Informationen zum Sicherheitscode

Verantwortliche für Anwendungssicherheit, RSSI, DSI, Experten für Cybersicherheit – ich habe im Laufe meiner eigenen Karriere in der Softwareentwicklung und im Sicherheitsbereich mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt tätig sind.

Unabhängig von ihrer Situation, der Erfahrung ihres Teams oder der Zeit, die in dieser sich ständig verändernden digitalen Welt vergeht, bleibt ein Problem bestehen: Sie sind selten in der Lage, ihr Entwicklungsteam positiv in Sicherheitsfragen einzubeziehen. Sicherheit bleibt ein Tabuthema, eine Quelle von Konflikten zwischen den Teams und eine echte Herausforderung für die Branche.

Die Softwaresicherheit ist jedoch einfach zu wichtig, als dass wir unsere allgemeine Einstellung in dieser Richtung beibehalten könnten. Wir müssen uns bemühen, die Situation zu ändern und die Sicherheit zu einem festen Bestandteil des Berufsalltags jedes Entwicklers zu machen. Und ich denke, einer der besten Wege, dies zu erreichen, besteht darin, die Entwickler zu sensibilisieren und sie beispielsweise durch Gamification in Sicherheitsfragen einzubeziehen.

Die aktuelle Landschaft

Entwickler verlassen die Universität mit sehr geringen praktischen Kenntnissen über die Bereitstellung von sicherem Code. Sie nehmen Stellen an, in denen Sicherheitsschulungen selten Priorität haben (und wenn doch, dann sind sie in der Regel Teil der obligatorischen Videos zur Einhaltung von Gesundheits- und Sicherheitsvorschriften, die so langweilig sind, dass sich niemand für sicheres Codieren interessiert). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit- oder Testfehlerbericht, der plötzlich eine zukünftige Version unterbricht und ihre kreative Energie sofort stört. Sie sind mit den Verantwortlichen für Sicherheitsberichte nicht einverstanden, sodass „Sicherheit” in ihren Köpfen zum Synonym für „Kritik” wird. Igitt.

Es ist wirklich schade, dass diese negative Wahrnehmung der Softwaresicherheit so weit verbreitet ist. Schließlich gehören einige meiner schönsten Erinnerungen an meine Karriere zum Erlernen der Softwaresicherheit. Meine ersten Tage als Hacker verbrachte ich damit, Konferenzen zu besuchen, wo ich nicht nur meine Fähigkeiten (und, um ehrlich zu sein, auch ein wenig meine Überlegenheit) im Vergleich zu meinen Kollegen testen konnte, sondern auch viel Spaß dabei hatte, Gleichgesinnte zu treffen, die genauso gerne wie ich Software knackten.

BruCon, DefCon, BlackHat... Diese Veranstaltungen haben es Menschen wie mir ermöglicht, ihre Fähigkeiten in freundschaftlichen Wettbewerben einzusetzen. Ich würde niemals zugeben, dass ich an solchen unsozialen Aktivitäten teilgenommen habe, aber manche demonstrieren ihre Hacker-Fähigkeiten sogar, indem sie sich in die Telefone anderer Teilnehmer hacken und deren Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigen. Es wurde zu einem Spiel, diese Schwachstellen zu finden, sie auszunutzen und zu beheben, um die Software zu verbessern. Vor einigen Jahren hatte ich das Privileg, Hunderte von Kindern aus dem Nahen Osten zu treffen, um ihnen Cybersicherheit beizubringen. Ich erinnere mich noch gut an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen das Brute-Force-Knacken von Passwörtern und die Base64-Kodierung lernte.

Gamification wird auch zum Unterrichten von Programmiertechniken eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um schon sehr kleinen Kindern bis hin zu Schülern der Oberstufe das Programmieren beizubringen. Kinder im Alter von gerade einmal vier Jahren nehmen mittlerweile regelmäßig an Ferieninitiativen wie Code Camp teil, und es gibt viele fantastische Online-Programme, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das unglaubliche bildschirmfreie Programmierwerkzeug Cubetto für meine vierjährige Tochter gekauft.

Trotz all dieser Freude und Fortschritte gibt es jedoch eine Lücke. Niemand hat daran gedacht, Gamification zu nutzen, um Entwickler im Schreiben von sicherem Code zu schulen.

Nun ja... fast niemand. Vor einigen Jahren wurde mir klar, dass wir der Sicherheit wieder mehr Inspiration verleihen und die Entwickler wirklich motivieren mussten, sich zu engagieren und mitzumachen.

Gamification: die einfachste Lösung.

Ich bin fest entschlossen, Entwicklern dabei zu helfen, Kenntnisse im Bereich Sicherheit zu erwerben, und diese Leidenschaft hat mich dazu gebracht, Secure Code Warrior zu gründen. Softwaresicherheit ist sehr wichtig und kann wirklich spannend sein.

Ich bin nicht der Einzige, der so denkt.

Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und sorgt dafür, dass die Spieler motiviert bleiben, weiterzuspielen, zu gewinnen und Fortschritte zu erzielen. Man muss sich nur ansehen, wie Pokemon Go gespielt wird! Es hat selbst die faulsten Menschen dazu gebracht, sich vom Sofa zu erheben, auf die Suche nach imaginären Kreaturen zu gehen oder zu entdecken, wie FitBit sich das tägliche Ziel setzt, eine bestimmte Anzahl von Schritten zu erreichen... Wenn diese Ziele nicht erreicht werden, wenn die Serien unterbrochen werden und die Abzeichen nicht gewonnen werden, stellt sich ein echtes Gefühl der Enttäuschung ein.

Kommen wir also zurück zum Thema Sicherheitsschulungen. Wir haben vielen Kunden bewiesen, dass Gamification unerlässlich ist, um die Sicherheitskultur ihrer Unternehmen wirklich zu verändern, indem wir Verbindungen zwischen AppSec-Teams und Entwicklungsteams herstellen und ihnen generell dabei helfen, Software zu entwickeln, die höheren Standards entspricht.

Derzeit hat Sicherheit für Entwickler keine Priorität. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und motivierendes Element hinzufügen, motivieren Sie sie nicht nur zum „Spielen”, sondern auch dazu, wiederzukommen, um mehr Punkte zu sammeln, die besten Ergebnisse zu übertreffen, präziser zu werden und andere Teammitglieder herauszufordern.

Wir wissen bereits, dass eine erfolgreiche Ausbildung wie folgt aussieht:

• Entwickler sind in der Lage, mit echtem Code und in ihren eigenen Sprachen/Frameworks zu arbeiten.
• Die Herausforderungen sind kurz und decken alle gängigen Sicherheitslücken ab.
• Die Herausforderungen werden ständig erweitert und aktualisiert, damit die Entwickler ihre Fähigkeiten im Laufe der Zeit weiterentwickeln können.
• Die Herausforderungen variieren in ihrer Komplexität und sind daher sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant.
• Entwickler und ihre Vorgesetzten können die erzielten Fortschritte einsehen, insbesondere die bewältigten Herausforderungen, ihre Stärken und Schwächen, die für die Schulung aufgewendete Zeit und ihre allgemeine Genauigkeit.

