der SCW-Plattform. Laden Sie sie zu neuen Lernaktivitäten ein, und senden Sie ihnen benutzerdefinierte Erinnerungen an Lernaktivitäten im Kurs. Sie können Teams auch als Übermittlungskanal für Nudges nutzen, d. h. Sie können die Kursteilnehmer über eine Teams-Benachrichtigung zum Abschluss ihres Kurses bewegen.

‍

Die Registerkarte "Explore" ist ein weiterer Baustein unserer entwicklerorientierten Produktinnovation. Unabhängig davon, ob Benutzer ihre Fähigkeiten verbessern oder in neue Bereiche eintauchen möchten, sorgt Explore für ein nahtloses und bereicherndes Entwicklererlebnis, indem es einen umfassenden Knotenpunkt für Schulungen im eigenen Tempo und Wissenserweiterung bietet. Mit über 7.000 Aktivitäten, die in 64 Sprachen zur Verfügung stehen, ermöglicht Explore den Benutzern, mühelos auf ihre Vorlieben zugeschnittene Lernaktivitäten zu entdecken, zu spielen und zu wiederholen. Klicken Sie hier, um mehr über Explore und die Bedeutung von Content on Demand zu erfahren.

‍

Und schließlich sind Berichte von entscheidender Bedeutung, um die Entwicklerschulung effektiv und ansprechend zu gestalten. Sie verfolgen nicht nur den Fortschritt und gewährleisten die Einhaltung von Sicherheitsstandards, sondern zeigen auch Lücken auf, in denen sich Entwickler verbessern können. Dieser Einblick ermöglicht maßgeschneiderte Schulungen, die die Sicherheitsabwehr stärken und das Lernen relevant und zielgerichtet halten. Berichte tragen auch dazu bei, die Investitionen in Schulungen zu rechtfertigen, indem sie deren Wirkung nachweisen und so die kontinuierliche Unterstützung von Sicherheitsinitiativen sicherstellen. Insgesamt sind Berichte ein wichtiges Instrument, um sowohl die Einhaltung von Vorschriften als auch das Engagement von Entwicklern zu verbessern und dafür zu sorgen, dass alle Beteiligten auf dem richtigen Weg sind und sich auf ihrem Lernweg engagieren. Halten Sie demnächst Ausschau nach spannenden Neuigkeiten rund um das SCW-Reporting!

‍

Wenn Sie noch mehr über die kürzlich veröffentlichten Funktionen erfahren möchten, sehen Sie sich unser letztes Webinar zum Produktgespräch an oder kontaktieren Sie uns noch heute!

‍

Finanzdienstleister haben gute Gründe, dafür zu sorgen, dass der von ihnen verwendete Softwarecode sicher ist. Ein offensichtlicher Grund ist natürlich die Notwendigkeit, ihre Daten vor einer Sicherheitsverletzung zu schützen, die durch den Verlust personenbezogener Daten, Bereinigungskosten, Geldstrafen und Entschädigungen sowie die Schädigung des Rufs eines Unternehmens sehr kostspielig sein kann. Ein weiterer Grund ist die Notwendigkeit, eine Reihe von Branchen- und Regierungsvorschriften einzuhalten.

Da sie mit so vielen sensiblen, persönlichen und finanziellen Informationen sowie mit dem Geld der Menschen umgehen, sind Finanzdienstleistungen eine stark regulierte Branche. Je nachdem, welche Dienstleistungen sie anbieten, müssen die Unternehmen eine Reihe von Vorschriften und Anforderungen erfüllen.

Der Payment Card Industry Data Security Standard (PCI DSS) ist beispielsweise für seine Vorschriften zum Schutz von Karteninhaberdaten bekannt. Die Anforderungen des Sarbanes-Oxely Act regeln die Verwaltung von Finanzunterlagen. International tätige Unternehmen kennen den Digital Operational Resilience Act (DORA), einen verbindlichen Rahmen für das Risikomanagement, und die globalen Standards für Überweisungen, die von der Society for Worldwide Interbank Financial Telecommunication(Swift) festgelegt wurden.

