Etablierung eines einheitlichen Ansatzes für entwicklergesteuerte Sicherheit
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf groß angelegte Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der mehr als 18.000 Nutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über den Software-Update-Prozess infiziert wurden, werden zunehmend wirksamere, von Entwicklern initiierte Sicherheitsmaßnahmen gefordert. Unternehmen jeder Größe beginnen, ihre „Software-Lieferkette” zu hinterfragen und verlangen von Softwareentwicklern nachgewiesene Sicherheitskompetenzen und -kenntnisse.
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
Als Reaktion auf große Sicherheitsverletzungen wie die SolarWinds-Kampagne, bei der über 18.000 Benutzer der beliebten Orion-Verwaltungssoftware, darunter viele führende Unternehmen und Regierungsbehörden, über einen Software-Update-Prozess infiziert wurden, werden zunehmend effektivere, von den Entwicklern gesteuerte Sicherheitsmaßnahmen gefordert. Unternehmen aller Größenordnungen beginnen, ihre "Software-Lieferkette" zu hinterfragen, und verlangen, dass die Entwickler ihrer Software über nachgewiesene Sicherheitskenntnisse und -bewusstsein verfügen.
Sogar die Regierung der Vereinigten Staaten fordert bessere Sicherheitspraktiken unter der Leitung von Entwicklern und eine Stärkung der Software-Lieferkette. Diese Konzepte sind ein wesentlicher Bestandteil einer von Präsident Biden erlassenen Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Insgesamt ist die Entwicklergemeinschaft offen für die Idee, die Sicherheit durch Programme und Bewegungen wie DevSecOps an einen früheren Punkt im Softwareentwicklungszyklus (SDLC) zu verlagern, und in einer kürzlich durchgeführten Umfrage gaben die Entwickler an, dass sie die Sicherheitsschulungen, die sie zur Unterstützung dieser Bemühungen erhalten, sehr schätzen.
Software-Schwachstellen werden weiterhin ausgenutzt, und selbst Entwickler geben zu, dass sie manchmal Schwachstellen in ihrem Code hinterlassen.
Und warum?
Die Umfrage bestätigte, dass das Schreiben von Qualitätscode für die Entwicklergemeinschaft höchste Priorität hat. In der Umfrage wurden jedoch auch mehrere Gründe genannt, warum die Schulungen für Entwickler zwar als wertvoll angesehen werden, aber dennoch weit hinter dem Ziel zurückbleiben, zur Sicherheit der Software-Lieferkette beizutragen. 33 % gaben an, dass sie immer noch Schwachstellen in ihrem Code hinterlassen, weil sie auch nach der Schulung nicht wissen, wie sie bekannte Schwachstellen erkennen oder beheben können. Und überwältigende 92 % gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Es liegt auf der Hand, dass die Entwicklergemeinschaft jede Schulung, die sie erhält, zu schätzen weiß. Auf die Frage nach den Hindernissen für die Einführung sicherer Programmierpraktiken wurde jedoch Zeitmangel als wichtigster Grund genannt, gefolgt von einem Fünftel der Befragten, die das Fehlen eines einheitlichen Ansatzes als Schuldigen nannten. Schulungen wurden eher als einmaliges Ereignis angesehen, anstatt als Teil einer fortlaufenden strategischen Anstrengung, Sicherheit in die Arbeitsabläufe der Entwickler zu integrieren und täglich zu nutzen.
Daher sind die Entwickler nicht in der Lage, sichere Programmierkenntnisse als Teil eines zusammenhängenden und fortlaufenden Programms in ihren Unternehmen aufzubauen und zu erhalten. Wir können auch zu dem Schluss kommen, dass die derzeitige Schulung nicht besonders effektiv oder umfassend ist, wenn man bedenkt, dass viele Entwickler sagen, dass sie immer noch nicht in der Lage sind, allgemeine Schwachstellen zu erkennen und zu beheben.
92 % der Entwickler gaben an, dass sie zumindest ein gewisses Maß an zusätzlicher Schulung im Bereich Sicherheit benötigen, während 92 50 % sagten, dass sehr viel mehr Schulung erforderlich sei.
Was können Organisationen tun, um die Situation zu verbessern?
Interessant ist, dass die Entwickler mit überwältigender Mehrheit angaben, dass sie mehr Sicherheitsschulungen benötigen. Und obwohl sie die Schulungen, die sie erhalten haben, zu schätzen wussten, könnte dies eine Situation sein, in der sie einfach mit allem zufrieden sind, was sie bekommen können.