Einer unserer größten Kunden hat bei der Einführung einer Gamification-Plattform deren wahre Magie unter Beweis gestellt, indem er seinen Entwicklern themenbezogene Teamausrüstung zur Verfügung stellte, den Gewinnern der Spiele unglaubliche Preise anbot und sein Turnier zu einem unvergesslichen Tag machte. Seitdem veranstalten sie internationale Wettbewerbe, und ihr gesamtes Team trainiert bis heute fleißig weiter.

Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist Vorreiter bei der Einführung von gamifizierten Schulungen zur Bekämpfung von fehlerhaftem Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der die traditionelle (oder langweilige) Schulung revolutioniert. Sehen Sie sich einfach an, was unser Kunde mit seinem hochkarätigen Turnier erreicht hat. Sind Sie bereit, Ihr Team mit uns zu verbessern?

Wir müssen uns bemühen, die Situation zu ändern und Sicherheit zu einem festen Bestandteil des Arbeitsalltags jedes Entwicklers zu machen. Und ich denke, einer der besten Wege, dies zu erreichen, besteht darin, Entwickler zu sensibilisieren und sie beispielsweise durch Gamification in Sicherheitsfragen einzubeziehen.

Am 3. September nahmen einige Mitglieder des Teams und ich an einer großartigen Preisverleihung zum Thema Sicherheit teil, die von CSO Australia organisiert wurde. Der Preis 2019 für Frauen im Sicherheitsbereich, einer der ersten seiner Art in Australien, war das unglaubliche Ergebnis der Teilnahme einiger der renommiertesten Sicherheitsexperten der Branche. Es war eine Feier des Beitrags von Frauen zur Cybersicherheit und eine unverzichtbare Plattform, um das unglaubliche Talent und die Innovationskraft von Frauen hervorzuheben, die oft unbemerkt bleiben und sich bemühen, außergewöhnliche Arbeit zu leisten.

Ich bin sehr stolz darauf, dass Fatemah Beydoun, Vizepräsidentin von Secure Code Warrior für den Kundenerfolg (alias Chief Awesome), ein wichtiger Teil dieses Tages war. Sie hielt ihre Rede „Mentoring für die Zukunft: Wie wir alle mehr tun können, um weibliche Talente in der Cybersicherheit zu fördern ” vor einem sehr aufgeschlossenen Publikum. Obwohl zwölf Minuten bei weitem nicht ausreichen, um ihren langjährigen Einfluss auf uns und die Cybersicherheitsbranche insgesamt zu beschreiben, hat sie (ganz zu schweigen davon, dass sie selbst dazu beigetragen hat) entscheidende positive Veränderungen bewirkt.

Ein integrativerer Ansatz.

„Als ich meine Karriere in dieser Branche begann“, erklärt Fatemah, „war ich eine der wenigen Frauen in den Teams, denen ich zugeordnet wurde. Viele Networking-Möglichkeiten waren ebenfalls auf Männer ausgerichtet, was mich daran hinderte, teilzunehmen, die richtigen Leute zu treffen und einen wesentlichen Mehrwert für das Unternehmen zu demonstrieren. Ich habe versucht, diese Dynamik zu ändern, indem ich, wo immer möglich, einen inklusiveren Raum geschaffen habe.

Beispielsweise besuchte ich oft Branchenveranstaltungen und stellte fest, dass viele Unternehmensstände Werbemodels einsetzten, um die Aufmerksamkeit auf ihre Stände zu lenken. Das ist theoretisch gut, aber ich wurde oft ignoriert, weil ich eindeutig nicht zur Zielgruppe gehörte. Zu Beginn meiner Karriere war ich für die Organisation von Veranstaltungen zuständig und habe mich dafür eingesetzt, inklusivere und unterhaltsamere Wege zu finden, um die Aufmerksamkeit auf unsere eigenen Angebote zu lenken“, erklärte sie.

Fatemah und ich arbeiten schon seit langem zusammen, und sie hat sich stets für Inklusion und Vielfalt in den Unternehmen eingesetzt, in denen wir tätig sind. Dies hat immer zu mehr Karrieremöglichkeiten für Frauen im Team, zur Anerkennung wichtiger Beiträge und zu einer durch unterschiedliche Ansätze, Meinungen und Perspektiven gestärkten Belegschaft geführt.

„Hören Sie, natürlich möchte niemand eine symbolische Frau sein“, erklärte Fatemah. „Das Problem kann jedoch sein, dass einige weniger vielfältige Führungsteams dazu neigen, Führungspositionen an Personen zu vergeben, die ihnen ähnlich sind und mit denen sie sich persönlich identifizieren können. Diese Führungskräfte könnten von den Beiträgen einer Frau profitieren, die sich durch ihre Leistungen und Kompetenzen auszeichnet, aber es ist für sie oft schwierig, sich zu behaupten. Wenn Führungsteams für die Stärke sensibilisiert sind, die Vielfalt mit sich bringen kann (und das geht über das Geschlecht hinaus), sind sie oft durchaus bereit, diese Wege zu schaffen und damit zu beginnen, Frauen zu fördern, die bereit, willens und in der Lage sind, hervorragende Arbeit für ihr Unternehmen zu leisten“, erklärte sie.

Flexibilität am Arbeitsplatz: Die wichtigsten Zutaten für den Erfolg.

Als ich mein eigenes Unternehmen gründete, habe ich sehr schnell gelernt, dass die beste Arbeit geleistet wird, wenn die Teammitglieder die Möglichkeit haben, durchzuatmen. Flexibilität ist für alle wichtig, aber Maßnahmen, die Arbeitnehmerfamilien unterstützen, können dazu beitragen, wichtige Talente zu halten.

Eine der ersten hier eingeführten Maßnahmen war die Richtlinie zum Stillen am Arbeitsplatz, die es jungen Müttern ermöglicht, schneller an ihren Arbeitsplatz zurückzukehren, und ihnen die nötige Flexibilität für Arzttermine sowie die Möglichkeit bietet, ihre Babys mit zur Arbeit zu bringen, ohne Angst vor Vorurteilen haben zu müssen.

„Ich wollte mich nicht zwischen meiner Rolle als Mutter und meiner Karriere entscheiden müssen, und die Möglichkeit, meinen kleinen Sohn mit zur Arbeit zu nehmen, war eine so positive Entscheidung, dass ich mich unterstützt und wertgeschätzt fühlte“, erklärte Fatemah. „Meine Kompetenzen verschwinden nach der Geburt nicht, und als Gründungsmitglied eines Start-ups möchte ich einfach wieder loslegen!“

Elle a même a parlé à ABC News sur les avantages de la flexibilité du travail :

Haben Sie eine florierende Mentoring-Kultur?

