Möchten Sie, dass Entwickler bei der Programmierung die Sicherheit berücksichtigen? Bieten Sie ihnen die entsprechende Schulung an.
Der Lebenszyklus der Softwareentwicklung (SDLC) scheint recht harmlos zu sein; es handelt sich um einen Prozess, und wir Programmierer arbeiten zusammen, um die Magie zu verwirklichen und all die digitalen Vorteile zu liefern, ohne die die Gesellschaft nicht leben kann.
Außer dass... wenn Sie jemals an einem Softwareentwicklungsprojekt beteiligt waren, wissen Sie, dass dies in der Regel eine Herausforderung ist, mit vielen Aufgaben, die es zu bewältigen gilt, und Drachen, die es zu töten gilt. Eine Zeit lang macht das Spaß, aber die Erschöpfung ist real, und die Nachfrage nach Software zwingt uns alle dazu, im besten Fall mit Lichtgeschwindigkeit zu arbeiten, insbesondere das Entwicklungsteam.
Stellen Sie sich nun vor, dass Ihnen eine weitere unverzichtbare Aufgabe übertragen wird: die Verantwortung für die Sicherheit der Projektelemente, mit denen Sie zu tun haben. Im schlimmsten Fall kann dies dazu führen, dass für manche Menschen das Kartenhaus zusammenbricht, aber realistischerweise wird dies einfach keine Priorität haben und die Fragen, die als dringlicher angesehen werden, werden Vorrang haben. Und da die meisten Entwickler nicht für sicheres Programmieren geschult sind (insbesondere wenn auch ihre Administratoren der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es häufig zu Datenlecks, fehlerhaften Anwendungsstarts und einer hohen Fluktuation unter Sicherheitsfachleuten kommt, die aufgrund einer Flut von fehlerhaftem Code an ihre Grenzen stoßen.
Entwickler brauchen einen AppSec-Verfechter.
Wenn man das oben beschriebene Szenario analysiert, versteht man, warum die Sicherheit während des Codierungsprozesses in die Kategorie „zu schwierig” fällt und dem Sicherheitsteam überlassen wird. Zu viele widersprüchliche Fristen, unzureichende Schulungen und kein wirklicher Grund, sich neben all dem anderen auch noch um die Sicherheit zu kümmern. Allerdings ist die Nachfrage nach Code einfach zu groß, als dass dieser Status quo beibehalten werden könnte. Und genau hier können sich Elite-Entwickler von ihren Kollegen abheben, neue Fähigkeiten erlernen und, was noch wichtiger ist, sichereren Code erstellen.
Es ist jedoch wichtig, sich daran zu erinnern, dass die Verwaltung der Softwaresicherheit nicht nur in der Verantwortung der Entwickler liegt, sondern weiterhin in den Zuständigkeitsbereich des AppSec-Teams fällt (das, wenn es mit sicherheitsbewussten Entwicklern zusammenarbeitet, mehr Freiraum hat, anstatt immer wieder häufige Fehler zu korrigieren). Ein funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die Unterstützung und die Tools erhalten, die sie benötigen, um die Verantwortung für die Sicherheit zu teilen, wobei die richtige Art von Schulung von entscheidender Bedeutung ist. Die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, erfordert die Vision von AppSec-Fachleuten, die bereit sind, eng mit den Entwicklern zusammenzuarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Disruptive Schulungen sind eher störend als effektiv, und alles, was Entwickler abschreckt, wird nicht funktionieren. Eine Alternative ist die Verwendung einer IDE oder einer integrierten Lösung mit einem Problemverfolgungssystem, das sich auf Wissen in kleinem Maßstab konzentriert und ihnen die richtigen Informationen genau dann liefert, wenn sie diese benötigen.
So funktioniert es in der Praxis:
Genau zum richtigen Zeitpunkt, nicht „für alle Fälle“.
Praktisches und kontextbezogenes Lernen ist bei weitem die effektivste Art des Trainings, da es mundgerechte Häppchen genau dann liefert, wenn sie am sinnvollsten sind. Manchmal wird dies als „Just-in-Time”-Training (JiT) bezeichnet und ist sehr nützlich für Entwickler, die das Programmieren sicher erlernen möchten.
