Envestnetがアジャイルで安全なコード学習プラットフォームを採用し、脆弱性削減における開発者の有効性を3倍にした方法
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Envestnetの製品セキュリティ責任者であり、「アプリケーション・セキュリティ・ハンドブック」の著者でもあるDerek Fisherが、Secure Code Warriorと協力して、開発チームのためのアジャイル・セキュア・コード・イネーブルメントを通じて脆弱性を軽減する総合的なアプローチをどのように開発したかをご覧ください。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Hintergrund
Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.
Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.
Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.
Situation
Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.
Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."
Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.
Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.
Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.
Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.
"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."
Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet
Aktion
Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.
Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,
"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."
Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.
Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,
"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."
Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.
Ergebnisse
Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:
- Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
- 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
- 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
- In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
- Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
- 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.
Wichtigste Erkenntnisse
Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:
"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."
- Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
- Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
- Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
- Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.
目次
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