Und Gesetze wie der California Consumer Privacy Act (CCPA) und die Allgemeine Datenschutzverordnung der EU (GDPR) stellen Anforderungen an den Schutz der Privatsphäre und der persönlichen Daten der Kunden. Es gibt noch weitere, wie die Vorschriften des U.S. Office of the Comptroller of the Currency (OCC) und der Europäischen Zentralbank (EZB).

Als wäre das nicht genug, heißt es in der Nationalen Cybersicherheitsstrategie unter anderem, dass Softwarehersteller für unzureichende Software-Sicherheit verantwortlich gemacht werden sollten. Und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat zusammen mit 17 US-amerikanischen und internationalen Partnern einen Leitfaden zu Secure-By-Design-Prinzipien für die Softwareentwicklung herausgegeben. 

Ein gemeinsamer Nenner für Finanzdienstleistungsunternehmen ist, dass sicherer Code ein entscheidendes Element ist, um die Ziele dieser Vorschriften zu erreichen, die den Nachweis ihrer Einhaltung erleichtern können. Und es unterstreicht, warum Entwickler geschult und weitergebildet werden müssen, um sicherzustellen, dass die Sicherheit bereits zu Beginn des Entwicklungsprozesses auf den Code angewendet wird.

Ein Beispiel dafür, wie das funktioniert, ist die neueste Version des PCI DSS.

Sichere Kodierung (und Entwicklerschulung) ist das Kernstück von PCI DSS 4.0

PCI DSS 4.0, der ab dem 1. April 2024 verbindlich ist, enthält mehrere wesentliche Aktualisierungen gegenüber PCI DSS 3.2.1 - nicht zuletzt die Betonung der Rolle, die Entwickler bei der Gewährleistung von sicherem Softwarecode spielen.

PCI hat die Bedeutung von sicherer Software in der Vergangenheit schon lange erkannt. Version 2.0, die 2017 veröffentlicht wurde, enthielt Leitlinien für Entwickler zur Gewährleistung sicherer Transaktionen auf mobilen Geräten. Der Leitfaden in Version 4.0 betont nun die Anwendung bewährter Sicherheitspraktiken bei der Softwareentwicklung und enthält einige spezifische Hinweise zur Entwicklerschulung. 

Die Anforderungen sind oft sehr allgemein gehalten, obwohl die Unternehmen vielleicht einen gründlicheren Ansatz verfolgen wollen.

Eine Anforderung der Version 4.0 besagt zum Beispiel, dass die "Prozesse und Mechanismen für die Entwicklung und Wartung sicherer Systeme und Software definiert und verstanden werden". Eine gute Möglichkeit, dies zu gewährleisten, besteht darin, dass die Entwickler in den von ihnen verwendeten Programmiersprachen und Frameworks genau geschult werden, um eventuelle Wissenslücken zu schließen.

Eine weitere Vorschrift besagt, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens einmal alle 12 Monate an einer Schulung teilnehmen müssen, die folgende Themen umfasst:

• Softwaresicherheit, die für ihre Tätigkeit und Entwicklungssprachen relevant ist.
• Sichere Softwareentwurfs- und -kodierungstechniken. 
• Wie man Sicherheitstest-Tools - sofern sie verwendet werden - einsetzt, um Schwachstellen in Software zu erkennen.

In der Realität ist eine Schulung pro Jahr jedoch nicht häufig genug, um grundlegende Sicherheitsprobleme anzugehen und schlechte Programmiergewohnheiten zu durchbrechen. Die Schulung sollte kontinuierlich erfolgen und gemessen werden, mit einem Verfahren zur Überprüfung der Fähigkeiten, um sicherzustellen, dass sie sinnvoll genutzt wird.

PCI DSS 4.0 enthält mehr als ein halbes Dutzend weiterer Anforderungen, die sich mit Bereichen wie der Verhinderung und Abschwächung verschiedener Arten von Angriffen, der Dokumentation von Softwarekomponenten von Drittanbietern, der Identifizierung und Verwaltung von Schwachstellen und anderen Sicherheitsmaßnahmen befassen. In jedem Fall ist es ratsam, dass Unternehmen diese Maßnahmen gründlich verfolgen. Schulungen zu Angriffsvektoren sollten regelmäßig und nicht nur einmal im Jahr stattfinden. Komponenten von Drittanbietern, die häufig eine Quelle von Schwachstellen sind, sollten mit Hilfe eines Software Bill of Materials (SBOM) Programms sorgfältig inventarisiert werden. Und Unternehmen sollten sicher sein, dass sie klar definierte Rollen für die Verwaltung von Schwachstellen haben.

