Entwicklerturniere: AppSecs Geheimwaffe zur Verbesserung der Sicherheitskultur und des Engagements
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