Um jemanden auf einen guten Karriereweg zu bringen und diesen weiterzuverfolgen, ist es eine hervorragende Idee, einen Mentor hinzuzuziehen. In vielen Bereichen der Informatik, der Cybersicherheit und in anderen überwiegend männlich geprägten Bereichen besteht ein Ungleichgewicht zwischen Frauen und Männern in Führungspositionen, was etwas schwierig sein kann.

Es ist wichtig, dass Frauen sich in Führungspositionen „selbst“ wiedererkennen, aber auch Männer können einen Beitrag leisten, indem sie intelligente Frauen in ihren Teams fördern und sie, soweit möglich, auch betreuen.

„Führungsteams können einen erheblichen Einfluss auf die Diversifizierung einer Organisation haben und gleichzeitig dafür sorgen, dass außergewöhnliche Frauen die Anerkennung und Karrierechancen erhalten, die sie genauso verdienen wie alle anderen. Ich habe dies bei Yvette Lejins, der Leiterin der Cybersicherheit bei Jetstar, in der Praxis gesehen. Sie ist eine Verfechterin der Frauenrechte und hat dank ihrer Erfolge und ihrer harten Arbeit Fortschritte erzielt und anderen Frauen geholfen, das nötige Selbstvertrauen zu finden, um nach den Sternen zu greifen”, erklärte Fatemah.

Derzeit feiert Secure Code Warrior sein 100-mitarbeiterstarkes Team. Ich bin stolz darauf, dass mehr als 50 % der Mitarbeiter in unserem Unternehmen Frauen sind und dass Fatemah für alle ein außergewöhnliches Vorbild und eine großartige Mentorin ist.

Alle Unternehmen können von der Diversifizierung ihrer Teams enorm profitieren. Eine Vielzahl von Meinungen aus unterschiedlichen Bereichen kann das geheime Zutat sein, die nötig ist, um gute Ideen in großartige Ideen zu verwandeln. Wie immer sind wir gemeinsam stärker.

Nach einer bekannten Theorie können Kakerlaken praktisch alles überleben, sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Grad zutrifft, macht ihre einfache Körperzusammensetzung sie für ihre Größe extrem widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.

Ich dachte mir ... wenn es in der digitalen Welt ein Äquivalent zu Kakerlaken gäbe, dann wären es SQL-Injection-Schwachstellen (SQLi) im Code. Diese Schwachstelle ist seit über zwanzig Jahren bekannt, aber Organisationen fallen immer wieder darauf herein. Der weit verbreitete, kostspielige Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie ein Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, ihre Sicherheitsvorkehrungen umgehend zu verstärken.

Der Imperva-Bericht zur Hacker Intelligence Initiative hat ergeben, dass zwischen 2005 und 2011 bei 83 % der gemeldeten Datenverstöße SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Schwachstellen im Zusammenhang mit Injektionen die größte Bedrohung in den Top 10 der OWASP. Sie sind relativ einfach, aber sie verschwinden einfach nicht.

Es erscheint lächerlich, dass dieselbe Schwachstelle immer wieder in einer Vielzahl von Sicherheitsanalysen von Anwendungen auftaucht. Wir wissen, wie sie funktioniert und wie man sie stoppen kann. Wie ist das möglich? Die Wahrheit ist, dass die Sicherheit unserer Software noch verbessert werden kann.

Der Veracode-Bericht zum Stand der Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllten die Anforderungen der OWASP Top 10. Dieses Thema war in den letzten fünf Jahren immer wieder aktuell, da in fast jeder dritten kürzlich gescannten Anwendung SQL-Injektionen aufgetreten sind. Dies ist ein Beweis für ein weit verbreitetes Problem: Wir lernen nicht aus unseren Fehlern, und die Verantwortlichen für die IT-Sicherheit scheinen Schwierigkeiten zu haben, genügend Talente im Bereich Sicherheit zu rekrutieren. In der Regel ist das Verhältnis zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend für 100.

Warum befindet sich die Softwaresicherheit im Überlebensmodus?

Es ist kein Geheimnis, dass Sicherheitsexperten rar sind, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort lösen, sobald sie auftreten, und eindeutig nicht in der Lage sind, Schwachstellen von vornherein zu vermeiden. Im selben Bericht von Veracode wurde festgestellt, dass dokumentierte Abhilfemaßnahmen nur für 14,4 % aller entwicklungsbezogenen Schwachstellen verfügbar waren. Mit anderen Worten: Die meisten Schwachstellen wurden ohne entwicklungsbezogene Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage behoben, und 42 % der Schwachstellen wurden während der Entwicklungsphase nie behoben.

Ich bin ständig im Gespräch mit Sicherheitsexperten, RSSI und CEOs und habe dabei festgestellt, dass viele Unternehmen so frustriert sind über die Anzahl der entdeckten Schwachstellen, die nicht behoben werden können (zusätzlich zu dem bekannten Problem der Fehlalarme), dass sie gar nicht mehr nach ihnen suchen, sondern einfach die Daumen drücken und hoffen, dass alles gut geht.

Warum lassen AppSec-Experten dies zu?

Täuschen Sie sich nicht: AppSec-Anwender sind sich der Probleme im Code sehr wohl bewusst. Schließlich ist dies eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.

Beispielsweise wird ein AppSec-Verantwortlicher ein Problem erkennen und den Entwickler fragen: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert von Organisation zu Organisation, aber im Allgemeinen ist der Entwickler so sehr damit beschäftigt, die strengen Sprints für die Bereitstellung von Funktionen einzuhalten, dass er einfach keine Zeit hat, diese Probleme zu lösen, und auch nicht über die geeigneten Tools verfügt, um dabei zu helfen. Die Anwendungssicherheitsexperten selbst sind zwar möglicherweise in der Lage, Schwachstellen zu identifizieren, verfügen jedoch oft nicht über die erforderlichen Kompetenzen und/oder den notwendigen Zugriff, um diese vor Ort zu beheben.

Wir müssen uns auch bewusst sein, dass für jedes Problem eine Lösung gefunden, umgesetzt und anschließend getestet werden muss. Selbst für das kleinste im Code entdeckte Problem ist der Zeitaufwand für die Behebung, ganz zu schweigen von den erforderlichen Ressourcen, immens. Mehr als 700 Schwachstellen können in Software eingebaut werden, und es ist für eine einzelne Person schlichtweg unmöglich, sich gegen all diese Schwachstellen zu verteidigen. Aus diesem Grund halten sich die meisten Unternehmen ausschließlich an die Top 10 der OWASP. Unterdessen entwickeln die Entwickler weiterhin Funktionen und führen damit wiederum Schwachstellen in den von ihnen geschriebenen Code ein.

Quelle est la solution ?