Die neue Version bietet Unternehmen auch eine gewisse Flexibilität bei der Erfüllung der Anforderungen, da der Schwerpunkt auf den Ergebnissen und nicht auf dem Ankreuzen von Kästchen liegt, während gleichzeitig neue Anforderungen für Authentifizierungskontrollen, Passwortlängen, gemeinsam genutzte Konten und andere Faktoren hinzugefügt werden. 

Compliance beginnt am Anfang des SDLC

Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche zu setzen. Und wie im Fall der neuesten PCI DSS-Version betonen sie zunehmend die Bedeutung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC). Die National Cybersecurity Strategy und die Secure by Design-Prinzipien der CISA legen die Verantwortung für die Sicherheit auch bei den Softwareherstellern fest - und zwar noch vor der Auslieferung -, so dass auch Unternehmen, die nicht direkt den Finanzdienstleistungsvorschriften unterliegen, diese einhalten müssen.

Unternehmen müssen die Kluft zwischen DevOps-Teams (die sich auf die Entwicklungsgeschwindigkeit konzentrieren) und AppSec-Teams (die es eilig haben, die Sicherheit in den Prozess einzubringen) überbrücken, indem sie Entwickler darin schulen, die Sicherheit zu einem festen Bestandteil ihres Ansatzes zu machen. Dies erfordert jedoch ein komplexes Bündel an Fähigkeiten, das mehr umfasst, als jährliche Schulungen oder standardmäßige, stagnierende Ausbildungsprogramme bieten können. Schulungen sollten kontinuierlich und flexibel sein, die Lernenden mit aktiven, realen Szenarien ansprechen und in kleinen Zeitabschnitten durchgeführt werden, die in ihre Arbeitspläne passen.

Finanzdienstleistungsunternehmen müssen für Sicherheit sorgen, um sich vor Sicherheitsverletzungen zu schützen und um die immer strengeren Vorschriften einzuhalten. Die Kosten der Nichteinhaltung von Vorschriften können in Bezug auf die Auswirkungen auf den Ruf eines Unternehmens und die monetären Kosten genauso schädlich sein wie eine Datenschutzverletzung. Der IBM Cost of a Data Breach Report 2023 hat beispielsweise ergeben, dass Unternehmen mit einem hohen Grad an Nichteinhaltung der Vorschriften im Durchschnitt mit Geldstrafen und anderen Kosten in Höhe von 5,05 Millionen US-Dollar konfrontiert sind - eine halbe Million Dollar mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.

Durch das kontinuierliche Wachstum von Cloud-basierten Umgebungen und digitalen Transaktionen ist die Sicherheit von Software in der Finanzdienstleistungsbranche von größter Bedeutung, was auch durch Vorschriften wie PCI DSS anerkannt wird. Der beste Weg, um sichere Software zu gewährleisten, ist eine sichere Kodierung zu Beginn des SDLC. Und der Weg dorthin führt über eine effektive Schulung der Entwickler in sicheren Kodierungspraktiken. 

Einen umfassenden Überblick darüber, wie sichere Kodierung den Erfolg, die Sicherheit und die Gewinne von Finanzdienstleistungsunternehmen gewährleisten kann, finden Sie in dem neu erschienenen E-Book Secure Code Warrior : Der ultimative Leitfaden für Sicherheitstrends im Finanzdienstleistungssektor.

Besuchen Sie die Secure Code Warrior Blog-Seiten, um mehr über Cybersicherheit und die zunehmend gefährliche Bedrohungslage zu erfahren und um zu lernen, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.