Basierend auf den Prinzipien der schlanken Fertigung von Toyota ist die iIT-Schulung so konzipiert, dass sie sich nach dem Bedarf richtet, im Kontext zu wissen, wann es am wichtigsten ist. Hat ein Entwickler gerade etwas geschrieben, das falsche Berechtigungen zu haben scheint? Was würde passieren, wenn sich eine kleine Hintertür öffnen würde, die es einem Angreifer ermöglichen würde, Code aus der Ferne auszuführen? Es wäre viel einprägsamer, wenn Entwickler genau dann auf das Wissen zugreifen könnten, wenn sie es brauchen, anstatt in der Confluence-Dokumentation zu suchen oder bei Google nach etwas zu suchen, das in der Schulung erwähnt wurde.
Just-in-Time-Lernen ist das Gegenteil von „für alle Fälle“-Lernen. Letzteres ist zwar die gängigste Form der Wissensvermittlung, aber einfach nicht effizient. Wir müssen Entwicklern die Möglichkeit geben, sich für Best Practices der sicheren Programmierung zu interessieren und die Vorteile einer Verbesserung ihrer beruflichen Fähigkeiten zu erkennen, ohne dabei die aktuellen Kernziele aus den Augen zu verlieren.
Hören Sie auf, Entwickler zu zwingen, an Schulungen teilzunehmen.
Wir wissen bereits, dass es an einem Arbeitstag zu viel zu tun gibt. Was motiviert Entwickler also, in einen Unterrichtsraum zu gehen oder den Kontext zu wechseln, um fünf Schritte zu befolgen und an einer auf statischer Theorie basierenden Schulung teilzunehmen?
Der allgemeine Konsens lautet, dass die Maßnahmen der meisten Organisationen nicht sehr wirksam sind, wenn man die Anzahl der Schwachstellen berücksichtigt, die zu Datenlecks führen. Der Bericht von Verizon über Datenverstöße aus dem Jahr 2020 stellte fest, dass 43 % der Datenlecks auf Web-Schwachstellen zurückzuführen sind. Entwickler erhalten keine wirksame Ausbildung, weder im Rahmen der Hochschulbildung noch im Rahmen von Maßnahmen zur Verbesserung der Qualifikationen am Arbeitsplatz. Wäre dies der Fall, würden gängige Schwachstellen wie SQL-Injection und Old-School-Pfadausführung nicht ausgenutzt, um eine erhebliche Menge an Daten zu erlangen, und der Mangel an Cybersicherheitskompetenzen wäre nicht außer Kontrolle geraten.
Wenn wir also wissen, dass dies das aktuelle Umfeld ist, in dem Entwickler geschult werden und sich mit Sicherheit vertraut machen, warum überrascht uns dann das schlechte Ergebnis? Es könnte sich sowohl für den Entwickler als auch für das Unternehmen (positiv) auswirken, wenn eine reibungslosere, integrierte und weniger störende Schulungserfahrung gewährleistet würde, die von den Bereichen aus zugänglich ist, in denen sie tatsächlich arbeiten, wie Jira, GitHub und die IDE. Die Branche muss einfach vorankommen und das Sicherheitsbewusstsein in einer Umgebung, in der es kein Luxus mehr ist, viel einfacher machen.
Sind Sie bereit, den Entwicklungs-Workflow zu schützen?
Entwickler, die sich um Sicherheit kümmern, werden für ihre Fähigkeiten und den Schutz, den sie Unternehmen bereits in der Phase der Codeerstellung bieten können, hoch geschätzt. Sicherheit ist nicht mehr optional, insbesondere wenn man die Strafen berücksichtigt, die durch die DSGVO, die PCI-DSS-Compliance-Vorschriften, die NIST-Governance usw. verhängt werden, sowie die Möglichkeit, im Rahmen einer großen Sammelklage in Millionenhöhe verklagt zu werden, wie im Fall von Equifax.
Ein integrierter Ansatz könnte der Katalysator sein, um Entwickler mit weniger störendem Lernen für sich zu gewinnen und Wege zu schaffen, um detailliertere Kurse anzubieten, Sicherheitsbeauftragte zu schulen und generell die gemeinsame Verantwortung zu fördern, die wir brauchen, um die Daten der Welt sicher und geschützt zu halten.
Laden Sie jetzt die Integrations-Tools für Jira und GitHub herunter und teilen Sie uns Ihre Meinung mit.
