Cómo Envestnet adoptó una plataforma de aprendizaje de código ágil y segura y triplicó la eficacia de los desarrolladores en la reducción de vulnerabilidades
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Descubra cómo Derek Fisher, director de seguridad de productos de Envestnet y autor de «The Application Security Handbook», trabajó con Secure Code Warrior para desarrollar un enfoque holístico para reducir las vulnerabilidades mediante la habilitación ágil de código seguro para sus equipos de desarrolladores.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Inhaltsverzeichnis
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.