‍

Die Cybersicherheitsbranche wurde erneut in höchste Alarmbereitschaft versetzt, nachdem eine heimtückische Kompromittierung der Software-Lieferkette entdeckt worden war. Die Schwachstelle betrifft die Datenkompressionsbibliothek XZ Utils, die mit den wichtigsten Linux-Distributionen ausgeliefert wird. Sie ist unter CVE-2024-3094 registriert und besteht aus einer Hintertür, die von einem einst vertrauenswürdigen freiwilligen Systembetreuer absichtlich eingebaut wurde. Diese Hintertür, die bei erfolgreicher Ausnutzung in einigen Fällen die Ausführung von Remotecode (RCE) ermöglicht, stellt ein hochgradig gefährliches Problem dar, das in etablierten Softwareerstellungsprozessen schwerwiegenden Schaden anrichten kann.

Glücklicherweise entdeckte ein anderer Systembetreuer diese Bedrohung, bevor der bösartige Code in stabile Linux-Versionen eindringen konnte, aber sie stellt immer noch ein Problem für diejenigen dar, die mit der Version 5.6.0. und 5.6.1. von XZ Utils als Teil von Fedora Rawhide begonnen haben, und Unternehmen werden dringend aufgefordert, sie als Priorität für den Notfall zu patchen. Sollte diese Entdeckung nicht rechtzeitig gemacht werden, wäre dies aufgrund des Risikoprofils einer der verheerendsten Angriffe auf die Lieferkette, der vielleicht sogar SolarWinds in den Schatten stellt.

Die Abhängigkeit von freiwilligen Helfern aus der Community bei der Wartung kritischer Systeme ist weithin dokumentiert, wird aber nur selten diskutiert, bis Probleme von großer Tragweite wie dieser Vorfall an die Oberfläche drängen. Während ihre unermüdliche Arbeit für die Wartung von Open-Source-Software unerlässlich ist, unterstreicht dieser Vorfall die Notwendigkeit, den Schwerpunkt auf Sicherheitskenntnisse und -bewusstsein auf der Ebene der Entwickler zu legen, ganz zu schweigen von verstärkten Zugangskontrollen für Software-Repos.

Was ist die XZ Utils-Backdoor und wie wird sie entschärft?

Am 29. März veröffentlichte Red Hat eine dringende Sicherheitswarnung, um die Benutzer von Fedora Linux 40 und Fedora Rawhide darüber zu informieren, dass die neuesten Versionen der "XZ"-Kompressions-Tools und -Bibliotheken bösartigen Code enthalten, der anscheinend speziell entwickelt wurde, um unbefugten Zugriff durch Dritte zu ermöglichen.Wie dieser bösartige Code eingeschleust wurde, wird wahrscheinlich Gegenstand intensiver Untersuchungen in der Zukunft sein, aber es läuft auf eine ausgeklügelte, geduldige, jahrelange Social-Engineering-Übung seitens des Bedrohungsakteurs, eines pseudonymen Angreifers namens "Jia Tan", hinaus. Diese Person verbrachte unzählige Stunden damit, das Vertrauen anderer Betreuer zu gewinnen, indem sie über zwei Jahre lang legitime Beiträge zum XZ Utils-Projekt und zur Community leistete und sich schließlich den Status eines "vertrauenswürdigen Betreuers" verdiente, nachdem mehrere Sockpuppet-Accounts das Vertrauen in den freiwilligen Projekteigentümer Lasse Collin untergraben hatten:

‍

‍

Dieses ungewöhnliche Szenario ist ein Paradebeispiel dafür, dass eine hochtechnische Person dennoch Opfer einer Taktik wird, die normalerweise nur gegen weniger versierte Personen angewandt wird, und zeigt die Notwendigkeit einer präzisen, rollenbasierten Schulung des Sicherheitsbewusstseins. Nur der Wissbegierde und dem schnellen Denken des Microsoft-Software-Ingenieurs und PostgreSQL-Wartungsbeauftragten Andres Freund ist es zu verdanken, dass die Hintertür entdeckt und die Versionen zurückgesetzt wurden, wodurch der möglicherweise verheerendste Angriff auf die Lieferkette in jüngster Zeit verhindert wurde.

Die Backdoor selbst wird in der NIST-Registrierung offiziell als Schwachstelle der höchstmöglichen Schwere eingestuft. Ursprünglich war man davon ausgegangen, dass sie die Umgehung der SSH-Authentifizierung ermöglicht. Weitere Untersuchungen ergaben jedoch, dass sie die unauthentifizierte Remote-Code-Ausführung auf anfälligen Linux-Systemen ermöglicht, darunter Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed und einige Versionen von Debian.