Wir wissen bereits, dass es an einem Arbeitstag zu viel zu tun gibt. Was motiviert Entwickler also, in einen Unterrichtsraum zu gehen oder den Kontext zu wechseln, um fünf Schritte zu befolgen und an einer auf statischer Theorie basierenden Schulung teilzunehmen?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Der Lebenszyklus der Softwareentwicklung (SDLC) scheint recht harmlos zu sein; es handelt sich um einen Prozess, und wir Programmierer arbeiten zusammen, um die Magie zu verwirklichen und all die digitalen Vorteile zu liefern, ohne die die Gesellschaft nicht leben kann.
Außer dass... wenn Sie jemals an einem Softwareentwicklungsprojekt beteiligt waren, wissen Sie, dass dies in der Regel eine Herausforderung ist, mit vielen Aufgaben, die es zu bewältigen gilt, und Drachen, die es zu töten gilt. Eine Zeit lang macht das Spaß, aber die Erschöpfung ist real, und die Nachfrage nach Software zwingt uns alle dazu, im besten Fall mit Lichtgeschwindigkeit zu arbeiten, insbesondere das Entwicklungsteam.
Stellen Sie sich nun vor, dass Ihnen eine weitere unverzichtbare Aufgabe übertragen wird: die Verantwortung für die Sicherheit der Projektelemente, mit denen Sie zu tun haben. Im schlimmsten Fall kann dies dazu führen, dass für manche Menschen das Kartenhaus zusammenbricht, aber realistischerweise wird dies einfach keine Priorität haben und die Fragen, die als dringlicher angesehen werden, werden Vorrang haben. Und da die meisten Entwickler nicht für sicheres Programmieren geschult sind (insbesondere wenn auch ihre Administratoren der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es häufig zu Datenlecks, fehlerhaften Anwendungsstarts und einer hohen Fluktuation unter Sicherheitsfachleuten kommt, die aufgrund einer Flut von fehlerhaftem Code an ihre Grenzen stoßen.
Entwickler brauchen einen AppSec-Verfechter.
Wenn man das oben beschriebene Szenario analysiert, versteht man, warum die Sicherheit während des Codierungsprozesses in die Kategorie „zu schwierig” fällt und dem Sicherheitsteam überlassen wird. Zu viele widersprüchliche Fristen, unzureichende Schulungen und kein wirklicher Grund, sich neben all dem anderen auch noch um die Sicherheit zu kümmern. Allerdings ist die Nachfrage nach Code einfach zu groß, als dass dieser Status quo beibehalten werden könnte. Und genau hier können sich Elite-Entwickler von ihren Kollegen abheben, neue Fähigkeiten erlernen und, was noch wichtiger ist, sichereren Code erstellen.
Es ist jedoch wichtig, sich daran zu erinnern, dass die Verwaltung der Softwaresicherheit nicht nur in der Verantwortung der Entwickler liegt, sondern weiterhin in den Zuständigkeitsbereich des AppSec-Teams fällt (das, wenn es mit sicherheitsbewussten Entwicklern zusammenarbeitet, mehr Freiraum hat, anstatt immer wieder häufige Fehler zu korrigieren). Ein funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die Unterstützung und die Tools erhalten, die sie benötigen, um die Verantwortung für die Sicherheit zu teilen, wobei die richtige Art von Schulung von entscheidender Bedeutung ist. Die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, erfordert die Vision von AppSec-Fachleuten, die bereit sind, eng mit den Entwicklern zusammenzuarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Disruptive Schulungen sind eher störend als effektiv, und alles, was Entwickler abschreckt, wird nicht funktionieren. Eine Alternative ist die Verwendung einer IDE oder einer integrierten Lösung mit einem Problemverfolgungssystem, das sich auf Wissen in kleinem Maßstab konzentriert und ihnen die richtigen Informationen genau dann liefert, wenn sie diese benötigen.
So funktioniert es in der Praxis:
Genau zum richtigen Zeitpunkt, nicht „für alle Fälle“.
Praktisches und kontextbezogenes Lernen ist bei weitem die effektivste Art des Trainings, da es mundgerechte Häppchen genau dann liefert, wenn sie am sinnvollsten sind. Manchmal wird dies als „Just-in-Time”-Training (JiT) bezeichnet und ist sehr nützlich für Entwickler, die das Programmieren sicher erlernen möchten.
