Codierer erobern die Sicherheitsinfrastruktur als eine Reihe von Codes: Sicherheitsfunktionen deaktiviert
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