Jia Tan hat sich anscheinend große Mühe gegeben, das Schadpaket zu verschleiern, das, wenn es sich während des Build-Prozesses selbst konstruiert, die Authentifizierung in SSHd über systemd behindert.Wie Red Hat ausführte, könnte diese Störung unter den richtigen Umständen einem Angreifer ermöglichen, die SSHd-Authentifizierung zu umgehen und unbefugten Fernzugriff auf das gesamte System zu erhalten.

‍

Unter anderem hat Microsoft umfassende Anleitungen zum Scannen von Systemen auf Instanzen des Exploits und zur Abschwächung seiner Auswirkungen veröffentlicht. Die CISA empfiehlt als Sofortmaßnahme, dass betroffene Entwickler und Benutzer XZ Utils auf eine nicht kompromittierte Version wie XZ Utils 5.4.6 Stable herabstufen sollten.

Die Verhinderung dieser Angriffsart ist unglaublich schwierig - insbesondere bei der Verwendung von Open-Source-Komponenten in Software -, da es nur sehr wenig Sicherheit und Transparenz in Bezug auf die Sicherheit der Lieferkette gibt. Wir haben bereits zufällige Fehler in der Software-Lieferkette bekämpft, aber dieses Risiko hat sich auf Sicherheitsfehler ausgeweitet, die absichtlich mit dem Ziel eingeschleust wurden, die Open-Source-Sicherheit zu gefährden.

Die meisten Entwickler werden nicht in der Lage sein, einen Angriff dieser Art zu stoppen, es sei denn, sie verfügen über ein ausgeprägtes Sicherheitsbewusstsein, gesundes Sicherheitswissen und eine Prise Paranoia. Es ist fast so, als würde man eine Denkweise eines Bedrohungsakteurs benötigen. Ein Hauptaugenmerk sollte jedoch immer auf Quellcode-Repos liegen, die intern kontrolliert werden (d. h. nicht Open-Source). Diese sollten nur Personen zugänglich sein, die über verifizierte, relevante Sicherheitskenntnisse verfügen. AppSec-Experten könnten eine Einrichtung wie Sicherheitskontrollen auf Zweig-Ebene in Erwägung ziehen, die es nur sicherheitskompetenten Entwicklern erlaubt, Änderungen am endgültigen Master-Zweig vorzunehmen.

Freiwillige Maintainer sind Helden, aber es braucht (sollte) ein Dorf, um sichere Software zu erhalten

Für diejenigen, die nicht aus dem Bereich der Softwaretechnik kommen, ist die Vorstellung, dass eine temperamentvolle Gemeinschaft von Freiwilligen kritische Systeme in ihrer Freizeit akribisch pflegt, schwer zu begreifen, aber das liegt in der Natur der Open-Source-Entwicklung und stellt für Sicherheitsexperten, die die Lieferkette schützen, weiterhin ein kritisches Risiko dar.

Open-Source-Software ist ein unverzichtbarer Bestandteil des digitalen Ökosystems praktisch jedes Unternehmens, und die vertrauenswürdigen Maintainer (von denen die meisten in gutem Glauben handeln) sind in ihrem selbstlosen Streben nach technologischem Fortschritt und Integrität wahrhaft heldenhaft, aber es ist eine Farce, sie bei ihrer Arbeit zu isolieren. In diesen DevSecOps-zentrierten Zeiten ist Sicherheit eine geteilte Verantwortung, und jeder Entwickler muss mit dem Wissen und den passenden Werkzeugen ausgestattet sein, um die Sicherheitsprobleme zu bewältigen, auf die er in seinem Arbeitsalltag wahrscheinlich stoßen wird. Sicherheitsbewusstsein und praktische Fähigkeiten sollten im Softwareentwicklungsprozess nicht verhandelbar sein, und es liegt an den Sicherheitsverantwortlichen, den Wandel auf Unternehmensebene zu beeinflussen.
‍

‍Bauen Sienoch heute eine erfolgreiche Sicherheitskultur in Ihrem Unternehmen auf mit ausführlichen Courses von Secure Code Warrior.

