Warum das Scaffolding-Lernen die Sicherheit von Entwicklern erhöht
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Inhaltsverzeichnis
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.