Basierend auf den Prinzipien der schlanken Fertigung von Toyota ist die iIT-Schulung so konzipiert, dass sie sich nach dem Bedarf richtet, im Kontext zu wissen, wann es am wichtigsten ist. Hat ein Entwickler gerade etwas geschrieben, das falsche Berechtigungen zu haben scheint? Was würde passieren, wenn sich eine kleine Hintertür öffnen würde, die es einem Angreifer ermöglichen würde, Code aus der Ferne auszuführen? Es wäre viel einprägsamer, wenn Entwickler genau dann auf das Wissen zugreifen könnten, wenn sie es brauchen, anstatt in der Confluence-Dokumentation zu suchen oder bei Google nach etwas zu suchen, das in der Schulung erwähnt wurde.
Just-in-Time-Lernen ist das Gegenteil von „für alle Fälle“-Lernen. Letzteres ist zwar die gängigste Form der Wissensvermittlung, aber einfach nicht effizient. Wir müssen Entwicklern die Möglichkeit geben, sich für Best Practices der sicheren Programmierung zu interessieren und die Vorteile einer Verbesserung ihrer beruflichen Fähigkeiten zu erkennen, ohne dabei die aktuellen Kernziele aus den Augen zu verlieren.
Hören Sie auf, Entwickler zu zwingen, an Schulungen teilzunehmen.
Wir wissen bereits, dass es an einem Arbeitstag zu viel zu tun gibt. Was motiviert Entwickler also, in einen Unterrichtsraum zu gehen oder den Kontext zu wechseln, um fünf Schritte zu befolgen und an einer auf statischer Theorie basierenden Schulung teilzunehmen?
Der allgemeine Konsens lautet, dass die Maßnahmen der meisten Organisationen nicht sehr wirksam sind, wenn man die Anzahl der Schwachstellen berücksichtigt, die zu Datenlecks führen. Der Bericht von Verizon über Datenverstöße aus dem Jahr 2020 stellte fest, dass 43 % der Datenlecks auf Web-Schwachstellen zurückzuführen sind. Entwickler erhalten keine wirksame Ausbildung, weder im Rahmen der Hochschulbildung noch im Rahmen von Maßnahmen zur Verbesserung der Qualifikationen am Arbeitsplatz. Wäre dies der Fall, würden gängige Schwachstellen wie SQL-Injection und Old-School-Pfadausführung nicht ausgenutzt, um eine erhebliche Menge an Daten zu erlangen, und der Mangel an Cybersicherheitskompetenzen wäre nicht außer Kontrolle geraten.
Wenn wir also wissen, dass dies das aktuelle Umfeld ist, in dem Entwickler geschult werden und sich mit Sicherheit vertraut machen, warum überrascht uns dann das schlechte Ergebnis? Es könnte sich sowohl für den Entwickler als auch für das Unternehmen (positiv) auswirken, wenn eine reibungslosere, integrierte und weniger störende Schulungserfahrung gewährleistet würde, die von den Bereichen aus zugänglich ist, in denen sie tatsächlich arbeiten, wie Jira, GitHub und die IDE. Die Branche muss einfach vorankommen und das Sicherheitsbewusstsein in einer Umgebung, in der es kein Luxus mehr ist, viel einfacher machen.
Sind Sie bereit, den Entwicklungs-Workflow zu schützen?
Entwickler, die sich um Sicherheit kümmern, werden für ihre Fähigkeiten und den Schutz, den sie Unternehmen bereits in der Phase der Codeerstellung bieten können, hoch geschätzt. Sicherheit ist nicht mehr optional, insbesondere wenn man die Strafen berücksichtigt, die durch die DSGVO, die PCI-DSS-Compliance-Vorschriften, die NIST-Governance usw. verhängt werden, sowie die Möglichkeit, im Rahmen einer großen Sammelklage in Millionenhöhe verklagt zu werden, wie im Fall von Equifax.
Ein integrierter Ansatz könnte der Katalysator sein, um Entwickler mit weniger störendem Lernen für sich zu gewinnen und Wege zu schaffen, um detailliertere Kurse anzubieten, Sicherheitsbeauftragte zu schulen und generell die gemeinsame Verantwortung zu fördern, die wir brauchen, um die Daten der Welt sicher und geschützt zu halten.