Als sie gebeten wurden, sich zu Möglichkeiten der Verbesserung ihrer Schulungen zu äußern, kamen ihre wahren Gedanken zu diesem Thema zum Vorschein. Im Allgemeinen waren die meisten Schulungen, die Entwickler erhielten, begrenzt, nicht interaktiv, nur bedingt auf ihre Aufgaben ausgerichtet und nicht Teil eines umfassenden oder fortlaufenden Plans zur Verbesserung der Sicherheitskompetenz und des Sicherheitsbewusstseins in ihrem Unternehmen. Darüber hinaus hatten die Entwickler spezifische Wünsche, um ihre Schulungen noch wertvoller zu machen. Einer der populärsten Vorschläge war, mehr Anwendungsfälle und praktische Beispiele von Situationen einzubeziehen, denen sie aus der Sicherheitsperspektive wahrscheinlich begegnen würden. Eine weitere beliebte Antwort zur Verbesserung der Effektivität war, dass die Ausbildung schließlich immer komplexere oder schwierigere Szenarien abdecken sollte - ein Schritt, der wahrscheinlich auch einen kohärenteren Ansatz und einen langfristigen Plan für kontinuierliches Lernen und die Entwicklung von Fähigkeiten erfordern würde.Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements. Im Allgemeinen werden Schulungen, bei denen sich die Benutzer lediglich ein Video ansehen oder einen Vortrag anhören und keine Gelegenheit zum praktischen, kontextbezogenen Lernen haben, nicht als effektiv oder besonders wertvoll angesehen, wenn es darum geht, eine komplexe und (vermeintlich) schwierige Fähigkeit wie die sichere Verschlüsselung zu vermitteln.
Die Entwickler betonten auch die Notwendigkeit von mehr Interaktivität und vielleicht sogar die Hinzufügung eines Wettbewerbselements.
Welche anderen Elemente sind bei der Einführung eines kohärenten Sicherheitsansatzes wichtig?
Schulungen sind natürlich von entscheidender Bedeutung, wenn es darum geht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwicklergemeinschaft eines Unternehmens zu verbessern. Und es muss sichergestellt werden, dass das Lernen kontinuierlich, interaktiv, relevant und kontextbezogen erfolgt. Aber ein wirklich kohärenter Ansatz zur Verbesserung des Sicherheitsbewusstseins geht noch darüber hinaus.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Schwerpunkt von den typischen Methoden der Verwaltung und des Aufbaus von Entwicklerteams abzuweichen. Beispielsweise wurden Entwickler traditionell danach beurteilt, wie schnell sie programmieren konnten. Ein kohärentes Sicherheitskonzept könnte jedoch bedeuten, dass man diese lange Zeit geltenden Maßstäbe und Werte ändern muss. Stattdessen könnte bei der Bewertung der Schwerpunkt weg von der Belohnung der reinen Geschwindigkeit verlagert werden und stattdessen diejenigen Entwickler belohnt werden, die qualitativ hochwertigen Code erstellen können, der auch sicher ist, d. h. frei von Sicherheitslücken.
Auch die Entwicklergemeinschaft selbst könnte in diese Bemühungen einbezogen werden. Anstatt den Entwicklern einfach nur Sicherheit vorzuschreiben, sollte man in Erwägung ziehen, aus der Gemeinschaft Sicherheitsbeauftragte zu ernennen oder zu schaffen, bei denen es sich um talentierte und sicherheitsbewusste Entwickler handelt, die sich entweder in der Ausbildung oder im Rahmen der neu ausgerichteten Metrikbewertungen auszeichnen. Sie sollten auch bereit sein, anderen Entwicklern zu helfen, ihre Fähigkeiten zu verbessern und so die Entwicklergemeinschaft von innen heraus zu stärken.
Ein wirklich kohärenter Ansatz muss berücksichtigen, was erforderlich ist, um eine echte entwicklergeführte Sicherheitskultur zu fördern. Es kann erforderlich sein, den Fokus von der typischen Art und Weise der Verwaltung und des Aufbaus von Entwicklerteams zu verändern.
Für weitere Lektüre
Whitepaper: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit
Whitepaper: Der präventive, entwicklergesteuerte Ansatz zur Softwaresicherheit
Whitepaper: Die DevSecOps-Superbowl: Wie Sicherheits-Champions Ihr Team bei der Bekämpfung von Sicherheitslücken in der Spätphase unterstützen können
Bericht: Der Stand der entwicklergesteuerten Sicherheit 2022
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