Softwareentwickler haben gezeigt, dass sie bereit sind, generative künstliche Intelligenz (KI) zum Schreiben von Code zu nutzen, und sie haben im Allgemeinen einige positive Ergebnisse erzielt. Aber es gibt auch viele Anzeichen dafür, dass sie ein gefährliches Spiel spielen könnten.

Laut einer kürzlich von GitHub durchgeführten Umfrage nutzen mehr als 90 % der US-Entwickler KI-Codierungstools und geben als Vorteile schnellere Fertigstellungszeiten, eine schnellere Lösung von Problemen und ein kollaborativeres Umfeld an, was sie als wichtig erachten. Die Arbeit mit KI-Tools ermöglicht es Entwicklern, Routineaufgaben abzugeben, so dass sie sich kreativeren Aufgaben widmen können, die ihrem Unternehmen zugutekommen, und verringert nicht zuletzt die Gefahr eines Burnouts am Arbeitsplatz.

Studien haben jedoch auch gezeigt, dass KI-Tools dazu neigen, beim Schreiben von Code Fehler zu machen. Eine Umfrage von Snyk ergab, dass zwar 75,8 % der Befragten angaben, dass KI-Code sicherer ist als menschlicher Code, aber 56,4 % räumten ein, dass KI manchmal Probleme bei der Codierung verursacht. Alarmierenderweise gaben 80 % der Befragten an, dass sie die Sicherheitsrichtlinien für KI-Code während der Entwicklung umgehen.

Seit dem Debüt von OpenAIs ChatGPT im November 2022 hat sich der Einsatz generativer KI-Modelle im Code-Entwicklungsprozess von Finanzdienstleistern, wie auch in vielen anderen Bereichen, blitzschnell verbreitet. Das rasche Auftauchen anderer Modelle wie GitHub Copilot, OpenAI Codex und eine wachsende Liste weiterer Modelle deutet darauf hin, dass wir erst an der Oberfläche dessen gekratzt haben, was generative KI leisten kann und welche Auswirkungen sie haben kann. Damit dieser Einfluss jedoch positiv ist, müssen wir sicherstellen, dass der von ihr generierte Code sicher ist.

Programmierfehler können sich schnell verbreiten

Unabhängig davon, ob der Code von menschlichen Entwicklern oder von KI-Modellen erstellt wurde, wird er immer einige Fehler enthalten. Da KI dazu beiträgt, die Code-Entwicklung zu beschleunigen, um den ständig steigenden Anforderungen in hochgradig verteilten, cloudbasierten Computerumgebungen gerecht zu werden, könnte die Wahrscheinlichkeit steigen, dass sich fehlerhafter Code weit verbreitet, bevor er entdeckt wird. 

KI-Modelle, die für das Schreiben von Code trainiert werden, nehmen Tausende von Codebeispielen auf, die verschiedene Aufgaben erfüllen, und können dann auf diese Beispiele zurückgreifen, um ihren eigenen Code zu erstellen. Wenn die Beispiele jedoch Fehler oder Schwachstellen enthalten - unabhängig davon, ob sie ursprünglich von einem Menschen oder einer anderen KI erstellt wurden - könnte das Modell diese Fehler auf eine neue Umgebung übertragen. 

Da die Forschung gezeigt hat, dass KI-Modelle nicht in der Lage sind, Fehler in dem von ihnen verwendeten Code zuverlässig zu erkennen, gibt es kaum einen eingebauten Schutz gegen die Verbreitung von Fehlern und Schwachstellen. KI wird nicht nur Fehler bei der Programmierung machen, sondern auch ihre eigenen Fehler und die anderer Quellen wiederholen, bis die Schwachstelle irgendwann entdeckt wird - vielleicht in Form eines erfolgreichen Einbruchs in ein Unternehmen, das die von ihr erstellte Software nutzt.

Der wirkliche Schutz gegen die Verbreitung von Programmierfehlern besteht darin, dass Menschen und KI-Modelle zusammenarbeiten. Menschliche Entwickler sollten das Schreiben von KI-Code überwachen und als Kontrolle gegen unsichere Codierungspraktiken und anfälligen Code dienen. Dazu müssen die Entwickler jedoch gründlich in den bewährten Verfahren für die Erstellung von sicherem Code geschult werden, damit sie mögliche KI-Fehler erkennen und schnell korrigieren können.