Laden Sie jetzt die Integrations-Tools für Jira und GitHub herunter und teilen Sie uns Ihre Meinung mit.
Der Lebenszyklus der Softwareentwicklung (SDLC) scheint recht harmlos zu sein; es handelt sich um einen Prozess, und wir Programmierer arbeiten zusammen, um die Magie zu verwirklichen und all die digitalen Vorteile zu liefern, ohne die die Gesellschaft nicht leben kann.
Außer dass... wenn Sie jemals an einem Softwareentwicklungsprojekt beteiligt waren, wissen Sie, dass dies in der Regel eine Herausforderung ist, mit vielen Aufgaben, die es zu bewältigen gilt, und Drachen, die es zu töten gilt. Eine Zeit lang macht das Spaß, aber die Erschöpfung ist real, und die Nachfrage nach Software zwingt uns alle dazu, im besten Fall mit Lichtgeschwindigkeit zu arbeiten, insbesondere das Entwicklungsteam.
Stellen Sie sich nun vor, dass Ihnen eine weitere unverzichtbare Aufgabe übertragen wird: die Verantwortung für die Sicherheit der Projektelemente, mit denen Sie zu tun haben. Im schlimmsten Fall kann dies dazu führen, dass für manche Menschen das Kartenhaus zusammenbricht, aber realistischerweise wird dies einfach keine Priorität haben und die Fragen, die als dringlicher angesehen werden, werden Vorrang haben. Und da die meisten Entwickler nicht für sicheres Programmieren geschult sind (insbesondere wenn auch ihre Administratoren der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es häufig zu Datenlecks, fehlerhaften Anwendungsstarts und einer hohen Fluktuation unter Sicherheitsfachleuten kommt, die aufgrund einer Flut von fehlerhaftem Code an ihre Grenzen stoßen.
Entwickler brauchen einen AppSec-Verfechter.
Wenn man das oben beschriebene Szenario analysiert, versteht man, warum die Sicherheit während des Codierungsprozesses in die Kategorie „zu schwierig” fällt und dem Sicherheitsteam überlassen wird. Zu viele widersprüchliche Fristen, unzureichende Schulungen und kein wirklicher Grund, sich neben all dem anderen auch noch um die Sicherheit zu kümmern. Allerdings ist die Nachfrage nach Code einfach zu groß, als dass dieser Status quo beibehalten werden könnte. Und genau hier können sich Elite-Entwickler von ihren Kollegen abheben, neue Fähigkeiten erlernen und, was noch wichtiger ist, sichereren Code erstellen.
Es ist jedoch wichtig, sich daran zu erinnern, dass die Verwaltung der Softwaresicherheit nicht nur in der Verantwortung der Entwickler liegt, sondern weiterhin in den Zuständigkeitsbereich des AppSec-Teams fällt (das, wenn es mit sicherheitsbewussten Entwicklern zusammenarbeitet, mehr Freiraum hat, anstatt immer wieder häufige Fehler zu korrigieren). Ein funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die Unterstützung und die Tools erhalten, die sie benötigen, um die Verantwortung für die Sicherheit zu teilen, wobei die richtige Art von Schulung von entscheidender Bedeutung ist. Die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, erfordert die Vision von AppSec-Fachleuten, die bereit sind, eng mit den Entwicklern zusammenzuarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Disruptive Schulungen sind eher störend als effektiv, und alles, was Entwickler abschreckt, wird nicht funktionieren. Eine Alternative ist die Verwendung einer IDE oder einer integrierten Lösung mit einem Problemverfolgungssystem, das sich auf Wissen in kleinem Maßstab konzentriert und ihnen die richtigen Informationen genau dann liefert, wenn sie diese benötigen.
So funktioniert es in der Praxis:
Genau zum richtigen Zeitpunkt, nicht „für alle Fälle“.
Praktisches und kontextbezogenes Lernen ist bei weitem die effektivste Art des Trainings, da es mundgerechte Häppchen genau dann liefert, wenn sie am sinnvollsten sind. Manchmal wird dies als „Just-in-Time”-Training (JiT) bezeichnet und ist sehr nützlich für Entwickler, die das Programmieren sicher erlernen möchten.
