Es reicht nicht aus, nach links zu wechseln: Warum es Ihr Schlüssel zu exzellenter Softwaresicherheit ist, links anzufangen
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