Tatsache ist, dass wir unseren Entwicklern nicht die notwendigen Werkzeuge und Schulungen zur Verfügung stellen, um eine sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, sicherzustellen, dass Entwickler über die erforderlichen Sicherheitskenntnisse verfügen, und die traurige Realität ist, dass auch die meisten Universitäten und Praktika angehende Entwickler nicht auf eine sichere Programmierung vorbereiten.

Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen garantiert, bevor man fliegen darf. Niemand würde es wagen, sich vorzustellen, dass man ohne diese gründliche Vorbereitung und Überprüfung der Fähigkeiten in den Himmel gelassen würde, aber genau das passiert täglich beim Schreiben von Code.

Wir müssen Zeit investieren, um Entwickler im Schreiben von sicherem Code zu schulen. In der heutigen Welt, in der die Softwareentwicklung schnell voranschreitet und gute Entwickler und Sicherheitsexperten rar sind, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Thema zu ändern.

Ein aktueller Titel des Weltwirtschaftsforums lautete: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei der dazugehörige Inhalt die Notwendigkeit hervorhob, die Sicherheit in den Mittelpunkt jeder Strategie zur digitalen Transformation zu stellen. „Sicherheit schützt Unternehmen, ermöglicht ihnen Innovationen und die Entwicklung neuer Produkte und Dienstleistungen. Über ihre defensive Rolle hinaus verschafft Sicherheit Unternehmen einen strategischen Vorteil in Bezug auf ihr Wachstum.“

Die Verbesserung der Kompetenzen und Ergebnisse im Bereich der sicheren Codierung wird Unternehmen einen starken zusätzlichen Schutz vor Cyberangriffen bieten und ihnen dabei helfen, effizienteren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch befähigt werden, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können die nächsten Helden der Sicherheit und Innovation werden. Sie sind hochintelligente Menschen, die Probleme kreativ lösen können und in der Regel daran interessiert sind, ihre Fähigkeiten weiterzuentwickeln. Nutzen Sie ihre Stärken durch die spezielle Schulung, die sie verdienen, und verpflichten Sie sich zur Einhaltung strengerer Standards für die Softwaresicherheit. Lesen Sie unser Whitepaper, um mehr zu erfahren.

Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen garantiert, bevor man fliegen darf. Niemand würde es wagen, sich vorzustellen, dass man ohne diese gründliche Vorbereitung und Überprüfung der Fähigkeiten in den Himmel gelassen würde, aber genau das passiert täglich beim Schreiben von Code.

Es gibt zahlreiche Verweise in der Populärkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer wenden. Diese sind stark von Science-Fiction und Fantasy geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer mehr Verbreitung finden, sollte dies auch für Diskussionen über Cybersicherheit und Sicherheit gelten. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf Codezeilen verlassen, um all diese intelligenten Aufgaben auszuführen, die uns so viel Innovation und Komfort bringen. Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.

Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (auch wenn der Tesla-Roboter etwas beunruhigend ist), sind nach einem Cyberangriff böswillige Cyberereignisse immer möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte stützen sich ebenfalls auf einen komplexen Code integrierter Systeme, um wichtige Aufgaben auszuführen, und die Aussicht, dass diese Objekte kompromittiert werden könnten, ist nicht nur alarmierend, sondern potenziell tödlich.

Wie bei allen anderen Arten von Software gehören Entwickler zu den ersten, die zu Beginn der Entwicklungsphase mit dem Code arbeiten. Und wie bei jeder anderen Art von Software kann auch diese zu heimtückischen und häufigen Schwachstellen führen, die vor der Inbetriebnahme des Produkts unbemerkt bleiben könnten.

Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel leistungsfähigeren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme, die in der Regel in C und C++ geschrieben sind, werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen, weshalb eine spezielle Sicherheitsschulung für Entwickler zu den Tools dieser Umgebung unerlässlich ist.

Explodierende Heißluftfritteusen, betrügerische Fahrzeuge... Sind wir leichte Beute?

Obwohl es einige Normen und Vorschriften für jede sichere Entwicklung gibt, müssen wir, um unsere Sicherheit zu gewährleisten, viel präzisere und bedeutendere Fortschritte in allen Bereichen der Softwaresicherheit erzielen. Es mag übertrieben erscheinen, an ein Problem zu denken, das durch das Hacken einer Heißluftfritteuse verursacht werden könnte, aber genau das ist in Form eines Remote-Code-Execution-Angriffs passiert (der es dem Angreifer ermöglichte, die Temperatur auf gefährliche Werte zu erhöhen), ebenso wie Schwachstellen, die zur Übernahme der Kontrolle über Fahrzeuge führten.

Insbesondere Fahrzeuge sind besonders komplex, da sie mit zahlreichen integrierten Systemen ausgestattet sind, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. In Verbindung mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und da bis 2023 weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge unterwegs sein werden, muss eine monolithische Verteidigungsbasis geschaffen werden, um echte Sicherheit zu gewährleisten.

MISRA ist eine wichtige Organisation, die sich wirksam gegen Bedrohungen im Zusammenhang mit eingebetteten Systemen einsetzt und Richtlinien entwickelt hat, die die Sicherheit, Portabilität und Zuverlässigkeit von Code im Kontext eingebetteter Systeme verbessern sollen. Diese Richtlinien bilden den Grundstein für die Normen, die jedes Unternehmen im Rahmen seiner Projekte mit eingebetteten Systemen einhalten muss.

Um jedoch Code zu erstellen und auszuführen, der dieser Referenznorm entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die Vertrauen in diese Tools haben, ganz zu schweigen von deren Sicherheitsniveau.

Warum ist die Stärkung der Kompetenzen im Bereich der Sicherheit eingebetteter Systeme so spezifisch?

Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber nach wie vor häufig verwendet. Sie bilden das funktionale Herzstück der Codebasis eingebetteter Systeme, und Embedded C/C++ erfreut sich einer modernen und glänzenden Zukunft in der Welt der vernetzten Geräte.

Obwohl diese Sprachen relativ alte Wurzeln haben und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsschwachstellen und Pufferüberläufe aufweisen, müssen Entwickler sich mit einem Code vertraut machen, der die Umgebungen imitiert, in denen sie arbeiten, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam, wie wenn Sie mehr Zeit und Sorgfalt in die Arbeit in einem integrierten C-Kontext investieren würden.

Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.
‍

Der Schutz eingebetteter Systeme vom Erdgeschoss aus liegt in der Verantwortung aller.

Der Status quo in vielen Organisationen ist, dass die Geschwindigkeit der Entwicklung Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler betrifft. Ihre Fähigkeit, sicheren Code zu produzieren, wird selten bewertet, aber die schnelle Entwicklung großartiger Funktionen ist der absolute Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat uns auf einen verlorenen Kampf gegen Schwachstellen und die damit verbundenen Cyberangriffe vorbereitet.

Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die ein Mitglied des AppSec-Teams schließen muss, indem es geeignete und zugängliche (um nicht zu sagen bewertbare) Programme zur Kompetenzstärkung für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an muss Sicherheit oberste Priorität haben, und jeder, insbesondere die Entwickler, muss die Rolle haben, die er benötigt, um seine Aufgabe zu erfüllen.

Lösung von Sicherheitsproblemen bei eingebetteten Systemen

Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Enfoui au plus profond d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut être catastrophique du point de vue de la sécurité.

Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie dies zur Kompromittierung der zuvor erwähnten Heißluftfritteuse beigetragen hat (wodurch die Ausführung von Remote-Code ermöglicht wurde), lesen Sie diesen Bericht zu CVE-2020-28592.

Es ist nun an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in einem echten integrierten C/C++-Code vertraut zu machen. Nehmen Sie diese Herausforderung an, um zu sehen, ob Sie die fehlerhaften Codierungsmuster, die diesen heimtückischen Fehler verursachen, lokalisieren, identifizieren und beheben können:
‍

Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.

Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.

Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.

Viele haben (zu Recht) erkannt, dass der Lebenszyklus der Softwareentwicklung beschleunigt werden muss: ein präziserer Prozess, der eng an den Geschäftszielen ausgerichtet ist und einen klareren Arbeitsablauf sowie eine Zusammenarbeit zwischen den für die Entwicklung und den Betrieb zuständigen Teams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen nach ständiger Innovation und schneller Bereitstellung gerecht zu werden. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können die Sicherheit viel früher in den Prozess integrieren, wodurch die Kosten für die Behebung von Fehlern gesenkt und potenzielle Katastrophen vermieden werden.

Das Problem ist, dass nur wenige Unternehmen DevOps wirklich erfolgreich umsetzen können. Ohne die entsprechende Unterstützung, Förderung und das nötige Verständnis innerhalb des Unternehmens kann es schnell zu einem weißen Elefanten werden ... Sie wissen schon, eines dieser Projekte, über die man nicht spricht.

Also, wo liegt das Problem? Das ist eine interessante Diskussion, und es gibt mehrere Ansätze für DevOps, die meiner Meinung nach die Umsetzung erleichtern werden. Ein effektives Programm beschränkt sich nicht auf ein paar neue Tools, Titel und ausgefeilte Teambesprechungen. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine fehlgeschlagene Strategie zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger mühsam sein. Letztendlich wird dies zu einer besseren und sichereren Software führen.

Décomposons-le :

Lassen Sie die Schnüre der Schürze „Agile“ los.

Es gibt ein Missverständnis, dass eine Organisation sich zwischen Agile und DevOps entscheiden muss, indem sie sich für einen Weg entscheidet und nie wieder zurückkehrt.

Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung davon. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile ist.

Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während des gesamten Projekts offene Kommunikationswege zu gewährleisten. Sein Ziel ist es, die isolierte Lieferung zu beenden und Doppelarbeit zu reduzieren – zwei Vorteile des DevOps-Prozesses. DevOps geht jedoch noch einen Schritt weiter, indem es Systeme, Sicherheit und Betrieb in den Mix integriert, um ein robustes End-to-End-Kompetenzpaket anzubieten, dessen oberstes Ziel darin besteht, dem Kunden vollständige und funktionsfähige Software zu liefern.

Bei den unvermeidlichen Schwierigkeiten, die mit der Umstellung auf einen stärker auf DevOps ausgerichteten Prozess verbunden sind, kann das Risiko einer isolierten Entwicklung wieder auftreten. Oft arbeitet das ursprüngliche Agile-Team zusammen, während die zusätzlichen Elemente in Bezug auf Sicherheit und Betrieb immer noch ihren Platz in der Maschine finden; niemand weiß wirklich, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.

DevOps funktioniert nicht ohne klar definierte Ziele, funktionsübergreifende Integration und direkte Kommunikation mit allen Beteiligten. Es wird natürlich eine Anpassungsphase geben, die ein sorgfältiges Change Management erfordert, aber dank der Verbesserungen durch die DevOps-Funktionen alle auf den gleichen Stand zu bringen, ist schon die halbe Miete.

Zunehmend (Gott sei Dank) legt DevOps auch den Schwerpunkt auf bewährte Sicherheitsverfahren im Rahmen des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und schließlich den anderen geschlossen wird. Wie ich bereits gesagt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden bildet eine hervorragende Grundlage, auf der die Sicherheitskompetenzen innerhalb des Entwicklungsteams gestärkt werden können.

Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).

Eine weitere Besonderheit der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie Sie sich wahrscheinlich denken können, weitgehend von den Tools ab.

Die Tools sind großartig, das sind sie wirklich. Sie können den Prozess der Softwarebereitstellung beispiellos beschleunigen, indem sie das Code-Repository, Tests, Wartung und Speicherelemente relativ reibungslos verwalten.

Allerdings sind Roboter zwar in der Lage, uns eines Tages alle Arbeitsplätze wegzunehmen und uns zu versklaven, aber davon sind wir noch weit entfernt. Die starke Abhängigkeit von Tools und Automatisierung lässt Raum für Fehler. Scans und Tests können möglicherweise nicht alles erkennen, der Code wird möglicherweise nicht überprüft, was langfristig zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine einzige Hintertür, um Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.

Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie müssen:

• Planen Sie ausreichend Zeit ein, damit sich die Benutzer mit der ausgewählten DevOps-Toolkette vertraut machen können.
• Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools dazu beitragen können).
• Schließen Sie alle Lücken im Prozess, unabhängig davon, ob diese mit Kompetenzen, Kenntnissen oder Werkzeugen zusammenhängen.

Kurz gesagt: Geben Sie sich nicht damit zufrieden, sich „auszurüsten“ und zu hoffen, dass alles gut geht.

DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?

La gestion du changement est difficile dans le meilleur des cas. La peur de l'inconnu peut empêcher même les membres les plus brillants de l'équipe de développer leurs compétences et d'élargir leurs horizons.

Vous voyez, le simple fait de dire « Faisons DevOps » et de faire déplacer les bureaux de l'équipe des opérations ne suffira pas à mettre en œuvre un processus réussi comme par magie. Viele werden verwirrt sein und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation von Erwartungen ist ebenso entscheidend wie das „Vorleben von Handlungen”. DevOps ist ebenso eine kulturelle Bewegung wie eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Denkweise leben und atmen.

Wie sieht eine gute DevOps-Kultur aus?

• Einzelpersonen sind befugt, ihr Fachwissen in einen Prozess einzubringen, und nicht nur Führungskräfte.
• Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
• Jede Person übernimmt Verantwortung für das übergeordnete Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
• Alle sind sich einig, was die Definition von DevOps im Unternehmen, die Roadmap und das Wie, Was und Warum der jeweiligen Rollen angeht.

Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.

Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit anzuwenden, eine Verringerung der entdeckten Schwachstellen zu erzielen und dem Team die Bedeutung des Schutzes unserer Daten zu vermitteln. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass jeder seine Rolle, seinen Wert und seine Erwartungen, die allgemeinen Ziele des Projekts und die einzelnen Schritte des Prozesses versteht.

Haben Sie das verstanden? Großartig. Jetzt lassen Sie uns etwas verändern, die Sicherheit verbessern und DevSecOps zum ultimativen Plan für Software-Exzellenz machen.

Langweilig, langweilig, langweilig! Das ist eine der häufigsten Antworten, die Sie von Entwicklern hören werden, wenn es um Schulungen zum Thema sicheres Programmieren geht. Wir bei Secure Code Warrior sind der Meinung, dass es eine bessere Lösung geben muss. Deshalb haben wir Evans Data Corp. beauftragt, eine Primärstudie über die Einstellung von Entwicklern zu sicherem Programmieren, sicheren Programmierpraktiken und Sicherheitsmaßnahmen durchzuführen (laden Sie sich Ihr Exemplar des Whitepapers herunter). hier).

In dem in Kürze erscheinenden Buch „Von der Reaktion zur Prävention: Das neue Gesicht der Anwendungssicherheit” wurden Entwickler zu ihren größten Problemen im Zusammenhang mit der aktuellen Schulung zum Thema sicheres Programmieren befragt, und die Antworten waren aufschlussreich.

Eine Ausbildung, die Entwickler herabwürdigt

40 % der befragten Entwickler waren der Meinung, dass sicheres Programmieren in einem Vakuum gelehrt wird. 40 % fanden, dass die Ausbildung zu theoretisch sei, keinen Bezug zu ihrer Arbeit habe und nicht „praxisorientiert” genug sei. 30 % stellten einen Mangel an Ausbildung in dem Sprachumfeld fest, in dem sie täglich arbeiten. Das ist gravierend, denn es zeigt uns, dass die derzeitige Ausbildung in sicherem Programmieren aus kontextueller Sicht nicht relevant ist und keinen wesentlichen Bezug zu der täglichen Arbeit der Entwickler hat.

Für viele Entwickler besteht die größte Herausforderung darin, bei lähmenden Tätigkeiten wach zu bleiben, die nicht effizient sind und sie nicht dazu veranlassen, die Sicherheit in den Mittelpunkt ihrer Bemühungen zu stellen. ‍

Die Ausbildung in einem abgeschotteten Umfeld hindert Entwickler daran, kognitive Verbindungen zwischen dem Labor und der realen Welt herzustellen.

Drei Dinge, die Entwickler von einer Schulung zum Thema sicheres Programmieren erwarten:

1. Die meisten Entwickler geben an, dass sie sich eine praxisorientiertere und besser auf ihren Arbeitsalltag zugeschnittene Ausbildung wünschen.
2. 65 % der Entwickler geben an, dass zusätzliche Schulungen zu sprachspezifischen Schwachstellen und den Top 10 der OWASP erforderlich sind.
3. 75 % der befragten Entwickler bevorzugen eine strukturierte Ausbildung am Arbeitsplatz.

Eine Schulung, die Entwicklern ermöglicht, Fortschritte zu erzielen

Im Bereich der berufsbegleitenden Weiterbildung bringen Entwickler ein gewisses Maß an Erfahrung und Vorwissen mit. Dies unterstreicht die Notwendigkeit eines „gerüsteten” Lernens. Dabei handelt es sich um eine strukturierte – oder aufeinander aufbauende – Ausbildung, die auf dem bereits vorhandenen Wissen des Entwicklers aufbaut. Das aufeinander aufbauende Lernen aktiviert und verbessert sowohl alle bisherigen Erfahrungen als auch den Erwerb neuer Fähigkeiten in kleinen Schritten. Dies macht es zum idealen Mittel für das Lernen am Arbeitsplatz.

Kompetenzen vermitteln, die Bestand haben

Was die Sicherheitsschulung für Entwickler angeht, wissen wir, dass diese die Methode des praktischen Lernens dem mühsamen statischen, theoriegeleiteten Lernen vorziehen. In diesem Sinne ist es unerlässlich, das sichere Codieren in einer hochrelevanten kontextbezogenen Umgebung zu erlernen. Als Vorreiter für Veränderungen im Bereich sicheres Programmieren Secure Code Warrior kontextbezogene und praktische Schulungen in den relevanten Programmiersprachen und Frameworks Secure Code Warrior , mit Herausforderungen, die denen ähneln, denen Entwickler in der realen Welt begegnen. Der Lehrinhalt umfasst mehr als 5.500 Herausforderungen und missions über 147 verschiedene Arten von Schwachstellen missions , darunter die sehr wichtigen Top 10 OWASP, OWASP Mobile Top 10, OWASP API Security Top 10 und CWE/SANS Top 25.

Wenn Sie sehen möchten, wie sich dies auf Ihre Teams und deren Fähigkeit auswirken könnte, schneller sicheren Code bereitzustellen, buchen Sie jetzt eine Demo jetzt.

Überall auf der Welt befinden sich Unternehmen im Wandel. Da der Schwerpunkt auf digitalen Aktivitäten liegt, kann man mit Fug und Recht behaupten, dass die meisten Organisationen eigentlich Softwarehersteller sind. Große Unternehmen beschäftigen riesige Entwicklungsteams, die dafür zuständig sind, in einer agilen DevOps-Umgebung kontinuierlich neue Funktionen zu entwickeln und einzuführen. Dieses Funktionsangebot muss mit dem Tempo der Innovation und den Erwartungen der Kunden Schritt halten. Allzu oft wird Sicherheit daher eher als Hindernis denn als Notwendigkeit angesehen. Angesichts unserer noch nie dagewesenen Abhängigkeit von Software (und damit unserer Anfälligkeit für potenzielle Schwachstellen und Risiken im Bereich der Cybersicherheit) kann dieses Szenario jedoch nicht so weitergehen.

Die Sicherheitsteams werden nicht vergrößert, und selbst wenn dies möglich wäre, ist Fachwissen rar. Verhältnisse von 1:100 und mehr sind einfach nicht ausreichend; interne Sicherheitsexperten können nicht als einzige Lösung für das Problem der Cyberbedrohungen angesehen werden.

Unser Webinar, präsentiert von Stephen Allor, Direktor von Secure Code Warrior Amerika), und Russ Wolfe, Dekan für Cybersicherheit bei Capital One, befasst sich eingehend mit den aktuellen Problemen, mit denen DevOps konfrontiert ist, und den Maßnahmen, die Finanzinstitute wie Capital One ergreifen, um die Kompetenzen ihrer Entwicklungsteams im Bereich sicheres Codieren zu fördern und zu verbessern, indem sie effektiv eine positive Sicherheitskultur fördern und erfolgreich „nach links wechseln”.