Die Herausforderungen der KI-Code-Erstellung und -Beseitigung

Die plötzliche Explosion großer Sprachmodelle (LLMs) wie ChatGPT war eine Art zweischneidiges Schwert. Auf der einen Seite haben Unternehmen und alltägliche Nutzer enorme Produktivitätsgewinne durch den Einsatz von KI zur Erledigung zeitraubender, lästiger oder schwieriger Aufgaben erlebt. Auf der anderen Seite gibt es viele Beispiele dafür, was schief gehen kann, wenn man KI blindlings die Arbeit überlässt.

KI-Modelle haben eklatante Fehler gemacht, Voreingenommenheit gezeigt und regelrechte Halluzinationen erzeugt. In vielen Fällen lag die Ursache für das Problem in unzureichenden oder unverantwortlichen Trainingsdaten. Jedes KI-Modell ist nur so gut wie die Daten, mit denen es trainiert wurde. Deshalb ist es wichtig, dass die Trainingsdaten umfassend und sorgfältig geprüft sind. Aber auch dann werden Fehler gemacht.

Die Verwendung von KI für die Programmierung steht vor vielen der gleichen Hürden. Es hat sich gezeigt, dass von KI generierter Code eine Reihe von Schwachstellen enthält, z. B. Anfälligkeiten für Cross-Site-Scripting und Code-Injection sowie Angriffe, die speziell auf KI und maschinelles Lernen (ML) ausgerichtet sind, wie z. B. Prompt-Injection. KI-Modelle arbeiten auch als Blackbox, weil ihre Prozesse nicht transparent sind, so dass ein Sicherheits- oder Entwicklungsteam nicht sehen kann, wie eine KI zu ihren Schlussfolgerungen kommt. Infolgedessen kann das Modell die gleichen Fehler immer wiederholen. Die gleichen Unzulänglichkeiten, die sich auf das Schreiben von Code auswirken können, gelten auch für den Einsatz von KI zur Codebereinigung und zur Erfüllung von Compliance-Anforderungen. 

Das Potenzial für Fehler, die von KI-Modellen erzeugt oder wiederholt werden, ist so groß, dass LLMs jetzt eine eigene Liste der zehn größten Schwachstellen des Open Web Application Security Project (OWASP) haben.

Entwickler und KI können zusammenarbeiten, um sicheren Code zu erstellen

Bedenken hinsichtlich möglicher Fehler in KI-generiertem Code könnten einige Unternehmen, wenn auch nur kurz, davon abhalten, die Technologie weiter zu nutzen. Aber die potenziellen Vorteile sind zu groß, um sie zu ignorieren, vor allem, wenn die KI-Entwickler ihre Modelle weiter innovativ gestalten und verbessern. Es ist unwahrscheinlich, dass die Finanzdienstleistungsbranche den Geist wieder in die Flasche stecken wird. Banken und Finanzdienstleister sind bereits technologiegetrieben und in einem Bereich tätig, in dem sie immer auf der Suche nach einem Wettbewerbsvorteil sind. 

Der Schlüssel liegt darin, KI-Modelle so zu implementieren, dass das Risiko minimiert wird. Und das bedeutet, dass die Entwickler über ein Sicherheitsbewusstsein verfügen und gründlich in den Best Practices für die sichere Programmierung geschult sind, damit sie selbst sicheren Code schreiben und den von den KI-Modellen erzeugten Code genau überwachen können. Wenn KI-Engines und menschliche Entwickler in enger Partnerschaft zusammenarbeiten und die Entwickler das letzte Wort haben, können Unternehmen die Vorteile einer verbesserten Produktivität und Effizienz nutzen und gleichzeitig die Sicherheit verbessern, Risiken begrenzen und die Einhaltung von Vorschriften gewährleisten. 

Einen umfassenden Überblick darüber, wie sichere Kodierung den Erfolg, die Sicherheit und die Gewinne von Finanzdienstleistungsunternehmen gewährleisten kann, finden Sie in dem neu veröffentlichten Leitfaden Secure Code Warrior : Der ultimative Leitfaden für Sicherheitstrends im Finanzdienstleistungssektor.