Basierend auf den Prinzipien der schlanken Fertigung von Toyota ist die iIT-Schulung so konzipiert, dass sie sich nach dem Bedarf richtet, im Kontext zu wissen, wann es am wichtigsten ist. Hat ein Entwickler gerade etwas geschrieben, das falsche Berechtigungen zu haben scheint? Was würde passieren, wenn sich eine kleine Hintertür öffnen würde, die es einem Angreifer ermöglichen würde, Code aus der Ferne auszuführen? Es wäre viel einprägsamer, wenn Entwickler genau dann auf das Wissen zugreifen könnten, wenn sie es brauchen, anstatt in der Confluence-Dokumentation zu suchen oder bei Google nach etwas zu suchen, das in der Schulung erwähnt wurde.
Just-in-Time-Lernen ist das Gegenteil von „für alle Fälle“-Lernen. Letzteres ist zwar die gängigste Form der Wissensvermittlung, aber einfach nicht effizient. Wir müssen Entwicklern die Möglichkeit geben, sich für Best Practices der sicheren Programmierung zu interessieren und die Vorteile einer Verbesserung ihrer beruflichen Fähigkeiten zu erkennen, ohne dabei die aktuellen Kernziele aus den Augen zu verlieren.
Hören Sie auf, Entwickler zu zwingen, an Schulungen teilzunehmen.
Wir wissen bereits, dass es an einem Arbeitstag zu viel zu tun gibt. Was motiviert Entwickler also, in einen Unterrichtsraum zu gehen oder den Kontext zu wechseln, um fünf Schritte zu befolgen und an einer auf statischer Theorie basierenden Schulung teilzunehmen?
Der allgemeine Konsens lautet, dass die Maßnahmen der meisten Organisationen nicht sehr wirksam sind, wenn man die Anzahl der Schwachstellen berücksichtigt, die zu Datenlecks führen. Der Bericht von Verizon über Datenverstöße aus dem Jahr 2020 stellte fest, dass 43 % der Datenlecks auf Web-Schwachstellen zurückzuführen sind. Entwickler erhalten keine wirksame Ausbildung, weder im Rahmen der Hochschulbildung noch im Rahmen von Maßnahmen zur Verbesserung der Qualifikationen am Arbeitsplatz. Wäre dies der Fall, würden gängige Schwachstellen wie SQL-Injection und Old-School-Pfadausführung nicht ausgenutzt, um eine erhebliche Menge an Daten zu erlangen, und der Mangel an Cybersicherheitskompetenzen wäre nicht außer Kontrolle geraten.
Wenn wir also wissen, dass dies das aktuelle Umfeld ist, in dem Entwickler geschult werden und sich mit Sicherheit vertraut machen, warum überrascht uns dann das schlechte Ergebnis? Es könnte sich sowohl für den Entwickler als auch für das Unternehmen (positiv) auswirken, wenn eine reibungslosere, integrierte und weniger störende Schulungserfahrung gewährleistet würde, die von den Bereichen aus zugänglich ist, in denen sie tatsächlich arbeiten, wie Jira, GitHub und die IDE. Die Branche muss einfach vorankommen und das Sicherheitsbewusstsein in einer Umgebung, in der es kein Luxus mehr ist, viel einfacher machen.
Sind Sie bereit, den Entwicklungs-Workflow zu schützen?
Entwickler, die sich um Sicherheit kümmern, werden für ihre Fähigkeiten und den Schutz, den sie Unternehmen bereits in der Phase der Codeerstellung bieten können, hoch geschätzt. Sicherheit ist nicht mehr optional, insbesondere wenn man die Strafen berücksichtigt, die durch die DSGVO, die PCI-DSS-Compliance-Vorschriften, die NIST-Governance usw. verhängt werden, sowie die Möglichkeit, im Rahmen einer großen Sammelklage in Millionenhöhe verklagt zu werden, wie im Fall von Equifax.
Ein integrierter Ansatz könnte der Katalysator sein, um Entwickler mit weniger störendem Lernen für sich zu gewinnen und Wege zu schaffen, um detailliertere Kurse anzubieten, Sicherheitsbeauftragte zu schulen und generell die gemeinsame Verantwortung zu fördern, die wir brauchen, um die Daten der Welt sicher und geschützt zu halten.