Sie werden entdecken:

• Wenn Sie Opfer des „Wissenslochs“ in Sachen Sicherheit sind
• Warum die Sicherheit vor Jahrzehnten robuster war als heute
• Die traditionelle Einstellung zu AppSec als „Ankreuzfeld“ für die Konformität und warum sie bestenfalls oberflächlich ist
• Der Grund, warum Bewertungen der Anwendungsqualität die Sicherheit in die Qualitätsbewertung einbeziehen müssen: Eine unsichere Anwendung kann unabhängig von ihrem Design oder ihren Funktionen nicht als qualitativ hochwertig angesehen werden.
• Warum die Branche die Softwaresicherheit nicht in die Denkweise und Kultur des durchschnittlichen Entwicklers integriert hat (und warum sich das ändern muss)
• Wie das Fehlen gemeinsamer Kompetenzen im Bereich der sicheren Codierung dazu führt, dass immer wieder dieselben Schwachstellen auftreten
• Warum erkennen Anwendungsanalyse-Tools nicht alle Schwachstellen und warum ist es eine sinnvollere Strategie, diese zu vermeiden, indem man ausreichend geschulte Sicherheitsingenieure/-entwickler hinzuzieht?
• Das Problem der zunehmenden Anfälligkeit von Software und ihre Hauptursache
• Warum muss sich der Ansatz ändern und nicht der Student, damit die Risiken wirklich gemindert werden?
• Warum die meisten Sicherheitsschulungen nicht die Stärken der Entwickler und die Art von Schulung nutzen, die sie benötigen, um hervorragende Leistungen zu erbringen.
• Die Gründe, warum die Konformität und die Erwartungen hinsichtlich der Entwicklung der Softwareentwicklung hinter denen anderer Ingenieurszweige zurückbleiben, und wie wir in dieser Hinsicht Vorreiter bei der Lösung dieses Problems sind.
• Wie Russ Wolfe und sein Team bei Capital One ein Zertifizierungsprogramm entwickelt haben, das auf einer spielerischen und unterhaltsamen Schulung basiert, die es Entwicklern ermöglicht, motiviert zu bleiben, anhand von echtem Quellcode zu lernen und Referenzziele für bewährte Sicherheitsverfahren zu erreichen.
• Wie dieses Zertifizierungsprogramm die Teilnahme, die Informationsspeicherung und die Weiterbildung fördert
• Wie Anreize Entwicklern helfen, von einer Ausbildungsstufe zur nächsten zu gelangen, ihre Kompetenzen schnell und gemäß den wichtigsten Sicherheitsrichtlinien zu verbessern
• Wie Bewertungen dabei helfen, die Champions der Sicherheit zu identifizieren und das Engagement für Schulungen zu fördern.

Sehen Sie sich jetzt unser On-Demand-Webinar an und erfahren Sie mehr über die Vorteile einer Verlagerung nach links und der Bereitstellung der erforderlichen Tools und Kenntnisse für Entwickler, damit diese von Anfang an sicher programmieren können, wobei der Schwerpunkt auf positiven Sicherheitspraktiken liegt.

Entdecken Sie, was Finanzinstitute wie Capital One tun, um die Kompetenzen ihrer Entwicklungsteams im Bereich sicheres Codieren zu fördern und zu verbessern, indem sie effektiv eine positive Sicherheitskultur fördern und erfolgreich „nach links wechseln”.

Die steigende Zahl von Cyberangriffen und deren zunehmende Raffinesse haben weltweit zu Veränderungen in allen Branchen und Industriezweigen geführt. Alle versuchen, „nach links zu wechseln“ und alle ihre Prozesse und Verfahren so früh wie möglich zu sichern. Die Situation hat sogar völlig neue Bewegungen zur Verbesserung der Cyberabwehr begünstigt, wie beispielsweise DevSecOps, bei dem die Sicherheit in den Kern der Entwicklung neuer Software und Anwendungen integriert wird.

Viele dieser Veränderungen sind innerhalb der Entwickler-Community zu spüren. Da sie es sind, die neue Software und Anwendungen erstellen, schreiben und programmieren, scheint es eine gute Idee zu sein, sie zu bitten, sicherere Programmierpraktiken anzuwenden. Schließlich kann man nicht weiter nach links gehen, als wenn neue Anwendungen zum ersten Mal erstellt werden.

Aber was hält die Entwickler-Community von dieser Verantwortung? Früher wurden sie fast ausschließlich danach beurteilt, wie schnell sie programmieren konnten. Was denken Entwickler heute über ihre neue Rolle als Verfechter der Sicherheit? Und haben sie das Gefühl, dass die Unternehmensleitung diese Bemühungen unterstützt, indem sie ihnen hochwertige Schulungen, bessere Vergütungen und die Anerkennung bietet, die sie für die Übernahme dieser neuen, wichtigen Verantwortung verdienen?

Zum zweiten Mal in Folge haben wir uns mit Evans Data Corp. zusammengetan, um eine umfassende Umfrage unter der weltweiten Entwickler-Community zu den Kompetenzen, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren wahrgenommene Auswirkungen und Relevanz für den Softwareentwicklungslebenszyklus (SDLC) durchzuführen. Die Ergebnisse waren in vielerlei Hinsicht recht überraschend.

Der Stand der Sicherheitsuntersuchung, die von den Entwicklern im Jahr 2022 durchgeführt wurde

Secure Code Warrior Stand der Entwicklersicherheit wurde im Dezember 2021 von Evans Data Corp durchgeführt. 1.200 aktive Softwareentwickler aus dem asiatisch-pazifischen Raum, Europa und Nordamerika wurden zu Themen wie Software-Codierung, Sicherheitsbewusstsein, Schulungen, Support, Motivationen und anderen Fragen befragt. Die Umfrage wurde in englischer Sprache durchgeführt und bei Bedarf übersetzt, um ein genaues Gesamtbild zu erhalten. Zu den Befragten gehörten Entwickler, die neue Anwendungen erstellen, sowie Führungskräfte aus der Entwickler-Community.

Einige überraschende Entdeckungen

Ein ausführliches Whitepaper (Herausforderungen (und Chancen) im Zusammenhang mit der Verbesserung der Softwaresicherheit) und ein Bericht (Der Stand der entwicklergesteuerten Sicherheit, 2022), die alle Aspekte der Umfrage behandeln, werden am Montag, dem 11. April, veröffentlicht. Das Whitepaper enthält unsere Analyse der Ergebnisse und der von der Community geäußerten Bedenken hinsichtlich sicherer Codierungspraktiken sowie Empfehlungen für Unternehmen, wie sie ihren Entwicklerteams die Möglichkeit geben können, die Softwaresicherheit zu verbessern.

Einige dieser Herausforderungen werfen möglicherweise Fragen für alle auf, die in ihrem Unternehmen mit Entwicklern zusammenarbeiten, sowie für diejenigen, die selbst Teil der Entwickler-Community sind. Für uns war dies auf jeden Fall der Fall.