‍

‍

Besuchen Sie die Secure Code Warrior Blog-Seiten, um mehr über Cybersicherheit und die zunehmend gefährliche Bedrohungslage zu erfahren und um zu lernen, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.

‍

Kürzlich hatte ich das Privileg, ein Webinar zu veranstalten, in dem unser CTO Matias Madou und Sharon Kochevsky von Mednd.iodas Thema "Übernahme der Verantwortung für Schwachstellenwarnungen" behandelten. Während der Sitzung wurden sowohl die Herausforderungen als auch die Lösungen im Umgang mit Warnungen vor Sicherheitslücken erörtert. Für den Fall, dass Sie das Webinar verpasst haben, finden Sie hier einige der wichtigsten Erkenntnisse aus ihrem Gespräch. Natürlich ist das Webinar jetzt auch als On-Demand-Version verfügbar, um alle Details zu erfahren. 

Auswirkungen der KI auf die Sicherheit

Matias nutzte die Analogie zu selbstfahrenden Autos, um den aktuellen Stand der KI bei der Entwicklung sicherer Software zu erläutern. Selbstfahrende Autos können zwar technisch gesehen selbst fahren, aber auf der Straße gibt es immer noch Probleme. So verwies er beispielsweise auf eine Situation, in der selbstfahrende Autos auf der Straße auf ein Problem stießen, das es zuvor noch nie gegeben hatte, und infolgedessen den Geist aufgaben. Es wird Probleme geben, und es sind die menschlichen Techniker, die sie lösen müssen. Ähnlich verhält es sich, wenn Entwickler der KI blindlings folgen, was zu Fehlern im Code und Schwachstellen führen kann.  

Damit die KI bessere Ergebnisse liefern kann, betont Matias die Notwendigkeit von Regelmäßigkeit und zahlreichen guten Codebeispielen, um die Entwickler auf die KI-Modelle zu trainieren. Während KI derzeit gut mit generischen Frameworks funktioniert, ist sie bei realen Anwendungen, die mit Millionen von Codezeilen arbeiten, unzureichend.

Er erläuterte weiter, dass erfahrene Entwickler von den Vorteilen der generativen KI für eine beschleunigte Programmierung profitieren könnten, dass jedoch nicht geschulte Entwickler eine Gefahr darstellen könnten, da sie fehlerhafte Codes in hohem Tempo reproduzieren und einfügen könnten. 

Umstellung auf Proaktivität

Ein Thema, das die Diskussion anführte, war die Verlagerung hin zu proaktiven Maßnahmen. Sharon Kochevsky plädiert dafür, dass Unternehmen und AppSec-Programme einen proaktiveren Ansatz mit tatsächlichen Codekorrekturen gegenüber einem reaktiven Ansatz mit Schwerpunkt auf der Sicherheitsberichterstattung verfolgen, anstatt Sicherheitsprobleme im Auge zu behalten. In Übereinstimmung mit Matias unterstreicht er die Notwendigkeit, über rein administrative Praktiken hinauszugehen und sich auf konsequente Ergebnisse zu konzentrieren. Die Diskussionsteilnehmer erörterten auch die wichtigsten Bereiche der Berichterstellung sowie die Verwendung von Sicherheitsprodukten, die mit Echtzeit-Dashboards und Problemverfolgung ausgestattet sind. 

Überbrückung der Kluft 

Sharon und Matias haben auch ein entscheidendes Problem ausgemacht, das angegangen werden sollte: die fehlende Verbindung zwischen Entwicklern und Sicherheitsverantwortlichen. Organisationen und Unternehmen setzen jetzt Sicherheitsbeauftragte ein, um diese Kluft zu überbrücken. Dabei handelt es sich um Sicherheitsexperten, die innerhalb des Entwicklungsteams angesiedelt sind und proaktive Sicherheitsmaßnahmen fördern.

Natürlich haben wir bei diesem Thema nur an der Oberfläche gekratzt, und die Diskussion geht über diese Webinare hinaus; kontinuierliche Diskussionen und Engagement sind in unserer sich ständig weiterentwickelnden Branche von entscheidender Bedeutung. Wenn Sie mehr erfahren oder sich die Sitzung noch einmal ansehen möchten, ist sie jetzt als On-Demand-Version verfügbar.

‍