Laden Sie jetzt die Integrations-Tools für Jira und GitHub herunter und teilen Sie uns Ihre Meinung mit.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Der Lebenszyklus der Softwareentwicklung (SDLC) scheint recht harmlos zu sein; es handelt sich um einen Prozess, und wir Programmierer arbeiten zusammen, um die Magie zu verwirklichen und all die digitalen Vorteile zu liefern, ohne die die Gesellschaft nicht leben kann.
Außer dass... wenn Sie jemals an einem Softwareentwicklungsprojekt beteiligt waren, wissen Sie, dass dies in der Regel eine Herausforderung ist, mit vielen Aufgaben, die es zu bewältigen gilt, und Drachen, die es zu töten gilt. Eine Zeit lang macht das Spaß, aber die Erschöpfung ist real, und die Nachfrage nach Software zwingt uns alle dazu, im besten Fall mit Lichtgeschwindigkeit zu arbeiten, insbesondere das Entwicklungsteam.
Stellen Sie sich nun vor, dass Ihnen eine weitere unverzichtbare Aufgabe übertragen wird: die Verantwortung für die Sicherheit der Projektelemente, mit denen Sie zu tun haben. Im schlimmsten Fall kann dies dazu führen, dass für manche Menschen das Kartenhaus zusammenbricht, aber realistischerweise wird dies einfach keine Priorität haben und die Fragen, die als dringlicher angesehen werden, werden Vorrang haben. Und da die meisten Entwickler nicht für sicheres Programmieren geschult sind (insbesondere wenn auch ihre Administratoren der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es häufig zu Datenlecks, fehlerhaften Anwendungsstarts und einer hohen Fluktuation unter Sicherheitsfachleuten kommt, die aufgrund einer Flut von fehlerhaftem Code an ihre Grenzen stoßen.
Entwickler brauchen einen AppSec-Verfechter.
Wenn man das oben beschriebene Szenario analysiert, versteht man, warum die Sicherheit während des Codierungsprozesses in die Kategorie „zu schwierig” fällt und dem Sicherheitsteam überlassen wird. Zu viele widersprüchliche Fristen, unzureichende Schulungen und kein wirklicher Grund, sich neben all dem anderen auch noch um die Sicherheit zu kümmern. Allerdings ist die Nachfrage nach Code einfach zu groß, als dass dieser Status quo beibehalten werden könnte. Und genau hier können sich Elite-Entwickler von ihren Kollegen abheben, neue Fähigkeiten erlernen und, was noch wichtiger ist, sichereren Code erstellen.
Es ist jedoch wichtig, sich daran zu erinnern, dass die Verwaltung der Softwaresicherheit nicht nur in der Verantwortung der Entwickler liegt, sondern weiterhin in den Zuständigkeitsbereich des AppSec-Teams fällt (das, wenn es mit sicherheitsbewussten Entwicklern zusammenarbeitet, mehr Freiraum hat, anstatt immer wieder häufige Fehler zu korrigieren). Ein funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die Unterstützung und die Tools erhalten, die sie benötigen, um die Verantwortung für die Sicherheit zu teilen, wobei die richtige Art von Schulung von entscheidender Bedeutung ist. Die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, erfordert die Vision von AppSec-Fachleuten, die bereit sind, eng mit den Entwicklern zusammenzuarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Disruptive Schulungen sind eher störend als effektiv, und alles, was Entwickler abschreckt, wird nicht funktionieren. Eine Alternative ist die Verwendung einer IDE oder einer integrierten Lösung mit einem Problemverfolgungssystem, das sich auf Wissen in kleinem Maßstab konzentriert und ihnen die richtigen Informationen genau dann liefert, wenn sie diese benötigen.
So funktioniert es in der Praxis:
Genau zum richtigen Zeitpunkt, nicht „für alle Fälle“.
Praktisches und kontextbezogenes Lernen ist bei weitem die effektivste Art des Trainings, da es mundgerechte Häppchen genau dann liefert, wenn sie am sinnvollsten sind. Manchmal wird dies als „Just-in-Time”-Training (JiT) bezeichnet und ist sehr nützlich für Entwickler, die das Programmieren sicher erlernen möchten.
