Definition von sicherem Code
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme entwickeln, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären nicht in der Lage, ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugriff auf ihre Websites und andere Infrastrukturen (profitabel) zu funktionieren.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.
Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.
Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.
Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.
Und warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.
Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.
Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.
Was können Organisationen tun, um die Situation zu verbessern?
Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.
Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.
Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.
Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.
Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.
Das Ziel eines sicheren Codes in die Tat umsetzen
Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.
Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.
Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.
37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.
Sind Sie an weiteren Informationen zu diesem Thema interessiert?
Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.
Inhaltsverzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