Beispielsweise gaben nur 14 % der Befragten an, dass die Anwendungssicherheit heute oberste Priorität habe. Stattdessen standen eher traditionelle Indikatoren wie die Anwendungsleistung und die Priorisierung von Merkmalen und Funktionen weiterhin im Mittelpunkt ihres Interesses.

Die Sicherheit hatte so geringe Priorität, dass 67 % der befragten Entwickler zugaben, regelmäßig bekannte Schwachstellen und Exploits in ihrem Code zu belassen. Sie taten dies entweder aufgrund knapper Fristen, indem sie der Funktionalität Vorrang vor der Sicherheit einräumten, oder weil sie einfach nicht über die erforderliche Ausbildung oder das erforderliche Wissen verfügten, um Sicherheitsprobleme zu beheben.

In vielen Fällen gaben Entwickler an, dass ihr Unternehmen keine Definition für sicheren Code festgelegt habe und keine angemessenen Schulungen oder Unterstützung anbiete, um diese Situation zu ändern.

Trotz einiger negativer Ergebnisse war jedoch auch klar, dass sich die Einstellungen im Wandel befanden. Die große Mehrheit der Entwickler (66 %) ging davon aus, dass Sicherheit in den nächsten 12 bis 18 Monaten zu einer Priorität werden würde, während 82 % der Personalverantwortlichen, die an der Umfrage teilnahmen, ihr Interesse bekundeten, Entwickler mit Sicherheitskenntnissen gegenüber solchen ohne diese Kenntnisse zu bevorzugen.

Aus den Umfrageergebnissen geht klar hervor, dass die Entwicklergemeinschaft und die Organisationen, mit denen sie zusammenarbeiten, mit enormen Veränderungen konfrontiert sind, aber auch die Pläne für die kurz- und langfristige Zukunft nehmen rasch Gestalt an.

Bleiben Sie auf dem Laufenden über das Whitepaper und den Bericht, in denen die vollständigen Ergebnisse der Umfrage sowie Kommentare von Experten zu den Herausforderungen im Zusammenhang mit den aktuellen Praktiken der sicheren Codierung und den Möglichkeiten für Unternehmen zur Verbesserung der Sicherheitskompetenzen von Entwicklern und letztlich der Softwaresicherheit dargelegt werden.

Siehe Secure Code Warrior Blog-Seiten, um mehr über Cybersicherheit und die zunehmend gefährliche Bedrohungslandschaft zu erfahren und zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.

‍

In den letzten Jahren wurden viele Aspekte auf dem Altar der schnellen Markteinführung geopfert, darunter die Sicherheit von Netzwerken, Terabytes an sensiblen Kundendaten und der unschätzbare Ruf von Marken. Der intensive Druck, die Veröffentlichung neuer Funktionen und Features zu beschleunigen, hat zur Bildung komplexer, verteilter Teams geführt, die sich auf eine schnelle Entwicklung konzentrieren und sich der Schwachstellen, die sie schaffen könnten, oder der enormen Risiken kaum bewusst sind. Mehr denn je ist eine neue Arbeitsweise erforderlich. Daher Secure Code Warrior im Jahr 2020 mit Evans Data Corp. zusammengetan, um Primärforschung* über die Einstellung von Entwicklern und ihren Managern zu sicherer Codierung, sicheren Codierungspraktiken und Sicherheitsmaßnahmen durchzuführen (Laden Sie Ihr Exemplar des Whitepapers herunter). hier).

Leistungsindikatoren für den Erfolg von Projekten: Welche Rolle spielt die Sicherheit?

Entwickler und Manager halten einen sicheren Code für wichtig, aber nicht so wichtig wie andere Faktoren. Als wir Entwickler und Manager fragten, was die wichtigsten Prioritäten im Softwareentwicklungsprozess seien, antworteten sie:

• 76 % der Leistung der nominierten Anwendungen
• 62 % haben sich für bestimmte Merkmale und Funktionen entschieden.
• Et un peu plus de 50 % de code sécurisé sélectionné
  

Im Vergleich zu anderen Leistungsindikatoren für den Projekterfolg liegt die sichere Verschlüsselung derzeit weit abgeschlagen auf Platz drei.

Derzeit bewerten Entwickler den Erfolg eines Projekts anhand von Leistungsindikatoren, die den Code erst nach Abschluss des Projekts bewerten, was vielleicht nicht überraschend ist.

Wenn man sie jedoch fragt, wie sich dies in Zukunft ändern könnte, sieht die Lage anders aus. Die Art und Weise, wie Unternehmen Sicherheit als Erfolgsindikator betrachten, verändert sich. Sichere Codierung wird zu einer immer wichtigeren Priorität.

Auf die Frage nach den wichtigsten Prioritäten für die Messung des Projekterfolgs in der Zukunft stimmen 79 % der Befragten zu, dass sicheres Codieren zunehmend an Bedeutung gewinnen wird. Bemerkenswert ist, dass ein größerer Prozentsatz der Befragten die Bedeutung der Sicherheit in der Zukunft stärker steigen sieht als die aller anderen Leistungsindikatoren. Sichere Codierung wird immer bekannter, ebenso wie die Bewegung nach „links”. Aufgrund ihrer Natur erfordert die Praxis der sicheren Codierung, dass Sicherheit viel früher im SDLC berücksichtigt wird. Das bedeutet, dass Sicherheit von Anfang an aktiv in die Software integriert werden muss, anstatt sie auf später zu verschieben.

Während CIOs sich bemühen, ihre Organisationen agiler zu gestalten, werden sichere Codierungskapazitäten zu einer wichtigen Innovationswaffe werden. CIOs und CISOs sollten sich genau überlegen, ob ihre Entwicklungsteams die erste Risikolinie oder ihre erste Verteidigungslinie darstellen.

Diese Informationen haben entscheidende Auswirkungen darauf, wie Unternehmen ihre Entwickler schulen. Die Teams müssen sich über kürzlich identifizierte Schwachstellen informieren und in ihren eigenen Sprachen/Frameworks lernen. Kurz gesagt, sie müssen verstehen, wie sie bekannte Schwachstellen im Code in ihrem täglichen Arbeitsumfeld lokalisieren, identifizieren und beheben können.

Als Vorreiter für Veränderungen im Bereich sicheres Codieren Secure Code Warrior einen menschenorientierten Ansatz, der Entwickler aktiv dazu anregt, ihre Fähigkeiten im Bereich sicheres Codieren zu erlernen und weiterzuentwickeln. Wenn Sie sehen möchten, wie sich dies auf die Fähigkeit Ihrer Teams auswirken könnte, von Anfang an sicher zu arbeiten und schneller sicheren Code zu liefern, ohne die Sicherheit zu beeinträchtigen, buchen Sie jetzt eine Demo.

‍

Von der Reaktion zur Prävention: Das neue Gesicht der Anwendungssicherheit. Secure Code Warrior Evans Data Corp. 2020