Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
.avif)
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