Basierend auf den Prinzipien der schlanken Fertigung von Toyota ist die iIT-Schulung so konzipiert, dass sie sich nach dem Bedarf richtet, im Kontext zu wissen, wann es am wichtigsten ist. Hat ein Entwickler gerade etwas geschrieben, das falsche Berechtigungen zu haben scheint? Was würde passieren, wenn sich eine kleine Hintertür öffnen würde, die es einem Angreifer ermöglichen würde, Code aus der Ferne auszuführen? Es wäre viel einprägsamer, wenn Entwickler genau dann auf das Wissen zugreifen könnten, wenn sie es brauchen, anstatt in der Confluence-Dokumentation zu suchen oder bei Google nach etwas zu suchen, das in der Schulung erwähnt wurde.
Just-in-Time-Lernen ist das Gegenteil von „für alle Fälle“-Lernen. Letzteres ist zwar die gängigste Form der Wissensvermittlung, aber einfach nicht effizient. Wir müssen Entwicklern die Möglichkeit geben, sich für Best Practices der sicheren Programmierung zu interessieren und die Vorteile einer Verbesserung ihrer beruflichen Fähigkeiten zu erkennen, ohne dabei die aktuellen Kernziele aus den Augen zu verlieren.
Hören Sie auf, Entwickler zu zwingen, an Schulungen teilzunehmen.
Wir wissen bereits, dass es an einem Arbeitstag zu viel zu tun gibt. Was motiviert Entwickler also, in einen Unterrichtsraum zu gehen oder den Kontext zu wechseln, um fünf Schritte zu befolgen und an einer auf statischer Theorie basierenden Schulung teilzunehmen?
Der allgemeine Konsens lautet, dass die Maßnahmen der meisten Organisationen nicht sehr wirksam sind, wenn man die Anzahl der Schwachstellen berücksichtigt, die zu Datenlecks führen. Der Bericht von Verizon über Datenverstöße aus dem Jahr 2020 stellte fest, dass 43 % der Datenlecks auf Web-Schwachstellen zurückzuführen sind. Entwickler erhalten keine wirksame Ausbildung, weder im Rahmen der Hochschulbildung noch im Rahmen von Maßnahmen zur Verbesserung der Qualifikationen am Arbeitsplatz. Wäre dies der Fall, würden gängige Schwachstellen wie SQL-Injection und Old-School-Pfadausführung nicht ausgenutzt, um eine erhebliche Menge an Daten zu erlangen, und der Mangel an Cybersicherheitskompetenzen wäre nicht außer Kontrolle geraten.
Wenn wir also wissen, dass dies das aktuelle Umfeld ist, in dem Entwickler geschult werden und sich mit Sicherheit vertraut machen, warum überrascht uns dann das schlechte Ergebnis? Es könnte sich sowohl für den Entwickler als auch für das Unternehmen (positiv) auswirken, wenn eine reibungslosere, integrierte und weniger störende Schulungserfahrung gewährleistet würde, die von den Bereichen aus zugänglich ist, in denen sie tatsächlich arbeiten, wie Jira, GitHub und die IDE. Die Branche muss einfach vorankommen und das Sicherheitsbewusstsein in einer Umgebung, in der es kein Luxus mehr ist, viel einfacher machen.
Sind Sie bereit, den Entwicklungs-Workflow zu schützen?
Entwickler, die sich um Sicherheit kümmern, werden für ihre Fähigkeiten und den Schutz, den sie Unternehmen bereits in der Phase der Codeerstellung bieten können, hoch geschätzt. Sicherheit ist nicht mehr optional, insbesondere wenn man die Strafen berücksichtigt, die durch die DSGVO, die PCI-DSS-Compliance-Vorschriften, die NIST-Governance usw. verhängt werden, sowie die Möglichkeit, im Rahmen einer großen Sammelklage in Millionenhöhe verklagt zu werden, wie im Fall von Equifax.
Ein integrierter Ansatz könnte der Katalysator sein, um Entwickler mit weniger störendem Lernen für sich zu gewinnen und Wege zu schaffen, um detailliertere Kurse anzubieten, Sicherheitsbeauftragte zu schulen und generell die gemeinsame Verantwortung zu fördern, die wir brauchen, um die Daten der Welt sicher und geschützt zu halten.
Laden Sie jetzt die Integrations-Tools für Jira und GitHub herunter und teilen Sie uns Ihre Meinung mit.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.